Ordine del Giorno n. G23.100 al DDL n. 1143

G23.100 (testo 2)

Giorgis, Parrini, Meloni, Valente (*)

Accolto

Il Senato,

      in sede di esame del disegno di legge recante "Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici" (A.S. 1143);

     premesso che:

     occorre definire con urgenza una strategia nazionale per il contrasto agli attacchi informatici di tipo ransomware che preveda:

          a) che l'attacco ransomware condotto contro, e che generi effetti sui soggetti pubblici e privati debba essere qualificato giuridicamente, indipendentemente dal soggetto agente, come un incidente o una compromissione che comporta un pregiudizio per la sicurezza nazionale, così come definiti rispettivamente nell'articolo 1, comma 1, lettere h), g) e f), del decreto del Presidente del consiglio dei ministri 30 luglio 2020, n. 131;

          b) che l'attacco ransomware condotto contro, e che generi effetti sui soggetti pubblici e privati non ricompresi nella lettera a), debba essere qualificato giuridicamente, indipendentemente dal soggetto agente, come una condotta con finalità di terrorismo ai sensi dell'articolo 270-sexies del codice penale;

          c) che vanno applicate le misure di intelligence di contrasto in ambito cibernetico previste dall'articolo 7-ter al decreto-legge del 30 ottobre 2015, n. 174 e dai suoi decreti attuativi alla fattispecie di cui alla lettera a);

          d) che vanno applicato tutti i poteri e le garanzie investigative per le Forze dell'Ordine già previste nel nostro ordinamento per il contrato alle condotte con finalità di terrorismo alle fattispecie di cui alla lettera b);

          e) un obbligo di informazione ai soggetti di cui alle precedenti lettere a) e b), dell'attacco ransomware subito, entro 24 ore dal momento in cui ne sono venuti a conoscenza, sia l'Agenzia per la Cybersicurezza Nazionale, che l'organo del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, pena una sanzione amministrativa commisurata alla violazione, e fermi restando gli obblighi di cui all'articolo 3 del decreto del Presidente del consiglio dei ministri 14 aprile 2021, n. 81;

          f) un obbligo per l'Agenzia per la Cybersicurezza Nazionale di porre in essere un framework di supporto per i soggetti di cui alle lettere a) e b) sul tema degli attacchi ransomware, che si basi almeno sulle seguenti azioni: (1) verifica preliminare della potenziale esposizione di tali soggetti a questo genere di attacchi informatici, (2) predisposizione di azioni obbligatorie in materia di igiene e resilienza cibernetica per tali soggetti al fine di provare ad evitare o comunque diminuire gli effetti di questo genere di attacchi informatici, (3) pianificazione e predisposizione di azioni di supporto per tali soggetti durante la gestione delle situazioni di crisi cibernetica derivanti da questo genere di attacchi informatici, (4) pianificazione e predisposizione per tali soggetti di azioni di supporto per il recupero dell'operatività e/o di contenimento degli effetti negativi in conseguenza di questo genere di attacchi informatici;

          g) incentivi sul piano finanziario all'Agenzia per la Cybersicurezza Nazionale per la realizzazione delle attività di cui alla lettera f);

          

          i) l'istituzione di una task-force nazionale per il contrasto agli attacchi ransomware, collocata nel Nucleo per la Cybersicurezza (NCS), che svolga il ruolo (1) di coordinamento delle attività di cui alle lettere c) e d); (2) di attuazione di quanto previsto alla lettera f); (3) di punto di riferimento per i soggetti colpiti durante la gestione delle emergenze ransomware e (4) di struttura per la condivisione delle informazioni sugli attacchi;

          l) la creazione di un Fondo nazionale di risposta agli attacchi ransomware per supportare eventuali aziende nel recupero dagli effetti dell'attacco e disincentivare così il pagamento del riscatto;

          m) un ingaggio delle compagnie assicurative e riassicurative al fine di sensibilizzarle verso l'inopportunità di coprire a livello assicurativo il pagamento di un riscatto a seguito di un attacco ransomware;

     impegna il Governo:

     a definire con urgenza una strategia nazionale per il contrasto agli attacchi informatici di tipo ransomware assicurando, altresì, la propria presenza in tutti i tavoli europei e internazionali dove si discuta a livello istituzionale dei temi legati ai ransomware, al fine di contribuire efficacemente alla creazione e all'allineamento delle politiche comuni degli Stati membri.

________________

(*) Aggiungono la firma in corso di seduta il senatore Magni e i restanti componenti del Gruppo Misto-AVS, il senatore Borghi Enrico e i restanti componenti del Gruppo IV-C-RE e il senatore Patton e i restanti componenti del Gruppo Per le Autonomie (SVP-PATT, Campobase)