Legislatura 19ª - 1ª e 8ª riunite - Resoconto sommario n. 3 del 24/07/2024

Copia questo link

Attiva riferimenti normativi

Azioni disponibili

Copia questo link
Attiva riferimenti normativi

PARERE APPROVATO DALLE COMMISSIONI 1ª E 8ª RIUNITE

SULL'ATTO DEL GOVERNO N. 164

Le Commissioni 1ª e 8ª riunite, esaminato lo schema di decreto legislativo in titolo, che reca misure volte a garantire una maggiore sicurezza informatica in ambito nazionale, contribuendo a incrementare il livello comune di sicurezza nell'Unione europea, in modo da migliorare il funzionamento del mercato interno e rispondere, al tempo stesso, alle crescenti minacce derivanti dallo sviluppo della digitalizzazione;

visto l'articolo 21 della direttiva (UE) 2022/2555, che specifica la possibilità della Commissione di assistere gli Stati nella sfida principale di garantire il raggiungimento di livelli di sicurezza, da parte delle imprese italiane, delle misure di sicurezza utili alla gestione del rischio, con un esplicito richiamo ai principi di adeguatezza e di proporzionalità, utili a tutelare le imprese da oneri eccessivi e sproporzionati in termini di impegno e risorse;

visto l'articolo 2, comma 1, lettera g), dello schema, che definisce "Autorità nazionali di gestione delle crisi informatiche": per la parte relativa alla resilienza nazionale di cui all'articolo 1 del decreto-legge n. 82 del 2021, l'Agenzia per la cybersicurezza nazionale, con funzioni di coordinatore, ai sensi dell'articolo 9, paragrafo 2, della direttiva (UE) 2022/2555, e, per la parte relativa alla difesa dello Stato, il Ministero della difesa, quali Autorità nazionali di gestione delle crisi informatiche di cui all'articolo 13, comma 1;

visto l'articolo 13, comma 1, dello schema di decreto, che individua l'Agenzia per la cybersicurezza nazionale, per la parte relativa alla resilienza nazionale, con funzioni di coordinatore, ai sensi dell'articolo 9, paragrafo 2, della direttiva (UE) 2022/2555, e il Ministero della difesa, per la parte relativa alla difesa dello Stato, quali Autorità nazionali di gestione delle crisi informatiche;

considerato che tale impostazione appare coerente con quanto previsto dagli articoli 8, comma 1, e 9, commi 1 e 2, della direttiva (UE) 2022/2555, secondo cui "Ogni Stato membro designa o istituisce una o più autorità competenti responsabili della gestione degli incidenti e delle crisi di cibersicurezza su vasta scala autorità di gestione delle crisi informatiche" ed ha cura di indicare chiaramente quale di tali autorità deve fungere da coordinatore;

visti gli articoli 15, comma 2, e 89, comma 1, del decreto legislativo 15 marzo 2010, n. 66 (Codice dell'ordinamento militare), che, rispettivamente, attribuiscono al Ministero della difesa, tra gli altri, la funzione e il compito di "difesa e sicurezza dello Stato" e alle Forze armate il "compito prioritario di difesa dello Stato";

visto l'articolo 13, comma 3, dello schema, secondo cui, entro dodici mesi dalla data di entrata in vigore del decreto, con uno o più decreti del Presidente del Consiglio dei ministri, su proposta dell'Agenzia per la cybersicurezza nazionale e del Ministero della difesa, ciascuno per gli ambiti di competenza, previo parere del Comitato interministeriale per la sicurezza della Repubblica nella composizione di cui all'articolo 10 del decreto-legge n. 82 del 2021, è definito il piano nazionale di risposta agli incidenti e alle crisi informatiche su vasta scala;

considerato che la disciplina di cui al combinato disposto degli articoli 2, comma 1, lettera g), e 13, comma 1, dello schema di decreto legislativo risulta pienamente coerente con le competenze e le funzioni attribuite a ciascuna delle Autorità designate dalla normativa vigente e - alla luce della circostanza che gli incidenti e le crisi informatiche su vasta scala sono suscettibili di evolvere senza preavviso e con estrema immediatezza in un attacco alla sicurezza nazionale - viene garantito, attraverso l'individuazione delle due Autorità, l'immediato intervento negli ambiti di rispettiva competenza;

rilevata, infine, l'opportunità di apportare correzioni di carattere formale all'articolo 17, comma 5, e all'articolo 40, comma 6, dello schema di decreto,

esprimono parere favorevole, con le seguenti osservazioni:

- valuti il Governo l'opportunità di prevedere, con riferimento ai criteri esplicitati nell'articolo 21 della direttiva 2022/2555 oggetto di recepimento, l'effettiva adozione di un approccio ispirato a gradualità o per fasi, in funzione della tipologia e dei modelli di business o contesti operativi complessi dei soggetti, nonché basato sul principio della mitigazione di impatto sulle imprese infragruppo, di cui all'articolo 3, comma 10, dello schema di decreto in esame, che, per settore o tipo di servizi forniti, non siano riconducibili ai soggetti critici;

- all'articolo 17, comma 5, si rappresenta l'opportunità di sostituire le parole: "di cui al primo periodo" con le seguenti: "di cui al presente comma";

- all'articolo 40, comma 6, si segnala l'opportunità di sostituire la lettera a) con la seguente: "a) i decreti di cui al comma 3".