Legislatura 19ª - 1ª e 8ª riunite - Resoconto sommario n. 3 del 24/07/2024

Copia questo link

Attiva riferimenti normativi

Azioni disponibili

Copia questo link
Attiva riferimenti normativi

SCHEMA DI PARERE PROPOSTO DAI SENATORI BASSO, PARRINI, IRTO, GIORGIS, FINA e Valeria VALENTE

SULL'ATTO DEL GOVERNO N. 164

Le Commissioni 1ª (Affari costituzionali, affari della Presidenza del Consiglio e dell'interno, ordinamento generale dello Stato e della pubblica amministrazione, editoria, digitalizzazione) e la Commissione 8ª (Ambiente, transizione ecologica, energia, lavori pubblici, comunicazioni, innovazione tecnologica),

esaminato lo Schema di decreto legislativo di recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (A.G. 164),

premesso che,

con la direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio (cosiddetta direttiva NIS) il legislatore europeo ha posto le basi per sviluppare le capacità di cybersicurezza in tutta l'Unione al fine di mitigare le minacce ai sistemi informativi e di rete utilizzati per fornire servizi essenziali in settori chiave e garantire la continuità di tali servizi in caso di incidenti, contribuendo in tal modo alla sicurezza dell'Unione e al funzionamento efficace della sua economia e della sua società;

la direttiva NIS ha garantito il completamento dei quadri nazionali, definendo le rispettive strategie sulla sicurezza dei sistemi informativi e di rete, stabilendo capacità nazionali, nonché attuando misure normative riguardanti le infrastrutture e gli attori essenziali individuati da ciascuno Stato membro. Inoltre, ha contribuito alla cooperazione a livello dell'Unione mediante l'istituzione del gruppo di cooperazione e della rete di gruppi nazionali di intervento per la sicurezza informatica in caso di incidente;

nonostante tali risultati, l'applicazione della direttiva NIS ha rivelato, alla luce della rapida evoluzione della tecnologia, una serie di carenze intrinseche che allo stato attuale limitano la capacità di affrontare efficacemente le sfide attuali ed emergenti in materia di cybersicurezza;

con la direttiva (UE) 2022/2555 (cosiddetta direttiva NIS 2) del Parlamento europeo e del Consiglio del 14 dicembre 2022, viene abrogata la direttiva NIS e vengono poste in essere misure per superare tali carenze;

il nuovo impianto posto in essere dalla direttiva NIS 2 mira pertanto a superare e rafforzare quanto già previsto dalla precedente direttiva NIS, recepita nell'ordinamento nazionale con il decreto legislativo 18 maggio 2018, n. 65 (decreto legislativo NIS), in particolare attraverso: l'ampliamento del campo di applicazione, includendo anche la pubblica amministrazione centrale, le piccole e microimprese nel caso in cui operino in settori chiave per la società e, indipendentemente dalle dimensioni, fornitori di servizi di comunicazione elettroniche pubbliche e di reti di comunicazione elettronica accessibili al pubblico, con un aumento significativo dei settori vigilati e l'introduzione di un approccio «allhazards» alla cybersicurezza, che prevede l'inclusione di profili di sicurezza fisica delle infrastrutture ICT (Information and Communications Technology); la revisione del meccanismo di identificazione dei soggetti quali entità importati o essenziali, prevedendo un criterio omogeneo basato sulla dimensione (cosiddetto sizecap rule), che estende l'applicazione della direttiva a tutte le medie e grandi imprese che operano nei settori identificati. Ciò al fine di superare l'attuale disomogeneità nel processo di identificazione dei soggetti da parte degli Stati membri; il rafforzamento dei poteri di supervisione, con indicazioni più dettagliate per la definizione delle misure di sicurezza e l'inasprimento delle sanzioni; l'ampliamento delle funzioni dei CSIRT (Computer Security Incident Response Team) nazionali, che fungeranno, tra l'altro, da intermediari di fiducia tra i soggetti segnalanti e i fornitori di prodotti e servizi ICT nell'ambito del quadro per la divulgazione coordinata delle vulnerabilità (Coordinated Vulnerability Disclosure - CVD); la gestione delle crisi, con la previsione di una strategia in materia e l'istituzionalizzazione della Cyber Crises Liaison Organisation Network (CyCLONe), per la gestione coordinata a livello operativo degli incidenti e delle crisi di cybersicurezza su vasta scala,

considerato che,

nel corso degli ultimi anni, a livello nazionale, anche in ragione del contesto geopolitico, influenzato dai conflitti in Ucraina e in Medio Oriente, si è registrato un consistente aumento di azioni cyber malevoli, principalmente eventi di tipo DDoS a danno di siti web di pubbliche amministrazioni e imprese e, in numero esiguo, di tipo defacement, ossia intrusioni informatiche che consistono nel modificare pagine di siti web sostituendole con un messaggio di rivendicazione, di apologia e simili;

un'altra minaccia in aumento è costituita dagli attacchi ransomware, ossia, operazioni tramite le quali l'attaccante, di regola, si introduce nei sistemi di un soggetto per cifrarne i dati, al fine di ottenere il pagamento di un riscatto necessario a rendere le informazioni nuovamente disponibili al legittimo proprietario e/o a non diffonderle pubblicamente;

nel contesto nazionale sopra illustrato, dunque, l'attuazione della direttiva NIS 2 appare indispensabile per promuovere l'utilizzo di reti e sistemi sicuri, specialmente quando funzionali all'operatività delle infrastrutture cruciali per la tenuta del Sistema Paese, e mitigare le criticità che, come richiamato, sono state rilevate anche in ambito nazionale, con particolare riguardo alla ristrettezza dell'ambito di applicazione e all'ambiguità sulla individuazione dei soggetti cui rivolgere le misure di sicurezza e gli obblighi previsti dalla direttiva NIS;

l'Agenzia per la cybersicurezza nazionale, istituita con il decretolegge 14 giugno 2021, n. 82, convertito, con modificazioni dalla legge 4 agosto 2021, n. 109, con il compito tutelare la sicurezza e la resilienza nello spazio cibernetico, ha rafforzato il proprio impegno per garantire la diffusione di informazioni sui rischi cyber oltre che per fornire assistenza alle vittime. Tuttavia

occorrono nuovi strumenti per affrontare le crescenti problematiche di sicurezza a fronte della continua evoluzione tecnologica,

rilevato che,

nella redazione dello schema di decreto legislativo di recepimento, nel tenere conto dei criteri e dei principi direttivi di delega, contenuti nell'articolo 3 della legge 21 febbraio 2024, n. 15 (Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti normativi dell'Unione europea Legge di delegazione europea 2022/2023), gran parte dei contenuti della direttiva NIS 2 sono stati recepiti ma emergono, comunque, alcune importanti lacune meritevoli di maggiore attenzione anche alla luce degli effetti dei recenti accadimenti verificatasi lo scorso 19 luglio 2024, che hanno portato al crash dei sistemi informatici a livello internazionale,

esprime parere favorevole con le seguenti osservazioni:

1) sia previsto che l'attuazione e l'implementazione della normativa si basi su dettagliati criteri di adeguatezza e proporzionalità delle misure di sicurezza, sia in funzione del livello di rischio analizzato, sia rispetto all'esposizione e tipologia del soggetto identificato (differenziando, quindi, tra soggetti importanti ed essenziali), sia rispetto alla valutazione di impatto sui sistemi informativi e di rete;

2) relativamente ai provvedimenti di normazione secondaria di attuazione della Direttiva NIS 2 che spettano all'ACN, sia prevista la trasmissione al Parlamento per l'espressione di un parere, in modo da avere un confronto costante tra legislatore e ACN stessa;

3) relativamente all'articolo 9, che richiama la Strategia Nazionale per la Cybersicurezza come strumento per individuare obiettivi e risorse strategiche nell'ambito degli adempimenti comunitari, siano previste adeguate misure che consentano di raggiungere l'obiettivo del 1,2 per cento degli investimenti nazionali per la Cybersicurezza già previsto dalla suddetta Strategia Nazionale, al momento disatteso;

4) sia chiarita l'interpretazione esatta dell'articolo 635-quater, comma 1, del Codice Penale, come modificato dalla Legge 90 del 2024 che punisce l'utilizzo "abusivo" di una serie di attività cyber, definendo il significato preciso del termine "abusivo" sopra ricordato, in particolare stabilendo che tutti i privati che svolgono attività volte all'adempimento della Direttiva in oggetto, così come i loro fornitori quando agiscono sempre per adempiere alla NIS 2, agiscono legittimamente e non rientrano nella fattispecie del citato articolo 635-quater, comma 1, del Codice Penale sopra ricordato;

5) si valuti di poter ricomprendere nella normativa anche i Comuni non capoluoghi di Regione o inferiori ai 100.000 abitanti, su indicazione dell'ACN;

6) sia previsto per le società private coinvolte nell'applicazione della normativa un obbligo di reporting periodico in ambito cybersecurity al board, se presente, per finalità di monitoraggio e indirizzo delle priorità strategiche di settore;

7) sia prevista all'articolo 12, anche in apposita sessione all'uopo istituita, la partecipazione dell'industria al Tavolo per l'attuazione della Direttiva NIS, attraverso il coinvolgimento delle associazioni di categoria e delle società private maggiormente rappresentative dei vari settori;

8) siano previste norme per la sicurezza della supply chain attraverso incentivi al mercato unico europeo dei prodotti di sicurezza.