Legislatura 19ª - 1ª e 8ª riunite - Resoconto sommario n. 3 del 24/07/2024

Copia questo link

Attiva riferimenti normativi

Azioni disponibili

Copia questo link
Attiva riferimenti normativi

IN SEDE CONSULTIVA SU ATTI DEL GOVERNO

Schema di decreto legislativo recante recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (n. 164)

(Parere al Ministro per i rapporti con il Parlamento, ai sensi degli articoli 1 e 3 della legge 21 febbraio 2024, n. 15. Seguito e conclusione dell'esame. Parere favorevole con osservazioni)

Prosegue l'esame, sospeso nella seduta del 26 giugno.

Il PRESIDENTE avverte che - essendo pervenuto il parere della Conferenza unificata - le Commissioni riunite potranno procedere con la votazione del parere. Cede quindi la parola ai relatori.

Il senatore POTENTI (LSP-PSd'Az), relatore per la 8^a Commissione, illustra uno schema di parere favorevole con osservazioni, pubblicato in allegato.

In particolare, si ritiene necessario che, in fase di recepimento della direttiva 2022/2555, il Governo adotti un approccio ispirato alla gradualità, in modo da consentire al mondo imprenditoriale e industriale di inserire gradualmente le novità e le modalità di lavoro differenti da quelle applicate finora, a partire dal rafforzamento del personale destinato all'attuazione nelle aziende della nuova normativa.

Si raccomanda altresì il rispetto del principio di mitigazione dell'impatto sulle imprese infragruppo, su cui si verificheranno effetti significativi.

Il senatore DELLA PORTA (FdI), relatore per la 8^a Commissione, si associa alle considerazioni del relatore Potenti, sottolineando in particolare l'esigenza di un recepimento della direttiva secondo il principio della gradualità e della mitigazione dell'impatto.

Il senatore BASSO (PD-IDP) illustra uno schema di parere alternativo, pubblicato in allegato, anch'esso favorevole con osservazioni. A differenza della proposta dei relatori, però, si ritengono necessari rilievi più incisivi, data la particolare rilevanza della direttiva NIS 2 per la sicurezza informatica del Paese, anche alla luce del crash informatico avvenuto recentemente, di cui non è stata ancora chiarita la causa, cioè se sia stato provocato dall'errore umano o da un attacco criminale.

Oltre a richiedere che l'attuazione e l'implementazione della normativa si basi su dettagliati criteri di adeguatezza e proporzionalità delle misure di sicurezza, si prevede che i provvedimenti attuativi della direttiva NIS 2 che spettano all'Agenzia per la cybersicurezza nazionale (ACN) siano trasmessi al Parlamento per l'espressione di un parere.

Come già evidenziato in sede di esame della legge n. 90 del 2024 sulla cybersicurezza, si ritiene necessario chiarire l'interpretazione dell'articolo 635-quater, comma 1, del codice penale, per consentire eventuali attacchi in risposta alle aggressioni informatiche ostili, senza che tali attività possano essere qualificate come "abusive".

Si invita inoltre il Governo a valutare di ricomprendere nella normativa anche i Comuni non capoluoghi di Regione o inferiori ai 100.000 abitanti. Senza effettuare una mappatura, si dovrebbe lasciare all'ACN il compito di valutare quali strutture includere nel perimetro della direttiva NIS 2, come avviene in altri Paesi, che per esempio hanno incluso anche basi NATO o infrastrutture energetiche.

Considerato che molti dei software sui sistemi critici per la sicurezza nazionale riguardano soggetti privati, è opportuno coinvolgere le associazioni di categoria e le società private maggiormente rappresentative dei vari settori nel tavolo per l'attuazione della direttiva NIS.

Infine, si rileva l'esigenza di prevedere norme per la sicurezza della supply chain, attraverso incentivi al mercato unico europeo dei prodotti di sicurezza.

Auspica che i relatori e il Governo intendano recepire almeno in parte le osservazioni formulate nella proposta di parere del Partito democratico, in quanto volte a rafforzare l'intero sistema, per la crescita della sicurezza cibernetica del Paese.

Il relatore DELLA PORTA (FdI), pur apprezzando lo spirito di collaborazione costruttiva del Gruppo del PD e ritenendo alcune osservazioni condivisibili nel merito, osserva che gli aspetti segnalati dovrebbero essere oggetto di specifici e separati interventi normativi. Qualora i rilievi proposti fossero accolti nella proposta di parere, si rischierebbe di appesantire la procedura di recepimento della direttiva europea, che invece contiene misure urgenti per contrastare le crescenti minacce derivanti dallo sviluppo della digitalizzazione.

Segnala peraltro che il rilievo sul principio di adeguatezza e proporzionalità nell'attuazione delle misure di sicurezza è già presente nello schema di parere dei relatori.

Il senatore BASSO (PD-IDP) prende atto della posizione del relatore Della Porta e, a nome del Gruppo, dichiara quindi un voto di astensione sulla proposta di parere dei relatori.

La senatrice SIRONI (M5S) chiede ai relatori se non sia preferibile recepire quanto meno l'osservazione relativa alla possibilità di ricomprendere i piccoli Comuni.

Il relatore DELLA PORTA (FdI), nel ribadire la necessità di uno specifico intervento normativo anche su questo aspetto, conferma la proposta di parere illustrata.

Accertata la presenza del numero legale, le Commissioni riunite approvano quindi la proposta di parere dei relatori.

Lo schema di parere alternativo presentato dai senatori del Gruppo del Partito Democratico è quindi precluso.