Un DDL Cyber per rafforzare il sistema: luci e ombre
Il recente disegno di legge sulla cyber security, attualmente in discussione al Senato, introduce una serie di norme interessanti e potenzialmente transformative per migliorare la gestione e la resilienza ai rischi di sicurezza informatica nelle pubbliche amministrazioni (PA).
Tuttavia, emergono alcune criticità che richiedono attenzione per evitare che queste nuove disposizioni si traducano in meri adempimenti formali.
Cosa prevede il DDL Cyber?
Il DDL, strutturato in due capi principali, mira a rafforzare la sicurezza informatica nelle grandi pubbliche amministrazioni e nei soggetti collegati, oltre a modernizzare la normativa sui reati informatici, che in parte risale ancora agli anni Novanta. Tra i punti salienti del DDL:
- Capo I: Disposizioni sulla sicurezza nelle grandi pubbliche amministrazioni.
- Capo II: Modifiche alla normativa sui reati informatici, con aggiornamenti al Codice penale e al Codice di procedura penale.
Uno degli articoli più discussi è il 24, che impone l’attuazione della legge senza prevedere maggiori oneri finanziari. Questo vincolo, fortunatamente oggetto di diversi emendamenti, rischia di compromettere l’efficacia delle iniziative previste, in particolare in vista dell’adeguamento alla Direttiva NIS2.
Fondi PNRR e risorse
L’utilizzo dei fondi del Piano Nazionale di Ripresa e Resilienza (PNRR) è frequentemente citato come soluzione per finanziare le iniziative di cyber security. Tuttavia, questi fondi rappresentano una soluzione temporanea e richiedono un impiego prudente, soprattutto per iniziative con costi operativi a lungo termine. Le PA devono quindi essere caute nell’utilizzo di questi fondi per evitare di trovarsi senza risorse sufficienti una volta esauriti.
Fonti di finanziamento e competenze
È molto opportuna l’ipotesi di fonti di finanziamento specifiche e rinnovate annualmente, mentre è meno interessante il riferimento specifico al finanziamento per l’acquisto di strumentazioni tecnologiche. Per molte PA, il vero problema non è tanto la carenza di tecnologia quanto la mancanza di competenze e di un’organizzazione adeguata per sfruttarle.
Segnalazioni di incidenti allo CSIRT Italia
Il DDL affronta nei primi articoli il tema della segnalazione di incidenti al CSIRT Italia, coinvolgendo PA centrali, grandi comuni, città metropolitane e alcune società ad esse collegate. Questa misura, pur necessaria, potrebbe generare sovrapposizioni con i requisiti della Direttiva NIS2, prevista per ottobre 2024. Si rischia di creare ulteriore confusione normativa, soprattutto se l’Italia decidesse di non rispettare la scadenza della Direttiva.
Confusione normativa per la PA
Introdurre obblighi sovrapposti potrebbe aumentare la complessità per le PA, che già devono affrontare normative complesse. Un approccio più efficace potrebbe essere quello di adottare processi di gestione e segnalazione coerenti con la NIS2, evitando requisiti onerosi che porterebbero a inadempienze e ulteriore confusione.
Coordinamento istituzionale e potere ai CISO
Il DDL prevede un rafforzamento del coordinamento tra i diversi soggetti istituzionali nella gestione degli incidenti e attribuisce maggiore potere ai CISO (Chief Information Security Officer). L’articolo 8 istituisce una struttura di governo della cyber security e la figura del “Referente per la cybersicurezza”, un passo fondamentale per migliorare la gestione dei rischi.
Crittografia e standard nazionali
Gli articoli 9 e 10 affrontano l’uso della crittografia, evidenziando l’importanza di adottare standard europei per evitare complessità tecniche e di mercato. È essenziale che l’Italia partecipi attivamente alle iniziative europee e sviluppi competenze specifiche per rispondere alle esigenze nazionali.
Acquisti in tema di cyber security
L’articolo 14 introduce requisiti per gli acquisti di beni e servizi da parte delle PA, volti a migliorare il livello di sicurezza. Questo può avere effetti positivi per tutto il Paese, ma deve essere attuato in modo da non vincolare eccessivamente il mercato.
Conclusioni
Il DDL prevede alcune disposizioni molto interessanti per migliorare la gestione e la resilienza ai rischi di cyber security nelle PA. Tuttavia, la mancanza di risorse rischia di ridurre queste misure a meri adempimenti formali, mentre le sovrapposizioni con la Direttiva NIS2 potrebbero creare complessità normative. È essenziale adottare un approccio equilibrato, che tenga conto delle competenze necessarie e delle risorse disponibili per garantire un’efficace implementazione delle misure di cyber security.