D. Lgs. n.123/2022 sulla cibersicurezza


12 Settembre 2022
Condividi

Il D. Lgs. n. 123/2022 attua misure funzionali ad adeguare la normativa nazionale al quadro europeo di certificazione della cibersicurezza definito dal Regolamento UE 2019/881. Pubblicato in Gazzetta Ufficiale ad agosto, il decreto entrerà poi in vigore a partire dal 4 settembre 2022.  

Il Decreto

Sulla Gazzetta Ufficiale n. 194 del 20 agosto 2022 è stato pubblicato il D. Lgs. 03/08/2022 n. 123 con il quale si attuano misure funzionali ad adeguare la normativa nazionale al quadro europeo di certificazione della cibersicurezza, definito dal Regolamento UE 2019/881 che istituisce un quadro di certificazione sulla sicurezza informatica per attestare che i prodotti, servizi e processi TIC (tecnologie dell’informazione e della comunicazione) siano dotati di requisiti di certificazione, con lo scopo di salvaguardare la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati che vengono conservati, trasmessi o trattati.

D.Lgs. n. 123/2022 è dunque il decreto di attuazione del Reg. UE 2019/881 e mira ad adeguare la normativa nazionale al nuovo quadro europeo, introdotto con le disposizioni del Titolo III del Regolamento UE 2019/881.

Nello specifico il decreto:

  • individua nell’Agenzia per la Cibersicurezza Nazionale (ACN) l’autorità preposta al rilascio delle certificazioni, con riferimento al quadro europeo. L’Agenzia ha, inoltre, il compito di collaborare con le altre autorità europee e di vigilare i fini della corretta applicazione delle regole previste dai sistemi europei di certificazione della cibersicurezza.
  • disciplina il meccanismo di interazione e cooperazione tra l’Agenzia nazionale e le altre autorità pubbliche nazionali ed europee e altri organismi di accreditamento. Inoltre, l’Agenzia è tenuta a svolgere un’attività di monitoraggio sull’andamento delle certificazioni e può promuovere attività di ricerca e formazione specifica sulla cibersicurezza allo scopo di diffondere una maggiore cultura e consapevolezza sulla sicurezza informatica.
  • definisce, mediante l’art. 10, un apposito regime sanzionatorio applicabile in caso di violazione delle norme del quadro europeo di certificazione con sanzioni effettive, proporzionate e dissuasive e riconosce all’Agenzia nazionale di infliggere sanzioni pecuniarie. Gli artt. 11 e 12 riconoscono il diritto del produttore o fornitori di prodotti, servizi e processi TIC di proporre reclamo avverso le decisioni relative alle certificazioni e di proporre ricorso giurisdizionale ai tribunali amministrativi regionali competenti.

Il decreto trova applicazione fatte salve le disposizioni specifiche riguardanti le attività nel settore della pubblica sicurezza, della difesa, della sicurezza nazionale e le attività dello Stato nell’ambito del diritto penale.

Agenzia per la Cibersicurezza nazionale

L’Agenzia per la Cibersicurezza nazionale (ACN) è l’autorità nazionale di certificazione della cibersicurezza ed è un ente di diritto pubblico italiano con compiti di sicurezza in ambito informatico.

Essa persegue l’autonomia strategica nazionale ed europea nel settore del digitale, in sinergia con il sistema produttivo nazionale e attraverso il coinvolgimento del settore universitario e della ricerca.

Inoltre effettua attività di vigilanza in ambito nazionale ai fini della corretta applicazione delle regole previste dai sistemi europei di certificazione della cibersicurezza, con riferimento ai certificati e alle dichiarazioni UE di conformità emessi nel territorio dello Stato vigilando sui fornitori e fabbricanti emittenti le dichiarazioni UE di conformità, sui titolari di certificati europei di cibersicurezza e sugli organismi di valutazione della conformità.

L’Agenzia, nello svolgimento dell’attività di vigilanza, collabora anche con altre autorità di vigilanza del mercato competenti in Italia e con le autorità di vigilanza degli altri Stati membri, collaborando anche con le Forze dell’ordine. Essa può inoltre effettuare indagini ed audit, revocare certificati, irrogare sanzioni pecuniarie ed accessorie.

Rilascia i certificati di cibersicurezza con livello di affidabilità elevato tramite l’Organismo di Certificazione della Sicurezza Informatica (OCSI) che si può avvalere di esperti o di laboratori di prova abilitati dall’Agenzia stessa. Dato che però nel sistema di certificazione è autorizzata l’autovalutazione di conformità, i fornitori o fabbricanti di prodotti, servizi o processi TIC possono rilasciare, sotto la propria responsabilità, dichiarazioni UE di conformità di livello di base per dimostrare il rispetto di requisiti tecnici previsti nel sistema. Se l’Agenzia accerta la non conformità di una dichiarazione UE il fabbricante o fornitore emittente è obbligato a revisionare o revocare la dichiarazione UE di conformità entro 30 giorni, comunicandolo all’Agenzia.

Certificazioni di sicurezza

Le certificazioni di cibersicurezza vengono rilasciate sulla base del grado di conformità valutato sul livello di rischio ai sensi dell’art. 52 del Regolamento UE, commisurato al rischio associato all’uso del prodotto, servizio o processo TIC. I livelli di affidabilità sono tre:

  • di base
  • sostanziale
  • elevata

Nel primo caso il certificato assicura che prodotti, servizi e processi TIC sono stati valutati ad un livello sufficiente a ridurre i rischi informatici derivanti da noti di incidenti o attacchi informatici, per il quale può bastare un riesame della documentazione tecnica (attività di valutazione sostitutive di effetto equivalente).

Nel secondo caso il certificato garantisce standard più elevati e assicura che prodotti, servizi e processi TIC rispettano i corrispondenti requisiti di sicurezza e sono valutati a un livello inteso a ridurre al minimo i rischi noti di attacchi e incidenti informatici causati da soggetti dotati di abilità e risorse limitate, e per cui le attività di valutazione comprendono almeno un test per verificare l’assenza di vulnerabilità pubblicamente note e un test per dimostrare che i prodotti o servizi attuino correttamente le necessarie funzionalità di sicurezza.

Nel terzo caso il certificato assicura che prodotti, servizi e processi TIC rispettano i corrispondenti requisiti di sicurezza e sono valutati a un livello inteso a ridurre al minimo i rischi connessi ad attacchi e incidenti informatici avanzati commessi da soggetti dotati di abilità e risorse significative (in questo caso la valutazione comprende un riesame per dimostrare l’assenza di vulnerabilità, un test specifico per dimostrare che prodotti, servizi e processi TIC attuino correttamente le funzionalità di sicurezza, una valutazione della loro resistenza agli attacchi commessi da soggetti qualificati mediante test di penetrazione).

Come già detto, viene previsto dal Decreto un meccanismo di autovalutazione a carico del produttore del servizio TIC, disciplinato dall’art. 7 del Decreto in base all’art. 54 del Regolamento UE.

Sia la certificazione che la dichiarazione è volontaria e non obbligatoria, a meno che non siano imposti dalla legge degli Stati membri. Le dichiarazioni di conformità e le certificazioni sono riconosciute ugualmente da tutti gli Stati UE. La regolazione delle certificazioni di sicurezza informatica è un sistema nato proprio per risolvere il problema della disomogeneità delle certificazioni tra i vari Paesi, evitando così un dispendio di risorse per avviare i processi di riconoscimento delle certificazioni differenti tra diversi i Paesi. Inoltre la certificazione a livello europeo costituisce un elemento di competitività rispetto ai produttori o fornitori extra UE.

Quadro sanzionatorio

L’art. 10 del Decreto prevede un regime sanzionatorio; infatti l’Agenzia, in caso di violazione degli obblighi del quadro europeo di certificazione della cibersicurezza, attua sanzioni pecuniarie ed accessorie, chiedendo la cessazione immediata della violazione.

Nello specifico, il decreto prevede che:

  • salvo che si tratti di reato, l’organismo di valutazione della conformità che emette un certificato di cibersicurezza non conforme è punito con la sanzione del pagamento di una somma da 15.000 euro a 75.000 euro; in caso di omessa revoca di un certificato da parte dell’organismo su richiesta dell’Agenzia si applica la sanzione del pagamento di una somma da 30.000 euro a 150.000 euro;
  • salvo che si tratti di reato, il fabbricante o fornitore che emette una dichiarazione UE di conformità volontaria non conforme è punito con la sanzione del pagamento di una somma da 15.000 euro a 75.000 euro; in caso di omessa revisione o revoca di dichiarazione UE di conformità volontaria o obbligatoria si applica la sanzione del pagamento di una somma da 30.000 euro a 150.000 euro.

Gli artt. 11 e 12 riconoscono il diritto del produttore o fornitori di prodotti, servizi e processi TIC di proporre reclamo avverso le decisioni relative alle certificazioni e di proporre ricorso giurisdizionale ai tribunali amministrativi regionali competenti.

Strategia nazionale di Cibersicurezza

La pubblicazione del Decreto di agosto si inserisce perfettamente nel disegno della Strategia nazionale di Cibersicurezza. Infatti un comunicato della presidenza del Consiglio dei Ministri pubblicato sulla Gazzetta Ufficiale n. 127 di giugno 2022 attesta l’adozione di una strategia nazionale per gli anni 2022-2026 con lo scopo di pianificare, coordinare e attuare misure per rendere il Paese più sicuro e resiliente. La strategia prevede il raggiungimento di 82 misure entro il 2026, sotto la supervisione dell’Agenzia per la Cibersicurezza Nazionale. Congiuntamente è stato pubblicato il Piano di implementazione.

Le sfide della Strategia da qui al 2026 sono: assicurare una transizione digitale della Pubblica Amministrazione e del tessuto produttivo; prevedere, prevenire e mitigare il più possibile gli impatti di eventuali minacce informatiche; contrastare la disinformazione online; coordinare i soggetti pubblici e privati interessati, per dare una risposta pronta in caso di criticità; raggiungere un’autonomia strategica nazionale ed europea nel settore del digitale per avere un controllo diretto sui dati conservati, elaborati e trasmessi attraverso le moderne tecnologie.

La Strategia Nazionale di Cibersicurezza individua tre obiettivi fondamentali:

  • protezione degli asset strategici nazionali, con un approccio orientato alla gestione e mitigazione del rischio, formato sia da un quadro normativo che da misure, strumenti e controlli per abilitare una transizione digitale resiliente del Paese
  • risposta alle minacce, agli incidenti e alle crisi ciber nazionali, attraverso sistemi di monitoraggio, rilevamento, analisi e attivazione di processi che coinvolgano l’intero ecosistema di cibersicurezza nazionale
  • sviluppo sicuro delle tecnologie digitali, per rispondere alle esigenze del mercato, attraverso strumenti e iniziative volti a supportare i centri di eccellenza, le attività di ricerca e le imprese.

Finanziamenti e investimenti

L’importanza che ha ormai assunto la cibersicurezza, anche in Italia, è testimoniata dai numerosi investimenti previsti per i prossimi anni. Il Piano nazionale di ripresa e resilienza (Pnrr) prevede infatti importanti investimenti nel settore, più precisamente 623 milioni di euro divisi in più anni: 170 milioni nel 2021, 190,4 nel 2022, 174 nel 2023, 88,6 nel 2024.

Gli investimenti sono ripartiti su quattro aree:

  • rafforzamento dei presidi di prima linea per la gestione degli alert e degli eventi a rischio intercettati verso la PA e le imprese di interesse nazionale
  • costruzione o consolidamento delle capacità di valutazione della sicurezza degli apparati elettronici e delle applicazioni utilizzate per l’erogazione di servizi critici da parte di soggetti che esercitano una funzione essenziale
  • immissione di nuovo personale nelle aree di pubblica sicurezza e polizia giudiziaria dedicate alla prevenzione e investigazione del crimine informatico
  • irrobustimento unità informatiche incaricate della protezione della sicurezza azionale e della risposta alle minacce cyber.

Martina Malavolta

© Riproduzione Riservata

ISCRIVITI ALLA NEWSLETTER

UTILITY TUTTE LE UTILITY
CONTATTACI PER UNA CONSULENZA
P.IVA 03921180612 | Privacy Policy | Revoca consenso cookie