Pubblicato in G.U. il Decreto Legge 21 settembre n. 105: “Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica”.
Introdotto un reato presupposto della responsabilità degli enti all’interno delle fattispecie rubricate dal D.Lgs. 231/01 (Modello Organizzativo), con il fine di circoscrivere i rischi informatici della nuova tecnologia 5G.
Si prevede l’ istituzione del Perimetro di sicurezza nazionale, uno strumento volto ad assicurare un livello elevato di:
- sicurezza delle reti,
- sistemi informativi,
- servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, da cui dipende il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, possa derivare un pregiudizio per la sicurezza nazionale. I dettagli e le specifiche tecniche dell’istituto sono demandati a successivi decreti.
Entro quattro mesi dalla data di entrata in vigore della legge di conversione del decreto, con decreto del Presidente del Consiglio dei ministri, adottato su proposta del Comitato Interministeriale per la Sicurezza della Repubblica (CISR):
- sono individuati le amministrazioni pubbliche, gli enti e gli operatori nazionali, inclusi nel perimetro di sicurezza nazionale cibernetica e tenuti al rispetto delle misure e degli obblighi previsti;
- sono definiti i criteri (con la consulenza dell’ organismo tecnico di supporto al CISR, integrato con un rappresentante della Presidenza del Consiglio dei Ministri) in base ai quali i soggetti individuati predispongono e aggiornano con cadenza almeno annuale un elenco delle reti, dei sistemi informativi e dei servizi informatici di rispettiva pertinenza, comprensivo della relativa architettura e componentistica;
Entro dieci mesi dalla data di entrata in vigore della legge di conversione del decreto sono definite le procedure di notifica degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici strategici per la sicurezza al Gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT) italiano, che provvederà ad informare il Dipartimento delle informazioni per la sicurezza e questo a sua volta il Ministero degli Interni se trattasi di dati gestiti dal pubblico o il Ministero per lo sviluppo economico se trattasi di dati gestiti da privati.
Si prevedono misure di controllo per
- attuazione politiche di sicurezza, struttura organizzativa e gestione del rischio;
- mitigazione e gestione degli incidenti e loro prevenzione, anche attraverso la sostituzione di apparati o prodotti che risultino gravemente inadeguati sul piano della sicurezza;
- protezione fisica e logica e dei dati;
- integrita' delle reti e dei sistemi informativi;
- gestione operativa, compresa la continuita' del servizio;
- monitoraggio, test e controllo;
- formazione e consapevolezza;
- affidamento di forniture di beni, sistemi e servizi di information and communication technology (ICT), anche mediante
definizione di caratteristiche e requisiti di carattere generale
L’approntamento di tali misure è a cura di Ministero dello sviluppo economico e la Presidenza del Consiglio dei ministri, d'intesa con il Ministero della difesa, il Ministero dell'interno, il Ministero dell'economia e delle finanze e il Dipartimento delle informazioni per la sicurezza.
In caso di mancato adempimento delle prescrizioni, inosservanza di misure di sicurezza od omissioni informative, sono previste sanzioni amministrative pecuniarie fino a 1 milione e 800 mila euro.
- Inoltre, il Decreto, all’art. 1, comma 11, ha introdotto una nuova fattispecie di responsabilità 231 delle società prevedendo sanzioni in caso di ostacoli all’attuazione degli aggiornamenti richiesti.
“Chiunque, allo scopo di ostacolare o condizionare l’espletamento dei procedimenti di cui al comma 2, lettera b) (censimento reti, sistemi informativi e servizi informatici comprensivo di architettura e componentistica), o al comma 6, lettera a) (affidamento forniture di beni e di servizi ICT e relativi test), o delle attività ispettive e di vigilanza previste dal comma 6, lettera c) (attuati dalla presidenza del Consiglio dei Ministri o dal Ministero dello Sviluppo Economico), fornisce informazioni, dati o elementi di fatto non rispondenti al vero, rilevanti per la predisposizione o l’aggiornamento degli elenchi di cui al comma 2, lettera b) (reti, sistemi informativi e servizi informatici), o ai fini delle comunicazioni richieste o per lo svolgimento delle attività ispettive e di vigilanza di cui al comma 6), lettera c) od omette di comunicare entro i termini prescritti i predetti dati, informazioni o elementi di fatto, è punito con la reclusione da uno a cinque anni e all’ente, responsabile ai sensi del decreto legislativo 8 giugno 2001, n. 231, si applica la sanzione pecuniaria fino a quattrocento quote”.
Per i dipendenti dei soggetti pubblici individuati ai sensi del comma 2, lettera a), la violazione delle disposizioni puo' costituire causa di responsabilita' disciplinare e amministrativo-contabile.
Il provvedimento è entrato in vigore il 22 settembre 2019.
Area Legale