Conversione in legge del decreto-legge 14 giugno 2021, n. 82, recante disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale

(C. 3161 Governo)

Relazione on. Tofalo

La Commissione Difesa è chiamata a rendere il parere alle Commissioni riunite Affari costituzionali (I) e Trasporti (IX) sulle parti di competenza del decreto-legge 14 giugno 2021, n. 82.

Il provvedimento del Governo è composto di 19 articoli e aggiorna l’architettura nazionale di sicurezza cibernetica, da ultimo definita con la Direttiva del Presidente del Consiglio dei ministri del 17 febbraio 2017 recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali. Ricordo, infatti, che – a partire dalla legge 7 agosto 2012, n. 133 – sono stati via via attribuiti al Comparto intelligence e, in particolare, al Dipartimento delle informazioni per la sicurezza (DIS), compiti e funzioni pienamente rientranti nell’ambito della salvaguardia della sicurezza nazionale.

Come è già avvenuto anche in altri Paesi (Francia, Germania e Regno Unito), il decreto in esame provvede a istituire un’Agenzia nazionale di cybersicurezza a cui attribuire direttamente la responsabilità delle attività di sicurezza informatica, concentrando in essa le funzioni specialistiche in materia ad esclusione di quelle attinenti alla cyber-intelligence (di competenza degli organismi di informazione per la sicurezza), alla cyber-defense (intesa come difesa e sicurezza militare dello Stato, di competenza del Ministero della difesa) e alla prevenzione e repressione dei reati (di competenza delle Forze di polizia). A ciò deve accompagnarsi il più ampio ruolo di coordinamento e stretta sinergia con tutte le altre amministrazioni coinvolte ratione materiae (intelligence, Difesa, Forze di polizia, strutture preposte alla protezione fisica delle infrastrutture critiche, Ministeri degli affari esteri e della cooperazione internazionale, dello sviluppo economico, dell’innovazione tecnologica e della transizione digitale, dell’università e della ricerca, etc.), in modo da assicurare un’interfaccia unica a livello nazionale, europeo e internazionale.

In estrema sintesi, l’impianto normativo disegnato dal nuovo decreto provvede: a definire le competenze in materia di cybersicurezza del Vertice politico; a razionalizzare le competenze in materia di cybersicurezza attualmente attribuite ad una pluralità di soggetti istituzionali; a supportare lo sviluppo di capacità industriali, tecnologiche e scientifiche nel campo della cybersicurezza, in un’ottica di autonomia strategica nazionale ed europea nel settore; a dare attuazione al Piano Nazionale di Ripresa e Resilienza (PNRR); a mettere in stretto raccordo l’architettura di cybersicurezza nazionale con il Sistema di informazione per la sicurezza della Repubblica previsto dalla legge 3 agosto 2007, n. 124, a fronte di una chiara separazione di competenze a tutela della sicurezza nazionale nel dominio cibernetico  dell’attribuzione di poteri di controllo al Comitato parlamentare per la sicurezza della Repubblica (Copasir); infine, a promuovere una gestione coordinata, con i diversi attori coinvolti, delle attività di prevenzione, preparazione e risposta a situazioni di crisi, anche mediante la costituzione, nell’ambito dell’istituenda Agenzia, del Nucleo per la cybersicurezza.

Passando ai contenuti in dettaglio delle disposizioni del decreto-legge, gli articoli da 1 a 4 definiscono il sistema nazionale di sicurezza cibernetica, che ha al suo vertice il Presidente del Consiglio dei ministri cui è attribuita l’alta direzione e la responsabilità generale delle politiche di cybersicurezza e a cui spetta l’adozione della relativa strategia nazionale, nonché la nomina e la revoca del direttore generale e del vice direttore generale della nuova Agenzia per la cybersicurezza nazionale, previa informativa al presidente del Copasir. Il Presidente del Consiglio dei ministri può tuttavia delegare all’Autorità delegata per il sistema di informazione per la sicurezza della Repubblica, ove istituita, le funzioni che non sono a lui attribuite in via esclusiva. Inoltre viene istituito, presso la Presidenza del Consiglio dei ministri, il Comitato interministeriale per la cybersicurezza (CIC), tra i cui componenti vi è anche il Ministro della difesa. Tale organismo ha funzioni di consulenza, proposta e vigilanza in materia di politiche di cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico. In particolare, vengono affidate al CIC tutte le funzioni di consulenza e proposta già attribuite al CISR dal decreto-legge n. 105 del 2019 (cosiddetto decreto perimetro) e dai relativi provvedimenti attuativi, fatta eccezione per quelle in materia di determinazioni del Presidente del Consiglio dei ministri in caso di crisi di natura cibernetica.

L’articolo 5 istituisce l’Agenzia per la cybersicurezza nazionale a tutela degli interessi nazionali nel campo della cybersicurezza e della sicurezza nazionale nello spazio cibernetico. L’Agenzia, dotata di personalità giuridica di diritto pubblico e di autonomia regolamentare, amministrativa, patrimoniale, organizzativa, contabile e finanziaria, è strumentale all’esercizio delle competenze che il decreto-legge assegna al Presidente del Consiglio dei ministri e all’Autorità delegata, ove istituita e può richiedere la collaborazione di altri organi dello Stato, di altre amministrazioni, delle Forze di polizia o di enti pubblici. La disciplina relativa all’Agenzia è fissata dalle norme del decreto-legge e da alcuni regolamenti che dovranno essere adottati, entro centoventi giorni dalla data di entrata in vigore della legge di conversione del decreto in esame. Su tutti i regolamenti è previsto il parere del Copasir, sentito il Comitato interministeriale per la cybersicurezza.

L’articolo 6 reca disposizioni in materia di organizzazione dell’Agenzia, che ha sede in Roma e può avere sedi secondarie, prevedendo l’adozione di un apposito regolamento che ne disciplini l’articolazione in Uffici di livello dirigenziale generale (fino a un numero massimo di otto), nonché in articolazioni di livello dirigenziale non generale (fino a un numero massimo di trenta). Sono organi dell’Agenzia il direttore generale, che rappresenta l’organo di gestione ed è il legale rappresentante dell’Agenzia, nonché il diretto referente del Presidente del Consiglio dei ministri e dell’Autorità delegata, e il collegio dei revisori dei conti, organo di controllo interno. L’incarico del direttore ha una durata massima di 4 anni e può essere rinnovato per un massimo di ulteriori 4 anni. Viene inoltre stabilito che il Copasir può chiedere l’audizione del direttore generale dell’Agenzia su questioni di propria competenza.

Il sistema di finanziamento dell’Agenzia e l’autonomia contabile e gestionale della stessa sono regolati dall’articolo 11. In particolare, viene attribuita al Presidente del Consiglio dei ministri la determinazione del fabbisogno annuo delle risorse finanziarie dell’Agenzia di cui viene data preventiva comunicazione al Copasir. Le fonti di entrata dell’istituenda Agenzia sono stabilite dal comma 2, mentre il comma 3 reca le disposizioni in materia di regolamento di contabilità dell’Agenzia, prevedendo i criteri che il provvedimento di attuazione dovrà rispettare. Infine, al comma 4, viene previsto che l’Agenzia si doti di un regolamento che definisca, anche in deroga alle norme in materia di contratti pubblici, le procedure per la stipula di contratti di appalti di lavori e forniture di beni e servizi per le attività dell’Agenzia finalizzate alla tutela della sicurezza nazionale nello spazio cibernetico e per quelle svolte in raccordo con il Sistema di informazione per la sicurezza della Repubblica di cui alla legge n. 124 del 2007, ferma restando la disciplina di cui all’articolo 162 del decreto legislativo 18 aprile 2016, n. 50 (c.d. codice degli appalti pubblici).

L’articolo 12 prevede che la disciplina del personale addetto all’Agenzia sia stabilita in apposito regolamento adottato nel rispetto dei principi generali dell’ordinamento giuridico e dei criteri indicati nel decreto, anche in deroga alle vigenti disposizioni di legge. La deroga è posta in correlazione con le funzioni di tutela della sicurezza nazionale nello spazio cibernetico attribuite all’Agenzia e con le attività svolte dall’Agenzia in raccordo con il Sistema di informazione per la sicurezza della Repubblica. È poi disposto che il regolamento preveda, tra l’altro, la possibilità di procedere ad assunzioni a tempo determinato per specifiche progettualità e di avvalersi di un contingente di esperti, non superiore a cinquanta unità, in possesso di elevata competenza in materia di cyber sicurezza e di tecnologie digitali innovative, nonché la possibilità di impiegare personale del Ministero della difesa, secondo termini e modalità da definire con apposito decreto del Presidente del Consiglio dei ministri, anche in ragione dell’elevata professionalità ed esperienza del personale militare e dell’opportunità di un’osmosi sul piano tecnico tra l’istituenda Agenzia di cybersicurezza nazionale e la Difesa. Al riguardo, osservo che, in relazione al possibile impiego di personale militare, andrebbe valutata l’opportunità di prevedere che il decreto del Presidente del Consiglio dei ministri definisca, altresì, il relativo stato giuridico. Quanto alla dotazione organica dell’Agenzia, il decreto prevede un massimo di 300 unità, di cui fino a un massimo di 8 unità di livello dirigenziale generale, fino a un massimo di 24 unità di livello dirigenziale non generale e fino a un massimo di 268 unità di personale non dirigenziale. Tale dotazione organica potrà essere rideterminata con decreto del presidente del Consiglio dei ministri, adottato di concerto con il Ministro dell’economia e delle finanze, nei limiti delle risorse finanziarie destinate alle spese per il personale. Dei provvedimenti relativi alla dotazione organica è data tempestiva e motivata comunicazione al presidente del Copasir. Infine, rilevo che il personale che presta a qualsiasi titolo la propria opera alle dipendenze o in favore dell’Agenzia è tenuto al rispetto del segreto su ciò di cui sia venuto a conoscenza nell’esercizio o a causa delle proprie funzioni, anche dopo la cessazione di tale attività.

L’articolo 7 determina le funzioni dell’Agenzia per la cybersicurezza nazionale. In particolare, l’Agenzia predispone la strategia nazionale di cybersicurezza; assume compiti finora attribuiti a diversi soggetti quali il Ministero dello sviluppo economico, la Presidenza del Consiglio, il Dipartimento delle informazioni e della sicurezza, l’Agenzia per l’Italia digitale e promuove iniziative per lo sviluppo di competenze e capacità. Inoltre, presso l’Agenzia sono trasferiti il CSIRT italiano (ora CSIRT Italia) e il Centro di valutazione e certificazione nazionale (CVCN). L’Agenzia, che è l’Autorità nazionale per la cybersicurezza, svolge ogni necessaria attività di supporto al funzionamento del Nucleo per la cybersicurezza, presieduto dal direttore generale dell’Agenzia o dal vice direttore ed è l’Autorità nazionale di certificazione della cybersicurezza. Al riguardo, segnalo che, poiché la disciplina europea prevede che solo previo accreditamento da parte dell’organismo nazionale possano operare organismi di valutazione della conformità, il decreto in esame prevede che sia l’Agenzia ad accreditare le strutture specializzate del Ministero della difesa e del Ministero dell’interno quali organismi di valutazione della conformità per i sistemi di propria competenza. Inoltre si prevede che l’Agenzia deleghi il Ministero della difesa e il Ministero dell’interno, attraverso le proprie strutture accreditate, al rilascio del certificato europeo di sicurezza cibernetica per i casi in cui la disciplina europea prevede che, ove una certificazione della cybersicurezza richieda un livello di affidabilità “elevato”, il rilascio di siffatta certificazione sia effettuabile da un organismo di valutazione della conformità previa delega generale da parte dell’autorità nazionale per la certificazione.

Tra i compiti dell’Agenzia rientrano anche quelli di assumere tutte le funzioni in materia di cybersicurezza già attribuite dalle disposizioni vigenti al Ministero dello sviluppo economico relative, tra l’altro, al perimetro di sicurezza nazionale cibernetica, alla sicurezza ed integrità delle informazioni elettroniche, alla sicurezza delle reti e dei sistemi informativi, di partecipare al gruppo di coordinamento istituito dalle disposizioni attuative del decreto-legge n. 21 del 2012, recante norme in materia di poteri speciali sugli assetti societari nei settori della difesa e della sicurezza nazionale, nonché per le attività di rilevanza strategica nei settori dell’energia, dei trasporti e delle comunicazioni, di assumere le funzioni in materia di perimetro di sicurezza nazionale cibernetica attribuite alla Presidenza del Consiglio e tutte le funzioni già attribuite al Dipartimento delle informazioni per la sicurezza dal decreto-legge n. 105 del 2019, di provvedere alle attività necessarie per l’attuazione e il controllo dell’esecuzione dei provvedimenti assunti dal Presidente del Consiglio dei ministri ai sensi dell’articolo 5 del decreto-legge n. 105 del 2019, di assumere tutte le funzioni in materia di cybersicurezza già attribuite all’Agenzia per l’Italia digitale, di sviluppare capacità nazionali di prevenzione, monitoraggio, rilevamento, analisi e risposta per prevenire e gestire gli incidenti di sicurezza informatica e gli attacchi informatici avvalendosi, a tal fine, anche del CSIRT Italia ora trasferito presso l’Agenzia stessa, di partecipare alle esercitazioni nazionali e internazionali in ordine alla simulazione di eventi di natura cibernetica, di curare e promuovere la definizione ed il mantenimento di un quadro giuridico nazionale aggiornato e coerente nel dominio della cybersicurezza, coordinare la cooperazione internazionale nella materia della cybersicurezza, stipulare accordi bilaterali e multilaterali con istituzioni, enti e organismi di altri Paesi per la partecipazione dell’Italia a programmi di cybersicurezza, promuovere sostenere e coordinare la partecipazione italiana a progetti e iniziative dell’Unione europea ed internazionali, costituire e partecipare a partenariati pubblico-privato sul territorio nazionale, nonché (previa autorizzazione del Presidente del Consiglio) a consorzi, fondazioni o società con soggetti pubblici e privati, italiani e stranieri. Infine, l’Agenzia è Centro nazionale di coordinamento, ai sensi del regolamento (UE) 2021/887 che istituisce il Centro europeo di competenza per la cybersicurezza nell’ambito industriale, tecnologico e della ricerca e la rete dei centri nazionali di coordinamento.

Gli articoli 8, 9 e 10 recano disposizioni in materia di gestione delle crisi che coinvolgano aspetti di cybersicurezza. In particolare, viene dettata per la prima volta – dalla sua istituzione con la direttiva del Presidente del Consiglio dei ministri del 24 gennaio 2013 – la disciplina riguardante il Nucleo per la sicurezza cibernetica, attualmente istituito presso il Dipartimento delle informazioni per la sicurezza, che assume la denominazione di Nucleo per la cybersicurezza e ne viene disposta l’istituzione presso l’Agenzia. La relativa composizione è ora aggiornata all’attuale configurazione del Governo, prevedendosi la partecipazione, oltre ai membri già in precedenza individuati, tra cui anche un rappresentante del ministero della difesa, anche di un rappresentante, rispettivamente, del ministero per la transizione ecologica e del ministero per l’innovazione tecnologica e la transizione digitale. ); vengono definiti gli opportuni raccordi ordinamentali con le vigenti disposizioni in materia di convocazione del CISR in stato di crisi di cui all’articolo 7-bis, comma 5, del decreto-legge n. 174 del 2015, convertito, con modificazioni, dalla legge n. 198 del 2015, e di esercizio dei poteri del Presidente del Consiglio dei ministri ai sensi dell’articolo 5 del decreto-legge n. 105 del 2019, convertito, con modificazioni, dalla legge n. 133 del 2019 (istitutivo del perimetro di sicurezza nazionale cibernetica).

Viene poi salvaguardato e riaffermato il ruolo del CISR con specifico riferimento alle situazioni di crisi ed è previsto che, per la gestione delle crisi che coinvolgano aspetti di cybersicurezza, il Nucleo assicuri il supporto al predetto Comitato interministeriale e al Presidente del Consiglio dei ministri, nonché assicuri le attività istruttorie e le procedure di attivazione necessarie. Al riguardo, segnalo che il CISR riceve, per il tramite del CSIRT Italia, le comunicazioni circa i casi di violazioni o tentativi di violazione della sicurezza o di perdita dell’integrità significativi ai fini del corretto funzionamento delle reti e dei servizi e che le comunicazioni giungono dal Dipartimento delle informazioni per la sicurezza (DIS), dalle due Agenzie informazioni e sicurezza, interna ed esterna (AISE e AISI), dalle Forze di polizia, dall’organo del Ministero dell’interno per la sicurezza e per la regolarità dei servizi di telecomunicazione, nonché dalle strutture del Ministero della difesa, dalle altre amministrazioni che compongono il Nucleo, dai gruppi CERT (Computer Emergency Response Team) di intervento per le emergenze informatiche.

L’articolo 13 prevede che i trattamenti di dati personali per finalità di sicurezza nazionale siano effettuati ai sensi del Codice in materia di protezione dei dati personali. In particolare, viene richiamato l’articolo 58, commi 2 e 3, del decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) concernente i trattamenti di dati personali per fini di sicurezza nazionale o difesa.

L’articolo 14 prevede che il Presidente del Consiglio dei ministri, entro il 30 aprile di ogni anno, trasmetta al Parlamento una relazione sull’attività svolta dall’Agenzia nell’anno precedente, in materia di cybersicurezza nazionale e che, entro il 30 giugno di ogni anno, trasmetta al COPASIR una relazione sulle attività svolte nell’anno precedente in raccordo con il Sistema di informazione per la sicurezza della Repubblica, nonché in relazione agli ambiti di attività dell’Agenzia sottoposti al controllo del medesimo Comitato.

L’articolo 15 modifica il decreto legislativo n. 65 del 2018 che ha dato attuazione alla direttiva (UE) 2016/1148 (c.d. direttiva Network and Information Security – NIS), tenendo conto della nuova architettura delineata dal decreto in esame. Tale decreto legislativo, infatti, rappresenta la cornice legislativa delle misure per la sicurezza delle reti e dei sistemi informativi e dei soggetti competenti a dare attuazione agli obblighi previsti in tale ambito. In particolare, come ricordato sopra, l’Agenzia assolverà le funzioni di autorità nazionale unica competente NIS, punto di contatto unico e di CSIRT. Conseguentemente, saranno costitute le autorità di settore, con specifiche funzioni di proposta in merito all’aggiornamento dell’elenco degli operatori dei servizi essenziali, secondo i criteri stabiliti dallo stesso decreto legislativo NIS. Un’ulteriore modificazione riguarda la procedura di adozione della strategia nazionale di sicurezza cibernetica, ora strategia nazionale di cybersicurezza, per la quale è previsto che venga predisposta dall’Agenzia al fine di essere adottata dal Presidente del Consiglio dei ministri, sentito il CIC.

L’articolo 16 reca alcune modifiche puntuali alla legislazione vigente conseguenti al nuovo assetto dell’architettura nazionale di cybersicurezza disposta dal decreto in esame. Si tratta principalmente delle modifiche che consentono il passaggio delle competenze in materia di perimetro di sicurezza nazionale dal DIS e dal MISE all’Agenzia per la cybersicurezza nazionale nonché quelle relative, in particolare, al Centro di Valutazione e Certificazione Nazionale (CVCN) e quelle di competenza dell’AgID.

L’articolo 17 una serie di disposizioni transitorie e finali.In particolare,viene introdotta la possibilità per l’Agenzia di ricorrere all’ausilio dell’organo centrale del Ministero dell’interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all’articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, per lo svolgimento delle funzioni ispettive ad essa attribuite e viene, altresì, previsto che il personale dell’Agenzia, nello svolgimento delle funzioni ispettive, di accertamento delle violazioni e di irrogazione delle sanzioni, delle funzioni relative all’attuazione e al controllo dell’esecuzione dei provvedimenti assunti da parte del Presidente del Consiglio dei ministri ai sensi dell’articolo 5 del decreto-legge perimetro, nonché delle funzioni relative al CSIRT Italia, rivesta la qualifica di pubblico ufficiale.

Da ultimo, l’articolo 18 reca le disposizioni relative alla copertura finanziaria e l’articolo 19 disciplina l’entrata in vigore del decreto.

Ciò premesso, mi riservo di presentare una proposta di parere dopo avere attentamente valutato tutti gli spunti di riflessione che dovessero emergere dal dibattito.

Scopri di più sui Servizi Segreti



Di Angelo Tofalo:

FONTE : Angelo Tofalo