Il Consiglio dei Ministri ha dato il via libera ad un nuovo disegno di legge che modifica le regole sui reati informatici e rafforza la cybersicurezza nazionale.
Il documento apporta modifiche significative e procedurali in materia, tra cui l’aumento delle pene, l’espansione dei limiti del dolo specifico, l’introduzione di aggravanti e/o il divieto di attenuanti per vari reati commessi utilizzando attrezzature informatiche.
Potenziamento controlli
L’ACN (Agenzia per la Cybersicurezza Nazionale) vedrà un rafforzamento delle sue funzioni e un maggiore coordinamento con l’Autorità giudiziaria in caso di attacchi informatici.
Saranno implementate procedure specifiche per rendere più pronta l’azione dell’Agenzia nel prevenire gli attacchi informatici ed arginarne le conseguenze, nonché per garantire un ripristino rapido della funzionalità dei sistemi informatici.
Obblighi di segnalazione
Gli enti pubblici individuati dalla norma (PA centrali, Regioni e Province autonome di Trento e Bolzano, Comuni con oltre 100.000 abitanti e Comuni capoluogo di Regione, società di trasporto pubblico urbano con bacino di utenza oltre i 100mila abitanti e le Aziende sanitarie locali, nonché le rispettive società in house) dovranno segnalare e notificare gli incidenti con impatto su reti, sistemi informativi e servizi informatici.
Gli incidenti da segnalare sono indicati in un apposito provvedimento ACN (se ne disciplina anche la relativa procedura).
Il singolo inadempimento fa scattare possibili ispezioni nei 12 mesi successivi. Per reiterata inosservanza dell’obbligo di notifica, sono previste sanzioni amministrative pecuniarie da 25.000 a 125.000 euro.
Per i dipendenti delle pubbliche amministrazioni, la violazione delle disposizioni può costituire causa di responsabilità disciplinare e amministrativo-contabile.
Rafforzamento della resilienza IT
Per gli stessi soggetti pubblici, si richiede l’adozione tempestiva (non oltre quindici giorni dalla comunicazione) di interventi risolutivi in caso di segnalazioni di vulnerabilità specifiche.
È previsto a tal fine che queste organizzazioni debbano identificare una struttura per il rafforzamento della resilienza in materia di cybersicurezza.
In caso di mancata o ritardata adozione di tali interventi, saranno applicate le stesse sanzioni.
Nucleo per la Cybersicurezza
In relazione a questioni di particolare rilevanza riguardanti le iniziative in materia di cybersicurezza, potrà essere convocato il Nucleo per la cybersicurezza, con la partecipazione estesa di un rappresentante della Procura nazionale antimafia e antiterrorismo, della Banca d’Italia o di altri operatori.