Le amministrazioni centrali, le regioni, gli enti locali e le Asl dovranno notificare gli incidenti cyber che hanno interessato le proprie reti; in caso di mancato rispetto di tale obbligo, saranno operative sanzioni a partire dal 180esimo giorno successivo a quello della data di entrata in vigore (17 luglio) della legge 90 del 28 giugno (“Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”). Le sanzioni per il mancato adeguamento alle segnalazioni puntuali dell’Agenzia per la cybersicurezza nazionale, relative alla esposizione dei soggetti a rilevate vulnerabilità da risolvere, sono già immediatamente efficaci.
Tali disposizioni sono state rese note dal sottosegretario alla presidenza del Consiglio Alfredo Mantovano in un’informativa in cdm sugli adempimenti previsti dalla legge sulla cybersicurezza.
Nuove direttive per la PA
Le amministrazioni sono tenute anche alla nomina di un referente per la cybersicurezza nell’ambito della propria organizzazione. La legge prevede termini nuovi e più ridotti per segnalare anche di quegli incidenti non propriamente afferenti a beni conferiti al Perimetro, comunque a carico dei loro reti e sistemi. Il riferimento è a tutte le autorità pubbliche e private inserite nel Perimetro di sicurezza nazionale cibernetica.
Il termine di 72 ore passa a un massimo di 24 ore per la tempestiva segnalazione, cui segue – entro 72 ore dall’impatto – la notifica completa di tutti gli elementi informativi disponibili. Ciò implica l’accelerazione dell’implementativo della direttiva del presidente del Consiglio dei ministri del 29 dicembre 2023 in tema di resilienza cibernetica del Paese, imperniata sulla più efficace collaborazione tra Agenzia per la cybersicurezza nazionale (Acn) e le amministrazioni destinatarie, finalizzata ad irrobustire la capacità di risposta agli incidenti informatici.
Sarà compito delle amministrazioni anche quello di effettuare un censimento dei sistemi e apparati in uso e preparare un documento in cui siano riferiti ruoli e responsabilità riferiti alla cybersicurezza. Le stesse amministrazioni, in particolare, quelle pubbliche centrali, dovranno quindi assicurare che i programmi e le applicazioni informatiche e di comunicazione elettronica in uso, che utilizzano soluzioni crittografiche, rispettino le linee guida sulla crittografia e quelle sulla conservazione delle password che sono state adottate da Acn, così che non siano presenti vulnerabilità atte a rendere i dati cifrati disponibili e intellegibili a terzi.
Come ha sottolineato lo stesso Mantovano, la legge riguarda anche la disciplina dei contratti pubblici. Le amministrazioni committenti dovranno prevedere criteri di premialità per le proposte e per le offerte che contemplino l’uso di tecnologie di cybersicurezza di Paesi appartenenti all’Unione europea o Nato o di Paesi terzi individuati tra quelli che sono parte di accordi di collaborazione con l’Ue o con la Nato in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione.
Assosoftware: “Occorre una formazione adeguata"
“Negli ultimi anni sono aumentati i cyber attacchi ai danni di PA e aziende – secondo il rapporto Clusit 2024 in Italia sono in aumento, 65 per cento in più rispetto al 2022 – e benché oggi nel nostro Paese si senta spesso parlare di reti, innovazione e infrastrutture digitali, non si riesce tuttavia a porre la giusta attenzione sulla cybersecurity”, evidenzia Pierfrancesco Angeleri, presidente di AssoSoftware, associazione di Confindustria che riunisce i produttori italiani di software, nella memoria consegnata alle Commissioni Attività produttive e Affari Costituzionali della Camera sullo schema di Decreto Legislativo che recepisce la Direttiva Nis2.
“Bene, come affermato dal Sottosegretario Mantovano anche a seguito del caso Crowdstrike, l’obbligo delle PA di segnalare eventuali fughe di dati, tuttavia in Italia il problema nasce da una mancanza di cultura della cybersicurezza: secondo un recente sondaggio compiuto tra gli associati è risultato come le aziende clienti che effettuano – almeno una volta l’anno – un momento interno di formazione sul tema siano poche (12%), mentre la stragrande maggioranza (75%) lascia la responsabilità di effettuarla in autoformazione ai collaboratori» ha continuato Angeleri. Si tratta di un gap che andrebbe colmato anche a livello legislativo. «Stiamo collaborando con il Garante Privacy per creare un Codice di Condotta dedicato ai produttori di software per far sì che i software siano compliant alla normativa Gdpr e a quella sulla Cybersicurezza già in fase di sviluppo”.
Le conseguenze delle scarse competenze in cybersecurity
Stando ai dati di un’indagine condotta da Fortinet, nel nostro Paese l’86% delle aziende che ha subito attacchi nel corso degli ultimi 12 mesi ne attribuisce in parte la causa alla mancanza di competenze di cybersecurity nei team che si occupano di rete e di sicurezza. Come si legge nel report, l’impatto è notevole, in considerazione del fatto che il 58% ha dichiarato di attribuire tali attacchi alla mancanza di consapevolezza sul tema della sicurezza da parte delle loro organizzazioni e dipendenti. Non da ultimo, il 44% ha evidenziato come siano stati necessari da 1 a 3 mesi per recuperare i danni derivanti dagli attacchi subiti.
“Le evidenze del report mettono in luce l’urgenza di colmare quanto prima il gap esistente. Il primo baluardo conto la criminalità informatica è infatti sempre la formazione che è fondamentale non solo all’interno delle aziende, ma è necessaria per stimolare a tutti i livelli un apprendimento continuo. Dati i tassi di disoccupazione che abbiamo in Italia, in particolare quella giovanile, e con la carenza di risorse sempre più evidente nel settore della cybersecurity, la formazione non è solo una necessità ma anche un’opportunità e un’occasione per ripensare l’ecosistema a tutti i livelli – sottolinea Massimo Palermo, Vp & country manager, Italia e Malta di Fortinet -. Offrire nuove opportunità di crescita investendo sulle persone, soprattutto i giovani, è uno dei driver della collaborazione che Fortinet ha da alcuni anni attivato con enti accademici, istituti di formazione e associazioni per formare una forza lavoro più consapevole, preparata ed inclusiva”.
Agenzia di vigilanza sull’AI
Nell’ambito della Strategia italiana per l’intelligenza artificiale 2024-2026 è prevista la creazione di una Agenzia specifica, il cui compito di vigilanza e notificazione nell’ambito delle azioni per lo sviluppo della tecnologia che collaborerà con l’Acn. Lo prevede il regolamento europeo sull’intelligenza artificiale (AI Act), che promuove l’istituzione di più Autorità chiamate a vigilare e attuare la normativa in materia di AI, distinguendo per competenze e funzioni: il livello europeo e quello nazionale. “L’Autorità definita nell’ambito del quadro regolatorio europeo, potrà essere definita in Italia in termini di una Agenzia, con un ruolo di vigilanza e notificazione”, conferma lo stesso documento.
“L’Agenzia dovrà porsi grazie alle sue competenze giuridiche e tecnologiche come privilegiato interlocutore affinché l’Italia sostenga l’industria digitale o il sistema produttivo che intenda adottare sistemi di AI, in stretta sinergia con la Fondazione per l’attuazione, il coordinamento e il monitoraggio”.
“Sempre a vantaggio del sistema produttivo, l’Agenzia dovrà operare un’attività di orientamento nell’ambito dell’ordinamento giuridico”. Spetterà all'Agenzia “siglare protocolli e mantenere una stretta collaborazione con l’Agenzia per la Cybersicurezza Nazionale (Acn), in considerazione del cruciale ruolo che riveste l’AI nel settore e delle ripercussioni sul piano dell’adeguamento normativo (basti pensare, ad esempio, alle emergenti problematiche dell’attribuzione della responsabilità di attacchi cyber mediante l’utilizzo di strumenti di AI)”.
Aggiornamento delle linee guida sulla crittografia
A seguito degli approfondimenti relativi alla crittografia, che risalgono a dicembre 2023, l’Agenzia per la cybersicurezza nazionale pubblica nuovi focus dedicati nello specifico alla confidenzialità dei dati e alle tecniche di preparazione alla minaccia quantistica, con l’obiettivo di incentivare l’uso di sistemi crittografici sicuri e validati dalla comunità scientifica, in linea con quanto previsto in ambito europeo.
(Fonte testo: www.corrierecomunicazioni.it/ - Fonte immagine: www.focus.namirial.it/)
La tutela dell'operatore in ambito Forze dell'Ordine, sanità, trasporti, tra tecnologie disponibili, digitalizzazione e impatto privacy
Necessità e approcci per l'innovazione nelle infrastrutture critiche della città futura
Corsi in programmazione riconosciuti per il mantenimento e la preparazione alla certificazione TÜV Italia
WebinarLa cybersicurezza dei sistemi di videosorveglianza
Corso riconosciuto da TÜV Italia
Scenari, tecnologia e formazione sulla sicurezza in formato audio
Un'immersione a 360 gradi nella realtà dell'azienda