In Gazzetta ufficiale la LEGGE 4 agosto 2021, n. 109 di Conversione con modificazioni, del decreto-legge 14 giugno 2021, n. 82 qui il Testo coordinato con le modifiche intervenute in sede di conversione) in materia di cybersicurezza (GU Serie Generale n.185 del 04-08-2021).
Il Decreto, in vigore dal 5 agosto 2021
- definisce l’architettura nazionale di cybersicurezza
- istituisce l’Agenzia per la cybersicurezza nazionale (compiti, funzioni e struttura nel nostro approfondimento).
Il decreto-legge si compone di diciannove articoli: ecco i passaggi più importanti del testo, tratti dal Dossier Camera sul provvedimento.
Nell'articolo
Decreto Cybersicurezza: normativa e aggiornamenti
- Con DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 15 giugno 2021 (GU Serie Generale n.198 del 19-08-2021), il Governo ha individuato le categorie di beni, sistemi e servizi ICT destinati ad essere impiegati nel perimetro di sicurezza nazionale cibernetica, in attuazione dell’articolo 1, comma 6, lettera a), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133. Le categorie sono individuate nell’allegato 1 del DPCM e vengono aggiornate annualmente (art.4) sulla base dell’innovazione tecnologica e delle modifiche dei criteri tecnici di cui all’art.13 del Regolamento contenuto nel DPR 54/2021.
- Con DPCM 1 settembre 2022 il Governo ha definito il trasferimento all’Agenzia della Cybersicurezza (leggi qui compiti e funzioni) delle funzioni in materia di cybersicurezza già assicurate dall’Agenzia per l’Italia digitale (Agid) e dal Dipartimento per la trasformazione digitale
Sistema nazionale di sicurezza cibernetica: significato e responsabilità
Gli articoli da 1 a 4 del DL 82/21 (decreto Cibersicurezza) definiscono il sistema nazionale di sicurezza cibernetica, che ha al suo vertice il Presidente del Consiglio dei ministri al quale è attribuita l’alta direzione e la responsabilità generale delle “politiche di cybersicurezza”, nonché l’adozione della relativa strategia nazionale e – previa deliberazione del Consiglio dei ministri – la nomina e la revoca del direttore generale e del vice direttore generale della nuova “Agenzia per la cybersicurezza nazionale” (istituita dall’articolo 5) del provvedimento. Di tali nomine sono preventivamente informati il COPASIR e le competenti Commissioni parlamentari (articolo 2).
Le figure coinvolte nel perimetro di sicurezza cibernetica
Il Presidente del Consiglio dei ministri può delegare all’Autorità delegata per il sistema di informazione per la sicurezza della Repubblica, ove istituita, le funzioni che non sono a lui attribuite in via esclusiva (articolo 3). Presso la Presidenza del Consiglio dei ministri è istituito il “Comitato interministeriale per la cybersicurezza” (CIC), organismo con funzioni di consulenza, proposta e vigilanza in materia di politiche di cibersicurezza (articolo 4).
L’Agenzia per la cybersicurezza nazionale
L’articolo prevede l’“Agenzia per la cybersicurezza nazionale” mentre l’articolo 6 ne disciplina l’organizzazione; l’articolo 11, relativo a risorse finanziarie ed autonomia contabile; l’articolo 12, sul personale. L’articolo 14 riguarda le relazioni annuali che il Presidente del Consiglio è tenuto a trasmettere (al Parlamento e al COPASIR) sulle attività dell’Agenzia.
Il Nucleo per la cybersicurezza
Presso l’Agenzia, è prevista la costituzione di un “Nucleo per la cybersicurezza“, per profili attinenti a eventuali situazioni di crisi. Ne trattano gli articoli 8 e 9.
Crisi di cibersicurezza e trattamento di dati
Quanto alla gestione delle crisi che coinvolgano aspetti della cibersicurezza, ne tratta l’articolo 10.
L’articolo 13 ha per oggetto la trattazione dei dati personali per finalità di sicurezza nazionale cibernetica. L’articolo 13 prevede che i trattamenti di dati personali per finalità di sicurezza nazionale, in applicazione del decreto legge in esame, siano effettuati ai sensi del Codice in materia di protezione dei dati personali, con particolare riguardo alle specifiche disposizioni previste per finalità di difesa o di sicurezza dello Stato.
In particolare, l’articolo 13 richiama l’articolo 58, commi 2 e 3, del decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) concernenti i trattamenti di dati personali per fini di sicurezza nazionale o difesa.
Il richiamato art. 58, comma 2, del Codice dispone che, ai trattamenti effettuati da soggetti pubblici per finalità di difesa o di sicurezza dello Stato, in base ad espresse disposizioni di legge che prevedano specificamente il trattamento, si applicano:
- le disposizioni (di cui al comma 1, del medesimo art. 58) concernenti i controlli relativi ai trattamenti di dati personali effettuati dagli organismi previsti dalla legge 3 agosto 2007, n. 124 (DIS, AISE e AISI) e di dati coperti da segreto di Stato; in base a tali disposizioni (tramite il richiamo all’art. 160, comma 4 del Codice privacy) il componente designato per gli accertamenti dal Garante per la protezione dei dati personali deve prendere visione degli atti e dei documenti rilevanti e riferire oralmente nelle riunioni del Garante;
- le disposizioni concernenti la valutazione d’impatto sulla protezione dei dati e la consultazione preventiva del Garante, di cui agli articoli 23 e 24 del decreto legislativo 18 maggio 2018, n. 51, concernente il trattamento dei Articolo 13 47 dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali; nonché, in quanto compatibili, specifiche ulteriori disposizioni contenute nel medesimo decreto legislativo n. 51.
L’articolo in esame richiama infine il comma 3 dell’art. 58 del Codice privacy, il quale demanda ad uno o più regolamenti l’individuazione delle modalità di applicazione, in riferimento alle tipologie di dati, di interessati, di operazioni di trattamento eseguibili e di persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile, anche in relazione all’aggiornamento e alla conservazione.
Per approfondire sulla Cybersicurezza
EPC Editore ha realizzato un volume: “Manuale di diritto di INTERNET” – Le principali ed innovative tematiche dell’informatica giuridica: l’ambito civile, penale, amministrativo e le tecnologie emergenti.
Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell’ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore