Arriva nella pubblica amministrazione il referente per la cybersicurezza

Concluso l’esame alla Camera, l’iter del disegno di legge sulla cybersicurezza riprende al Senato (Atto senato n. 1143). Il testo è stato assegnato alle commissioni riunite 1 (Affari Costituzionali) e 2 (Giustizia) in sede referente. Molti gli emendamenti approvati che impattano su alcuni punti di rilevante interesse.

Occupiamoci in particolare delle novità introdotte dall’art. 8, come modificato dalla Camera, che prevede l’obbligo per le pubbliche amministrazioni indicate nell’articolo 1 dello stesso disegno di legge, di dotarsi di una struttura preposta alle attività di cybersicurezza, e dispone l’istituzione di un referente per la cybersicurezza, quale unico punto di contatto delle amministrazioni coinvolte e l’Agenzia per la cybersicurezza nazionale.

Tra gli emendamenti approvati quelli che mirano a definirne meglio le competenze e che consentono la possibilità di identificarlo nell’ufficio e nel responsabile per la transizione al digitale o di affidare l’incarico ad un altro dipendente di PA o gestirlo in forma associata. Altri emendamenti hanno l’obiettivo di stanziare fondi per formazione e nuove assunzioni.

Vediamo quali sono le amministrazioni tenute a tali adempimenti[1].

In particolare, si tratta di:

• pubbliche amministrazioni centrali incluse nell’elenco annuale ISTAT;
• regioni e le province autonome di Trento e Bolzano;
• città metropolitane (aggiunte in sede referente);
• comuni con una popolazione superiore ai 100.000 abitanti;
• comuni capoluoghi di regione;
• società di trasporto pubblico urbano con bacino di utenza non inferiore ai 100.000 abitanti;
• società di trasporto pubblico extraurbano operanti nell’ambito delle città metropolitane (aggiunte in sede referente);
• aziende sanitarie locali;
• società in house degli enti di cui sopra fornitrici di servizi informatici, dei servizi di trasporto sopra indicati, dei servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali ovvero servizi di gestione dei rifiuti (specificato in sede referente);

La struttura per la cybersicurezza, da istituire a risorse invariate, in particolare, dovrà provvedere:

• lo sviluppo di politiche e procedure di sicurezza delle informazioni;
• la produzione e l’aggiornamento di un piano per il rischio informatico e (aggiunta in sede referente) di sistemi di analisi preventiva di rilevamento del rischio informatico;
• la produzione e l’aggiornamento di un documento che definisca i ruoli e l’organizzazione del sistema per la sicurezza delle informazioni dell’amministrazione;
• la pianificazione e l’attuazione di interventi di potenziamento delle capacità per la gestione dei rischi informatici, a partire dalla produzione dei piani precedentemente elencati;
• la pianificazione e l’attuazione dell’adozione delle misure previste dalle linee guida per la cybersicurezza emanate dall’Agenzia per la cybersicurezza nazionale;
• il monitoraggio e la valutazione continua delle minacce alla sicurezza e alla vulnerabilità dei sistemi per il loro pronto aggiornamento di sicurezza.

Il comma 2 istituisce, all’interno delle medesime strutture, la figura del referente per la cybersicurezza che deve essere individuato in ragione delle specifiche e comprovate professionalità e competenze possedute in materia. In mancanza di una tale figura potrà essere incaricato il dipendente di un’altra pubblica amministrazione previa autorizzazione.

Altresì sarà possibile individuare la struttura per la cybersicurezza e il referente per la cybersicurezza nell’ufficio e nel responsabile per la transizione al digitale oppure tali compiti, per le PA diverse dalle amministrazioni dello Stato, potranno essere esercitati in forma associata. Possibilità quest’ultima, introdotta al comma 3 del ddl, aggiunto in sede referente.

Sarà il punto di contatto unico dell’amministrazione con l’Agenzia per la cybersicurezza nazionale in relazione a quanto previsto dalla legge e dalle normative settoriali in materia di cybersicurezza per le amministrazioni. Il suo nominativo dovrà essere comunicato all’Agenzia per la cybersicurezza nazionale che potrà individuare modalità e processi di coordinamento e mutua collaborazione.

Le disposizioni non si applicano ai soggetti inclusi nel perimetro di sicurezza nazionale cibernetica[2] e per i quali già risultano in vigore specifici obblighi di sicurezza e agli organi dello Stato preposti alla prevenzione, all’accertamento e alla repressione dei reati, alla tutela dell’ordine e della sicurezza pubblica e alla difesa e sicurezza militare dello Stato e agli organismi di informazione per la sicurezza, in particolare il Dipartimento delle informazioni per la sicurezza, l’Agenzia di informazione e sicurezza esterna e l’Agenzia di informazione e sicurezza interna.

Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA

[1] L’art. 1 del disegno di legge impone a tali soggetti l’obbligo di segnalazione all’ACN, senza ritardo e comunque entro le 24 ore, di alcune tipologie di incidenti aventi impatto su reti, sistemi informativi e servizi informatici. Gli obblighi di notifica si applicano a decorrere dalla data di entrata in vigore per la PA centrale, le regioni e provincie autonome di Trento e Bolzano e le città metropolitane.  Per gli altri soggetti l’obbligo decorre dal centottantesimo giorno dall’entrata in vigore.

[2] Amministrazioni pubbliche, enti e operatori pubblici e privati inclusi  nel DPCM n. 131 del 31 luglio 2020, adottato su proposta del Comitato interministeriale per la cybersicurezza – art. 1, co. 2-bis del decreto-legge n.105 del 2019, convertito con modificazione nella legge n. 133 del 2019.