Un luglio “caldo” anche per la PA digitale: ecco cosa è successo

Home PA Digitale Un luglio “caldo” anche per la PA digitale: ecco cosa è successo

Luglio non si è smentito e ha portato provvedimenti significativi per cittadini e PA: la Legge sulla Cybersicurezza, pubblicata il 2 luglio; l’AI Act, pubblicato il 12 luglio; lo schema di decreto legislativo di Recepimento della direttiva NIS 2, approvato il 10 giugno; il Regolamento Cloud, in vigore dal 1° agosto 2024. Ecco una breve sintesi delle principali novità

1 Agosto 2024

C

Patrizia Cardillo

Esperta di Protezione dati personali

Foto di Isabella Fischer su Unsplash - https://unsplash.com/it/foto/foto-ravvicinata-di-occhiali-da-vista-con-montatura-nera-LXDFEdtEGUQ

Luglio non si è smentito: siamo stati travolti da una serie di provvedimenti che avranno un impatto rilevante su tutti noi. Come cittadini e come civil servants: la PA è, sempre più, in prima linea. Anticipiamo alcuni temi sui quali torneremo a settembre.

La Legge sulla Cybersicurezza

Pubblicata sulla G.U. del 2 luglio, la legge 28 giugno 2024, n.90 affronta temi quali la governance della AI nel nostro paese, introduce nuovi obblighi di notifica degli incidenti e nuove figure professionali, requisiti di cybersicurezza nei contratti pubblici e grosse novità sul meccanismo sanzionatorio previsto in caso di inadempienze. Soprattutto amplia il Perimetro di sicurezza nazionale cibernetica e impone a molte PA[1] di dotarsi di una struttura e di un referente per la cybersicurezza per rafforzare resilienza e pianificare politiche e procedure per la sicurezza delle informazioni. Si avvia una fase di stretta collaborazione e sinergia tra le diverse istituzioni interessate che dovranno governare il Sistema, in primis l’Agenzia per la Cybersicurezza Nazionale. Ruolo importante lo giocherà la Formazione che vedrà impegnate le Università e centri di ricerca in collaborazione con le autorità competenti. 

AI Act

Dopo una lunga gestazione, il 12 luglio è arrivato in G.U. dell’Unione europea l’AI Act, il Regolamento (EU) 2024/1689 del 13 giugno 2024 che ha l’obiettivo di armonizzare le regole sull’intelligenza artificiale.

Si avvia ora una lunga fase graduale di entrata in vigore, sino ad arrivare alla sua piena attuazione il 2 agosto 2026. La sua implementazione sarà sottoposta a vaglio e al monitoraggio da parte della Commissione, che dovrà riferirne al Parlamento e al Consiglio europeo proprio in considerazione dei “rapidi sviluppi tecnologici e delle competenze tecniche necessarie” condizioni per la sua applicazione.

Ovviamente troviamo confermati i principi fondanti di cui abbiamo già parlato, gli obiettivi, l’approccio basato sul rischio, con restrizioni e obblighi che aumentano con l’innalzamento del livello di rischio e il divieto di determinate pratiche. Consolidato l’impianto sanzionatorio con importi superiori a quelli previsti dal GDPR.

NIS 2

Il Consiglio dei Ministri del 10 giugno 2024 ha approvato lo schema di decreto legislativo di Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione; è sicuramente l’avvio di una fase preliminare di confronto, che però ci fa ben sperare nel rispetto dei tempi del recepimento (17 ottobre 2024).

Anche questo provvedimento, che risponde all’obiettivo di rafforzare, a livello europeo, le misure di protezione contro le minacce informatiche, introduce obblighi più stringenti per le imprese e anche per la pubblica amministrazione.

In sintesi la NIS2:

  • amplia i settori e gli operatori considerati critici per la sicurezza nazionale introducendo una distinzione tra soggetti essenziali e soggetti importanti;
  • introduce un approccio più mirato e proporzionato ai rischi con maggiori risorse impiegate a proteggere e infrastrutture critiche e i servizi essenziali;
  • impone misure di monitoraggio e aggiornamento costante dei sistemi per prevenire vulnerabilità; politiche di gestione dei rischi più dettagliate e lo sviluppo di tecnologie di autenticazione a più fattori.

Il decreto di recepimento prevede un elevato grado di cooperazione e coordinamento tra diverse autorità nazionali, tra cui il Garante per la protezione dei dati personali, l’ENAC, l’AgID, il Ministero della Difesa, e altre autorità settoriali, per lo scambio di informazioni, la gestione delle minacce informatiche, e il coordinamento delle attività di vigilanza e controllo. La collaborazione sarà centrale anche a livello europeo al fine di promuovere lo scambio delle migliori pratiche e la collaborazione strategica. Anche in questo caso viene rafforzato il meccanismo sanzionatorio.

Regolamento cloud – ACN

L’Agenzia per la cybersicurezza, dal 19 gennaio 2023 subentrata ad AGID nella qualificazione dei servizi cloud, ha adottato, d’intesa con il Dipartimento per la trasformazione digitale, il Regolamento unico per le infrastrutture digitali e per i servizi cloud per la PA.

Il Regolamento, che entrerà in vigore a partire dal 1° agosto 2024, ha l’obiettivo di definire, in un unico quadro normativo, le misure minime che le infrastrutture come i data center e i servizi cloud devono rispettare per supportare i servizi pubblici.

In particolare, illustra:

  • come classificare dati e servizi digitali sulla base del loro livello di importanza e sensibilità delle informazioni;
  • come scegliere le correlate soluzioni cloud da acquisire utilizzando il catalogo delle soluzioni cloud presente sul sito ACN;
  • definisce le modalità per la migrazione;
  • le misure e i requisiti per il raggiungimento dei livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità̀ delle infrastrutture digitali per la PA;
  • il processo di qualificazione, tutto digitale, sarà processato sul sito ACN; le nuove qualifiche saranno valide   mesi e soggette ad attività di monitoraggio che permetterà ad ACN di verificare, nel tempo, il rispetto dei requisiti necessari al trattamento dei dati e dei servizi in linea con il livello di classificazione.

È così abrogato il Regolamento adottato il 15 dicembre 2021 con Delibera n. 628/2021 dell’Agenzia per l’Italia Digitale.

Il direttore ACN ha precisato che “la migrazione al cloud è di per sé una misura organizzativa e tecnica che favorisce una maggiore protezione e sicurezza dei dati”.

Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA.

[1] Sono soggetti agli obblighi:

– le pubbliche amministrazioni centrali incluse nell’elenco annuale ISTAT delle pubbliche amministrazioni previsto dall’art. 1, c.3 legge n.196/2009;

– le regioni e le province autonome di Trento e di Bolzano;

– le città metropolitane (e quindi, Torino, Milano, Venezia, Genova, Bologna, Firenze, Bari, Napoli, Reggio Calabria, a cui si deve aggiungere Roma Capitale e, per le regioni a statuto speciale, Cagliari, Sassari, Catania, Messina e Palermo, oltre all’ente della città metropolitana del Friuli-Venezia Giulia);

– i comuni con popolazione superiore a 100.000 abitanti;

– i comuni capoluoghi di regione;

– le società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti;

– le società di trasporto pubblico extraurbano operanti nell’ambito delle città metropolitane;

– le aziende sanitarie locali;

– le società in house degli enti fin qui richiamati, qualora siano fornitrici di servizi informatici, dei servizi di trasporto sopra indicati, dei servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali, ovvero servizi di gestione dei rifiuti.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Su questo argomento

Cybersecurity, il 2024 sarà un anno cruciale: dati e prospettive nell’intervista a Corrado Giustozzi