Discussione sulle linee generali
Data: 
Mercoledì, 23 Ottobre, 2019
Nome: 
Emanuele Fiano

A.C. 2100-A

Relatore per la I Commissione.

La ringrazio, Presidente. Per fortuna questo non è un provvedimento di tasse, Presidente. È un provvedimento che riguarda Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica. Il decreto-legge n. 105 del 2019, oggi all'esame dell'Assemblea, è finalizzato ad assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, nonché degli enti e degli operatori nazionali pubblici e privati attraverso l'istituzione di un perimetro di sicurezza nazionale cibernetica e la previsione di misure volte a garantire i necessari standard di sicurezza rivolti a minimizzare i rischi.

Nel corso dell'esame in sede referente, oltre alle modifiche apportate al testo del decreto-legge, sono state previste, inoltre, nuove disposizioni per l'esercizio dei poteri speciali del Governo che si aggiungono a quelle già previste.

Passando all'illustrazione del contenuto degli articoli 1 e 2, l'articolo 1, comma 1, modificato in sede referente, istituisce il perimetro di sicurezza nazionale cibernetica, al fine di assicurare la sicurezza di reti, sistemi informativi e servizi informatici necessari allo svolgimento di funzioni o alla prestazione di servizi, dalla cui discontinuità possa derivare un pregiudizio alla sicurezza del nostro Paese. Il comma 1 fa riferimento alle amministrazioni pubbliche, nonché ad enti e operatori nazionali, pubblici e privati, aventi una sede nel territorio nazionale, come specificato nel corso dell'esame in sede referente, le cui reti e sistemi informativi e informatici sono necessari per l'esercizio di una funzione essenziale dello Stato, oppure sono necessari per l'assolvimento di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato, oppure il cui malfunzionamento, interruzione, anche parziale, o uso improprio possono pregiudicare la sicurezza nazionale.

Il comma 2 demanda l'individuazione dei soggetti inclusi nel perimetro ad un decreto del Presidente del Consiglio dei ministri, adottato su proposta del CISR entro quattro mesi dalla data di entrata in vigore della legge di conversione del decreto-legge in esame. Come previsto dal comma 4-bis, aggiunto nel corso dell'esame in sede referente, sullo schema di decreto è acquisito il parere delle competenti Commissioni parlamentari, da esprimere nel termine di trenta giorni, decorso il quale il decreto può comunque essere adottato.

Il decreto del Presidente del Consiglio dei ministri individua i soggetti inclusi nel perimetro secondo i seguenti criteri: il soggetto esercita una funzione essenziale dello Stato, ovvero assicura un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato; l'esercizio di tale funzione o la prestazione di tale servizio dipende da reti, sistemi informativi e servizi informatici; oppure, come specificato ancora nel corso dell'esame in sede referente, l'individuazione avviene secondo un criterio di gradualità, tenendo conto dell'entità del pregiudizio per la sicurezza nazionale che - in relazione alle specificità dei diversi settori di attività - può derivare dal malfunzionamento, interruzione, anche parziale, ovvero dall'utilizzo improprio delle suddette reti e dei predetti sistemi informativi e servizi informatici. Resta ferma, per gli organismi di informazione e sicurezza, la specifica disciplina di cui alla legge n. 124 del 2007.

Il medesimo decreto del Presidente del Consiglio dei ministri dovrà fissare, sulla base di un'analisi del rischio e di un criterio di gradualità che tenga conto delle specificità dei diversi settori di attività, i criteri che i soggetti inclusi nel perimetro dovranno seguire nel compilare l'elenco delle reti, dei sistemi e dei servizi rilevanti ai fini della presente disciplina. Tale elenco dovrà essere aggiornato con cadenza almeno annuale.

Si prevede, inoltre, sempre per una modifica intervenuta in sede referente, che per le reti, i sistemi informativi e i servizi informatici attinenti alla gestione delle informazioni classificate si applichi quanto previsto dal regolamento adottato ai sensi dell'articolo 4, comma 3, lettera l) della legge n. 124 del 2007. In attuazione di tale disposizione è stato emanato il decreto del Presidente del Consiglio dei ministri 6 novembre 2015, n. 5, recante disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate e a diffusione esclusiva, integrato poi dal decreto del Presidente del Consiglio dei ministri n. 3 del 2017.

L'organismo tecnico di supporto al CISR, integrato da un rappresentante della Presidenza del Consiglio dei ministri, provvede alla predisposizione di tali criteri adottando “opportuni moduli organizzativi”. Entro sei mesi dall'entrata in vigore del decreto del Presidente del Consiglio dei ministri gli elenchi così predisposti sono inviati: alla Presidenza del Consiglio dei ministri dai soggetti pubblici e dai soggetti che intendono fornire servizi fiduciari qualificati o svolgere l'attività di gestore di posta elettronica certificata o di gestore dell'identità digitale oppure dai soggetti che intendono svolgere l'attività di conservatore di documenti informatici, rispettivamente qualificati; al Ministero dello Sviluppo economico dai soggetti accreditati dall'AgID, cioè quelli individuati all'articolo 29 del Codice dell'amministrazione digitale.

Quindi la Presidenza del Consiglio dei ministri e il Mise inoltrano i rispettivi elenchi: al DIS, Dipartimento delle informazioni per la sicurezza, organo incaricato a livello nazionale di coordinare le questioni relative alla sicurezza delle reti e dei sistemi informativi e la cooperazione transfrontaliera a livello di Unione europea e designato, dall'articolo 7 del decreto legislativo n. 65 del 2018, quale punto di contatto unico per tali questioni, anche per le attività di prevenzione, preparazione e gestioni delle crisi svolte dal Nucleo per la sicurezza cibernetica; e all'organo per la regolarità e sicurezza dei servizi di telecomunicazione presso il Ministero dell'Interno, il quale assicura i servizi di protezione informatica delle infrastrutture critiche informatizzate di interesse nazionale individuate con decreto del Ministro dell'Interno, 9 gennaio 2008, operando mediante collegamenti telematici definiti con apposite convenzioni con i responsabili delle strutture.

L'articolo 1, comma 3, modificato, demanda a un decreto del Presidente del Consiglio dei ministri, da adottare entro dieci mesi dalla conversione del decreto-legge, la definizione di un duplice profilo: le procedure secondo cui i soggetti del perimetro segnalano gli incidenti aventi impatto e le misure volte a garantire elevati livelli di sicurezza. Per quanto riguarda le procedure di segnalazione degli incidenti su reti, sistemi informativi e sistemi informatici rientranti nel perimetro di sicurezza nazionale cibernetica, i relativi soggetti devono notificare l'incidente al CSIRT italiano, Gruppo di intervento per la sicurezza informatica in caso di incidente. Questo CSIRT procede poi a inoltrare tempestivamente la notifica al DIS. Questa trasmissione è prevista anche qualora siano interessate attività demandate al Nucleo per la sicurezza cibernetica. Il DIS assicura infine una duplice ulteriore trasmissione all'organo del Ministero dell'Interno preposto alla sicurezza e regolarità dei servizi di telecomunicazioni e alla Presidenza del Consiglio dei ministri ovvero al Ministero dello Sviluppo economico in base ai soggetti che hanno proceduto alla notifica.

Per quanto riguarda le misure di sicurezza esse devono assicurare elevati livelli di prevenzione e salvaguardia delle reti, sistemi informativi e sistemi informatici rientranti nel perimetro di sicurezza nazionale cibernetica, tenendo conto degli standard definiti a livello internazionale e dell'Unione europea, come specificato nel corso dell'esame in sede referente.

In particolare, queste misure devono essere definite così da agire su più versanti: la struttura organizzativa preposta alla gestione della sicurezza, le politiche di sicurezza e gestione del rischio; le politiche di sicurezza, struttura organizzativa e gestione del rischio; la mitigazione e la gestione degli incidenti e loro prevenzione; la protezione fisica e logica e dei dati informativi; l'integrità delle reti e dei sistemi informativi; la gestione operativa; il monitoraggio, test e controllo; la formazione e consapevolezza e l'affidamento di forniture, sistemi e servizi di tecnologie dell'informazione e della comunicazione anche mediante definizione di caratteristiche e requisiti di carattere generale, standard e di eventuali limiti, come specificato nel corso dell'esame referente. L'elaborazione delle misure di sicurezza sopramenzionate è realizzata, secondo l'ambito di competenza, dal Mise o dalla Presidenza del Consiglio. È prevista l'intesa con il Ministero della Difesa, il Ministero dell'Interno, il Ministero dell'Economia e delle finanze, il DIS.

Ai sensi del comma 4-bis, il parere delle competenti Commissioni parlamentari è espresso nel termine di trenta giorni, decorso il quale il decreto può essere comunque adottato. Il comma 5 prevede un aggiornamento almeno biennale delle previsioni del decreto del Presidente del Consiglio dei ministri. È anche previsto l'aggiornamento biennale per l'altro decreto del Presidente del Consiglio dei ministri di determinazioni dei soggetti che fanno parte del perimetro di sicurezza.

In entrambi i casi, in base a ciò che abbiamo modificato in sede referente, è acquisito il parere delle competenti Commissioni parlamentari, sempre nel termine di 30 giorni.

L'articolo 1, comma 6, modificato, rimette a un regolamento, da emanarsi con decreto del Presidente del Consiglio dei ministri entro dieci mesi dalla data di entrata in vigore della legge di conversione, la definizione delle procedure, delle modalità e dei termini ai quali devono attenersi le pubbliche amministrazioni, gli enti e gli operatori nazionali pubblici e privati inclusi nel perimetro ai sensi del DPCM, che intendano procedere all'affidamento di forniture di beni, sistemi e servizi ICT, destinati a essere impiegati sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici individuati nell'elenco trasmesso alla Presidenza del Consiglio e al MISE. Questa disciplina non si applica agli affidamenti delle forniture di beni, sistemi e servizi necessari per lo svolgimento delle attività di prevenzione, accertamento e repressione dei reati e quelli per i quali è stata dal regolamento disposta una deroga in quanto per la loro acquisizione è indispensabile procedere in sede estera. Sempre per modifica introdotta in sede referente, non si tratterà di tutti i beni, sistemi e servizi ICT potenzialmente oggetto di acquisto ma solo dei beni appartenenti a categorie individuate da un decreto della Presidenza del Consiglio, anche questo da emanarsi entro dieci mesi dalla conversione.

Il comma 7 individua alcuni compiti del CVCN, Centro di valutazione e certificazione nazionale, con riferimento all'approvvigionamento di prodotti, processi, servizi di tecnologie dell'informazione e della comunicazione e infrastrutture, qualora, ovviamente, destinati a reti e sistemi appartenenti al perimetro di sicurezza. Il CVCN contribuisce all'elaborazione delle misure di sicurezza, per ciò che concerne l'affidamento di forniture di beni, sistemi e servizi ICT; svolge attività di valutazione del rischio e di verifica delle condizioni di sicurezza e dell'assenza di vulnerabilità note, anche in relazione all'ambito di impiego, dettando, se del caso, prescrizioni di utilizzo al committente; elabora e adotta schemi di certificazione cibernetica qualora gli schemi di certificazione esistenti non siano ritenuti, per ragioni di sicurezza nazionale, adeguati alle esigenze di tutela del perimetro. Al fine delle attività di cui alla lettera b) il CVCN si avvale anche di laboratori che esso accredita. Il comma 19 prevede l'autorizzazione di spesa, pari a 3 milioni 200 mila euro, per il CVCN per il 2019, 2 milioni 850 mila per gli anni successivi e 750 mila euro dall'anno 2024.

Il comma 8 determina alcuni obblighi per gli operatori dei servizi. La disposizione prevede alla lettera a) che i soggetti, se inclusi nel perimetro, osservino le misure di sicurezza previste nei decreti allorché esse siano di livello almeno equivalente a quelle adottate con l'apposito DPCM attuativo del presente decreto-legge. Se, tuttavia, non c'è questa equivalenza, le eventuali misure aggiuntive necessarie al fine di assicurare i livelli di sicurezza previsti dal presente decreto-legge sono da definirsi dalla Presidenza del Consiglio o dal MISE a seconda dei soggetti. La lettera b) dispone in merito ad alcuni obblighi in capo ai soggetti sopra ricordati. In particolare, dispone che essi assolvano all'obbligo di notifica degli incidenti aventi impatto sulle reti, sui sistemi informativi e sui sistemi informatici del perimetro. Con l'adempimento a tale obbligo si intende ottemperato l'obbligo di notifica già previsto dalle norme vigenti sopra ricordate (decreto legislativo n. 65 del 2018).

I commi da 9 a 11 recano un articolato sistema sanzionatorio. Il comma 11 punisce con la pena della reclusione da uno a cinque anni coloro che, allo scopo di ostacolare o condizionare l'espletamento dei procedimenti, di cui al comma 2, lettera b) (procedimento di compilazione e aggiornamento degli elenchi delle reti, dei sistemi informativi e dei servizi informatici) e di cui al comma 6 (procedimenti relativi all'affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi) o delle attività ispettive e di vigilanza da parte della Presidenza del Consiglio dei ministri e del MISE: forniscono informazioni, dati o fatti non rispondenti al vero; omettono di comunicare i predetti dati. All'ente responsabile, ai sensi del decreto legislativo n. 231 del 2001, che reca la disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, si applica la sanzione pecuniaria fino a 400 euro.

Il comma 9 disciplina una serie di illeciti amministrativi.

Il comma 12 individua le autorità competenti all'accertamento delle violazioni e l'irrogazione delle sanzioni amministrative. Le autorità competenti vengano individuate nella Presidenza del Consiglio dei ministri per le amministrazioni pubbliche e nel Ministero dello Sviluppo economico per gli altri operatori privati interni al perimetro. La Presidenza del Consiglio e il MISE sono, dunque, le autorità chiamate a vigilare sul rispetto degli obblighi previsti dai commi 2, 3, 6 e 7 della disposizione in commento e ad irrogare le sanzioni amministrative pecuniarie.La ringrazio, Presidente. Il comma 14 specifica che per le violazioni delle disposizioni dell'articolo 1 i dipendenti delle amministrazioni pubbliche, degli enti e degli operatori nazionali pubblici inclusi nel perimetro di sicurezza possono incorrere in responsabilità disciplinare e amministrativo-contabile. Il comma 15 prevede che le autorità titolari delle attribuzioni quali configurate dal decreto-legge assicurino gli opportuni raccordi con il DIS e con l'organo del Ministero dell'Interno per la sicurezza e la regolarità dei servizi di telecomunicazione. Il comma 16 prevede che la Presidenza del Consiglio dei ministri possa avvalersi per lo svolgimento di funzioni attinenti al perimetro dell'Agenzia per l'Italia Digitale (AGID).

L'articolo 1, comma 19-bis, introdotto in sede referente, affida al Presidente del Consiglio dei ministri il coordinamento della coerente attuazione delle disposizioni del decreto-legge che disciplinano il perimetro, anche avvalendosi del DIS che assicura gli opportuni raccordi con le autorità titolari delle attribuzioni e con i soggetti coinvolti. Il Presidente del Consiglio dei ministri - e questa è una riformulazione di un emendamento presentato dal collega Iezzi - è altresì tenuto a trasmettere alle Camere una relazione sulle attività svolte dopo l'adozione degli atti normativi secondari previsti dall'articolo 1.

L'articolo 1, comma 17, reca due novelle al decreto legislativo n. 65 del 2018 che aveva dato attuazione alla direttiva UE recante misure per un livello elevato di sicurezza delle reti e dei sistemi informativi. La prima attiene all'identificazione degli operatori di servizi essenziali, prevedendo che il MISE trasmetta l'elenco nazionale di servizi essenziali al punto di contatto unico nonché all'organo del Ministero dell'Interno; la seconda prevede che anche l'organo del Ministero dell'Interno sia parte del network chiamato a collaborare per l'adempimento degli obblighi di cui al decreto legislativo n. 65 di cui prima.

L'articolo 1, comma 18, dispone, inoltre, che gli eventuali adeguamenti delle reti, dei sistemi e dei servizi siano effettuati con le risorse finanziarie disponibili a legislazione vigente.

L'articolo 2 autorizza, al comma 1, il MISE ad assumere a tempo indeterminato un contingente massimo di 77 unità di personale. Il comma 2 prevede, inoltre, che fino al completamento delle procedure di assunzione, il MISE, fatte salve le unità dedicate all'assolvimento delle esigenze connesse alle operazioni condotte dalle Forze armate per la difesa nazionale anche nell'ambito del Trattato dell'Atlantico del Nord, può avvalersi, per le esigenze del CVCN, di un contingente di personale non dirigenziale appartenente alle pubbliche amministrazioni.

L'articolo 2, comma 3, autorizza la Presidenza del Consiglio ad assumere fino a 10 unità di personale con un'autorizzazione di spesa di 640 mila euro a decorrere al 2020.

Il comma 4 reca l'autorizzazione alla Presidenza del Consiglio, fino al completamento delle procedure per l'assunzione a tempo indeterminato, di avvalersi di personale non dirigenziale appartenente alle pubbliche amministrazioni, di esperti o consulenti in possesso di particolare e comprovata specializzazione in materia informatica.

Il comma 5 dispone che il reclutamento del personale necessario al funzionamento del CVCN e allo svolgimento delle funzioni di digitalizzazione della Presidenza del Consiglio dei ministri avviene attraverso l'espletamento di uno o più concorsi pubblici.

Per quanto riguarda le modifiche introdotte nel corso dell'esame in sede referente alla disciplina dei poteri speciali di cui al decreto-legge n. 21 del 2012, ricordo che nel corso dell'esame è stato introdotto il nuovo articolo 4-bis il quale detta disposizioni in materia di esercizio dei predetti poteri speciali del Governo nei settori della difesa e della sicurezza nazionale nonché per le attività di rilevanza strategica nei settori energia, trasporti e comunicazioni, recando norme analoghe a quelle contenute nel decreto n. 64 del 2019 (oggetto di modifica è il citato decreto in tema di poteri speciali del Governo in quei settori sopracitati): viene in generale allungato il termine per l'esercizio dei poteri speciali da parte del Governo; si amplia l'oggetto di alcuni poteri speciali; sono modificati e integrati gli obblighi di notifica finalizzati all'esercizio dei poteri speciali; viene modificata la disciplina dei poteri speciali in tema di tecnologie 5G; viene ridefinito il concetto di soggetto esterno all'Unione europea e sono precisati i criteri per determinare se un investimento estero è suscettibile di incidere sulla sicurezza o sull'ordine pubblico.

In tale contesto segnalo che, rispetto al contenuto del decreto-legge n. 64 del 2019, l'articolo aggiuntivo 4-bis introduce ulteriori circostanze che il Governo può tenere in considerazione per l'esercizio dei poteri speciali nel caso in cui l'acquirente di partecipazioni rilevanti sia un soggetto esterno alla UE.

Inoltre, si sottopone all'obbligo di notifica anche l'acquisizione a qualsiasi titolo, in luogo del solo acquisto, di beni o servizi relativi alle reti 5G, quando posti in essere con soggetti esterni all'Unione europea. Si consente di aggiornare i regolamenti che individuano gli attivi di rilevanza strategica tramite decreti del Presidente del Consiglio dei ministri in luogo di decreti del Presidente della Repubblica, anche in deroga alle procedure richieste dalla legge n. 400 del 1988. Viene semplificata la procedura per l'espressione del parere delle Commissioni parlamentari competenti. Si disciplina la notifica riguardante delibere, atti e operazioni relativi a specifici asset di rilevanza strategica per l'interesse nazionale nei settori dei trasporti, dell'energia e delle comunicazioni, in presenza di condizioni particolari relative alla provenienza dell'acquirente ovvero agli effetti delle operazioni compiute. Lascio ora la parola al collega relatore per la IX Commissione Scagliusi, per l'illustrazione degli altri articoli.