GUARDA QUIhttps://www.accademiaitalianaprivacy.it/assets/images/immagineFB.jpg

Dettaglio news
La nuova disciplina in materia di sicurezza nazionale cibernetica


martedì 3 dicembre 2019
Avv. Gianni Dell’Aiuto





E’ stata pubblicata in G.U. la Legge di conversione del D. L. 105/19 ed è quindi effettiva la disciplina sulla sicurezza nazionale cibernetica. La norma è volta ad assicurare livelli di sicurezza dei sistemi e delle reti non solo degli enti pubblici che svolgano funzioni essenziali dello Stato, ma anche degli operatori privati che svolgano le stesse attività, anche nei settori civili, sociali ed economici. In sintesi ogni attività in cui un malfunzionamento, interruzione anche parziale o un uso improprio, possano pregiudicare la sicurezza nazionale. Definizione forse generica e fin troppo omnicomprensiva, ma da cui si capisce l’importanza dell’argomento.

Compito adesso, entro quattro mesi, del Presidente del Consiglio, su proposta del Comitato Interministeriale per la Sicurezza della Repubblica (CISR) individuare enti e operatori soggetti di una disciplina che imporrà loro, tra le altre attività, quella di redigere e aggiornare con cadenza almeno annuale un elenco delle reti, dei sistemi informativi e delle relative architetture sulla base di criteri tecnici definiti dall’organismo tecnico di supporto del CISR stesso. Previsti anche gli adempimenti di informazione e comunicazione alla Presidenza del Consiglio e agli altri organismi competenti. Sarà previsto anche un meccanismo per le procedure di comunicazione dei data breach e degli incidenti che possano avere impatto su reti e sistemi informativi.

La norma si caratterizza per una rigorosa previsione normativa delle misure di sicurezza che, pur ancora non compiutamente indicate e demandate a successivi atti di attuazione e adeguamento, dovranno essere considerate minimali per la protezione dei dati nelle attività sensibili. Verosimile che questa disciplina ben possa trovare valida applicazione anche nei settori privati, o comunque essere presa come termine di paragone e raffronto da parte degli operatori che così avranno, finalmente dei parametri certi di riferimento per integrare ed applicare quelle privacy by design e by default introdotte dal GDPR.

Estremamente rigorose le sanzioni previste all’articolo 7 della norma. Laddove infatti il fatto non costituisca reato, il mancato adempimento agli obblighi di predisposizione e aggiornamento delle reti e dei sistemi, prevede una sanzione amministrativa da € 200.000,00 fino a € 1.200.000,00. Intuitivo il forte sentore di deterrente che si vuole addossare a strutture che, in ogni caso, ricordiamo, svolgono funzioni estremamente delicate e trattano una elevata mole di dati sensibili.

In tal senso si comprende come il venir meno agli obblighi di notifica venga sanzionato nella misura minima di € 250.000,00 fino ad un massimo di € 1.500.000,00. Dello stesso tenore altre violazioni puntualmente descritte, cui si aggiunge forse quella in assoluto più grave, vale a dire quella sanzione amministrativa accessoria della incapacità ad assumere incarichi di direzione, amministrazione e controllo nelle persone giuridiche e nelle imprese, per un periodo di tre anni a decorrere dalla data di accertamento della violazione. Più che misura deterrente ben possiamo dire di essere ai confini del terrorismo psicologico ma, si vuole ripetere, la delicatezza della questione merita la massima attenzione e un forte richiamo agli operatori.

Ecco quindi, non ultime, le previsioni penali che puniscono la condotta di chiunque cerchi di ostacolare o condizionare le misure della norma anche fornendo informazioni o dati non rispondenti al vero: la reclusione è da uno a tre anni. Chiaro che questa norma è rivolta, ad esempio, anche ad advisor e consulenti. Infine, forse in maniera pleonastica, ma decisamente opportuna, la norma ci ricorda che in caso di violazioni da parte di dipendenti soggetti pubblici, ma aggiungiamo anche a quelli privati, le violazioni comportano responsabilità disciplinare.




CONDIVIDI QUESTA PAGINA!