Si rafforza la cybersicurezza ed arrivano maggiori obblighi per migliorare le tutele in campo informatico. Il Consiglio dei Ministri ha approvato in via preliminare un decreto legislativo per attuare la direttiva UE 2022/2555 (NIS2) sulla cybersicurezza. Il decreto recepisce la direttiva che modifica il regolamento (UE) n. 910/2014 e la direttiva (UE) 2018/1972, abrogando la direttiva (UE) 2016/1148.
“Le innovazioni -conclude Maruccio- includono l’estensione dell’ambito di applicazione, la distinzione tra “soggetti essenziali” e “importanti”, la razionalizzazione dei requisiti di sicurezza e delle procedure di notifica obbligatoria, e l’adozione di un approccio “multirischio”. Inoltre, regolamenta la divulgazione coordinata delle vulnerabilità (CVD) e attribuisce funzioni di coordinamento ai CSIRT nazionali. Introduce anche il Gruppo di Cooperazione NIS2 e un sistema sanzionatorio più severo e armonizzato a livello europeo, con sanzioni fino a 10.000.000 di euro. Esclude dall’applicazione settori come la sicurezza nazionale e la difesa”.
Il Senato ha poi dato il via libera definitivo al Disegno di legge per il rafforzamento della cybersicurezza, dopo l’approvazione della Camera avvenuta un mese fa. Il testo, composto da 24 articoli, introduce importanti novità nel panorama della sicurezza informatica nazionale. “Tra le misure più significative -spiega l’avvocato Vincenzo Maruccio- l’inasprimento delle pene per i reati informatici, l’obbligo per le amministrazioni pubbliche di segnalare gli attacchi entro 24 ore e di nominare un responsabile della cybersicurezza. Il disegno di legge interviene in modo deciso sul codice penale e sul codice di procedura penale, inasprendo le pene per reati come l’accesso abusivo a sistema informatico, che nel caso di un pubblico ufficiale può arrivare fino a 10 anni di reclusione, e il danneggiamento di informazioni, dati e programmi informatici, punito con la reclusione da 2 a 8 anni a seconda della gravità”.
Viene inoltre introdotta una nuova fattispecie di reato nell’articolo 629 del codice penale, che punisce l’estorsione commessa mediante le condotte previste dagli articoli 615-ter, 617-quater, 617-sexies, 635-bis, 635-quater e 635-quinquies, ovvero con la minaccia di compierle. La pena prevista va da 6 a 12 anni di reclusione, che può aumentare fino a 22 anni in caso di circostanze aggravanti: “Il disegno di legge -continua Maruccio- impone alle amministrazioni pubbliche l’obbligo di segnalare gli attacchi informatici subiti entro 24 ore e di nominare un responsabile della cybersicurezza. Queste misure mirano a migliorare la capacità di risposta e di prevenzione delle pubbliche amministrazioni di fronte alle crescenti minacce informatiche. Le nuove norme, più severe e aggiornate, contribuiranno a rafforzare la sicurezza informatica del Paese e a proteggere cittadini, imprese e istituzioni dalle minacce sempre più sofisticate”.