Alcune novità in materia di sicurezza cybernetica contenute nella Legge 21 settembre 2022, n. 22, di conversione del cd. “Decreto-Aiuti bis”.

Si segnalano due particolari innovazioni introdotte dalla Legge 21 settembre 2022, n. 22, che ha convertito con modificazioni il cd. “Decreto Aiuti bis” (il Decreto-legge 9 agosto 2022, n. 115) in materia di perimetro nazionale di cybersicurezza e attività degli organismi di informazione per la sicurezza: un nuovo regime di notifica degli incendi in capo agli enti inseriti nel perimetro; l’attribuzione agli organi del sistema di informazione del potere di contro-attaccare in ipotesi di minaccia alla sicurezza nazionale.

Quanto alle novità in materia architettura nazionale di cyber sicurezza, l’emendamento al Decreto approvato in Senato ha sostanzialmente modificato l’onere di notifica all’Agenzia per la cybersicurezza nazionale (ACN) in caso di incedente, che grava sugli Enti inseriti nel perimetro cyber[1].

Il provvedimento tecnico del Direttore dell’ACN individuerà gli enti, rientranti in specifiche categorie tra quelle individuate dalla disciplina del Perimetro di sicurezza nazionale cibernetica, che avranno un termine ordinario di 72 ore (in caso di particolari beni termini tecnologici il termine è ridotto, caso per caso, a 1 ora o 6 ore) per notificare e comunicare all’Agenzia e al CSIRT (Computer Security Incident Response Team) l’avvenuto incidente.

Quanto alla tutela della sicurezza nazionale, i poteri degli organismi di informazione per la sicurezza sono stati ampliati dalla disposizione dell’art. 37 del Decreto.

Si tratta di una novità particolarmente interessante sul piano della sicurezza cybernetica, perché la disposizione appena richiamata attribuisce al Presidente del Consiglio dei Ministri il potere di impartire (o di autorizzare) agli organismi di informazione per la sicurezza disposizioni per “l’adozione di misure di intelligence di contrasto in ambito cibernetico,  in  situazioni  di crisi o di emergenza a fronte di minacce che coinvolgono aspetti di sicurezza nazionale e non siano fronteggiabili  solo  con  azioni  di resilienza”.

L’art. 37 ha quindi il pregio di cristallizzare, sotto il profilo normativo, un sostanziale potere di contrattacco per tutte quelle minacce od emergenze che richiedono un quid ulteriore alla mera difesa o, nei termini del decreto, resilienza. La norma specifica i criteri per l’esercizio del potere di difesa attiva: autorizzazione del Presidente del Consiglio, necessarietà e proporzionalità della risposta in rapporto al rischio per gli interessi nazionali coinvolti (art. 37 comma 2).

L’art. 37 del Decreto Aiuti Bis interviene ampliando i poteri di direttiva alle agenzie del comparto intelligence che l’art. 1 della legge 124 del 2007 già attribuisce in via generale al Presidente del Consiglio dei Ministri. Destinatari, e quindi attuatori, delle direttive presidenziali sono anzitutto le Agenzie che compongono il Sistema di informazione per la sicurezza, vale a dire l’Agenzia informazioni e sicurezza interna (AISI) e Agenzia informazioni e sicurezza esterna (AISE) sotto il coordinamento del Dipartimento delle informazioni per la sicurezza (DIS), ferme restando le competenze del Ministero della difesa.

[1]La modifica è contenuta all’art. 37-quater della legge 221/2022 modifica l’art. 1 del decreto legge 21 settembre 2019, . 105, convertito con modificazioni dalla legge 18 novembre 2019, n. 133