Di Helga Zanotti e Nicolò Ghibellini
Il 4 settembre 2022 entra in vigore il d. lgs. n. 123 del 3 agosto 2022, la norma nazionale che agevola l’adeguamento al quadro europeo di certificazione della cybersicurezza, introdotto mediante le disposizioni del Titolo III del regolamento UE n. 881 del 2019, quest’ultimo noto con la qualifica di Cyber Act.
In particolare, la cybersicurezza è calata in un quadro normativo complesso e stratificato, sia perché influisce su materie e settori diversi, alcuni dei quali di competenza del legislatore europeo, sia per la complessità tecnica che la caratterizza. Tra le fonti nazionali di rango primario, rilevano tra gli altri, il d. lgs. 18 maggio 2018 n. 65, attuativo della direttiva 2016/1148 (c.d. Direttiva NIS), recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi, nonché dal d. l. 21 settembre 2019 n. 105, istitutivo del perimetro di sicurezza nazionale cibernetica, che estende all’ambito in esame l’esercizio dei c.d. golden powers, cioè i poteri speciali del Presidente del Consiglio.
Il Regolamento UE n. 881 del 2019 elabora un insieme di certificazioni sulla sicurezza informatica;, conseguentemente il d.lgs. 3 agosto 2022 n. 123 punta all’adeguamento della normativa italiana al quadro di certificazione relativo all’ENISA, l’Agenzia dell’Unione Europea per la Cybersicurezza e alla certificazione della cybersicurezza per le tecnologie dell’informazione e della comunicazione.
Con riferimento al trattamento dei dati personali, l’art. 1 del d. lgs. n. 123 del 2022 precisa che i dati personali derivanti dall’applicazione della norma saranno trattati nel rispetto delle previsioni del GDPR e del d. lgs. n. 196 del 30.6.2003. In tal modo, si chiarisce che l’area di applicazione del regolamento sulla cybersicurezza non entra in conflitto con quella del GDPR.
Le norme citate si inseriscono, a pieno titolo, in una nuova generazione di regolamenti comunitari incentrati sul rischio, come il citato GDPR e la proposta di regolamento sull’intelligenza artificiale del 21 aprile 2021.
In particolare, il d. lgs. n. 123 del 2022 contempla tre livelli di affidabilità valutati sulla base del grado di conformità:
1. base: dove la funzione del certificato è assicurare che i prodotti, servizi e processi TIC (tecnologie dell’informazione e della comunicazione, n.d.r.) sono stati valutati sufficienti a ridurre il rischio informatico, che consegua ad un attacco o ad un incidente informatico di tipo noto;
2.sostanziale: dove la funzione del certificato è assicurare che i prodotti, servizi e processi TIC dispongano di standard più elevati, estesi alle funzionalità di sicurezza e alla limitazione del rischio noto di attacchi informatici causati da soggetti con abilità e risorse limitate. In caso di affidabilità sostanziale, è necessario procedere a un riesame che provi il perdurare dell’assenza di vulnerabilità pubblicamente note mediante l’incremento delle attività di valutazione;
3. elevato: dove la funzione del certificato è assicurare che i prodotti, servizi e processi TIC rispettino i requisiti di sicurezza e siano stati valutati per ridurre al minimo i rischi derivanti da attacchi informatici. In questo caso, occorrerà programmare il riesame che provi l’assenza di vulnerabilità pubblicamente note, oltre ad un test specifico per dimostrare che prodotti e servizi TIC pongano correttamente in essere le necessarie funzionalità di sicurezza allo stato tecnologico più avanzato, unitamente ad un esame della loro resistenza agli attacchi effettuati da soggetti qualificati mediante test di penetrazione.
L’art. 7 del d. lgs. 123 del 2022, scritto in funzione dell’art. 54 del regolamento, ribadisce anche la funzione del meccanismo di autovalutazione, che grava sul produttore o servizio o processo TIC, è fondamentale per la valutazione del livello di affidabilità. L’Autorità Nazionale di Cybersecurity è l’organo preposto a ricevere e analizzare i documenti necessari a valutare la conformità dell’autodichiarazione. Si sottolinea, come sia la certificazione che la dichiarazione abbiano natura volontaria. È possibile affermare, che l’Unione Europea lasci ai singoli Paesi membri la possibilità di prevedere la certificazione obbligatoria, con apposita previsione di legge.
L’art. 10 del d. lgs. 123 del 2022 delinea il quadro sanzionatorio, caratterizzato sia da sanzioni pecuniarie che accessorie. Anche in questo caso, la norma richiama il sistema sanzionatorio del GDPR, nel quale il Garante per la Privacy può invitare bonariamente ad adempiere, salvo comminare sanzioni in caso di protratto inadempimento, come accaduto nel caso di società che ricorrano a Google Analytics.
È possibile concludere, che le società si trovino in una fase nuova, caratterizzata dalla convivenza con il rischio e dal constante obbligo di monitoraggio al fine di limitarne le conseguenze.
h.zanotti@bmvinternational.com
n.ghibellini@bmvinternational.com
