Skip to content
Tiatra, LLCTiatra, LLC
Tiatra, LLC
Information Technology Solutions for Washington, DC Government Agencies
  • Home
  • About Us
  • Services
    • IT Engineering and Support
    • Software Development
    • Information Assurance and Testing
    • Project and Program Management
  • Clients & Partners
  • Careers
  • News
  • Contact
 
  • Home
  • About Us
  • Services
    • IT Engineering and Support
    • Software Development
    • Information Assurance and Testing
    • Project and Program Management
  • Clients & Partners
  • Careers
  • News
  • Contact

La nuova legge italiana sulla cybersecurity: una guida essenziale per i CIO e per i CISO

Nel maggio del 2024 l’Agenzia per la cybersicurezza nazionale (ACN) ha individuato in Italia 283 eventi cyber, in aumento del 148% rispetto al mese precedente e con un impatto su 175 soggetti nazionali. A giugno la situazione è migliorata: 168 eventi (-41%), di cui 46 individuati come incidenti. Tuttavia, un dato resta invariato: la nostra Pubblica Amministrazione è la più colpita, seguita dalle telecomunicazioni e dai trasporti. Questi dati, comunicati dal Computer Security Incident Response Team (CSIRT Italia) dell’Agenzia per la Cybersicurezza Nazionale (ACN) non lasciano spazio a dubbi: l’emergenza attacchi informatici è sempre viva e la PA ha bisogno di alzare il suo livello di cyber resilienza. In questa ottica si colloca la legge italiana sulla sicurezza informatica, la n. 90/24 del 28 giugno 2024, che fornisce “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici” e che fornisce una sorta di complemento alla Direttiva NIS2, che sarà in applicazione dall’ottobre di quest’anno e che l’Italia ha recepito proprio in questo mese di agosto.

La legge 24/90, infatti, specifica, soprattutto per quel che riguarda le Pubbliche Amministrazioni e le loro società in-house (ma non solo), quali organizzazioni siano interessate dalle disposizioni in materia di cybersicurezza pur non rientrando nel perimetro della NIS2.

“L’approvazione del disegno di legge sulla cybersecurity nazionale è un passo fondamentale per rafforzare la sicurezza nel perimetro della Pubblica Amministrazione”, afferma Alessandro Ballestriero, CTO di Intred (operatore di telecomunicazioni di riferimento in Lombardia). “Ritengo che questo provvedimento sia essenziale per proteggere le infrastrutture critiche del nostro Paese e rispondere in maniera più efficace alle minacce cibernetiche”.

“La legge 90 è importante perché ribadisce il ruolo della cybersecurity nelle organizzazioni, confermando quanto previsto dalla NIS2”, commenta Claudio Telmon, Senior Partner – Information & Cyber Security di P4I – Partners4Innovation. “I temi della sicurezza informatica devono salire all’attenzione dell’organo di gestione dell’azienda, come il CdA, non sono soltanto questioni tecniche da CIO e CISO. Questo è anche un momento di grande visibilità per il CISO e, in seconda battuta per il CIO, perché porta a livello alto e strategico tematiche prima relegate in una funzione aziendale”.

La legge italiana sulla cybersicurezza

Il testo della legge 90/24 (GU n. 153 del 2 luglio 2024) si divide in due Capi e 23 articoli. Il Capo I, composto dagli articoli da 1 a 15, reca le “Disposizioni in materia di rafforzamento della cybersicurezza nazionale, di resilienza delle pubbliche amministrazioni e del settore finanziario, di personale e funzionamento dell’Agenzia per la cybersicurezza nazionale e degli organismi di informazione per la sicurezza nonché di contratti pubblici di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici”.  

Il Capo II del provvedimento, composto dagli articoli da 16 a 23, apporta numerose modifiche al codice penale rafforzando la prevenzione e il contrasto dei reati informatici prevedendo, da un lato, inasprimenti di pene o ulteriori circostanze aggravanti per i reati informatici già previsti dalla legislazione vigente e, dall’altro, introducendo nuove “fattispecie delittuose”.

Nel Capo I, un primo gruppo di disposizioni riguarda le misure da adottare in caso di incidenti informatici e gli obblighi di notifica all’ACN (che deve avvenire entro un massimo di ventiquattro ore dal momento in cui i soggetti colpiti sono venuti a conoscenza dell’incidente). Nel caso in cui la stessa ACN segnali agli enti specifiche vulnerabilità cui risultino potenzialmente esposti, questi enti “provvedono, senza ritardo e comunque non oltre quindici giorni dalla comunicazione, all’adozione degli interventi risolutivi indicati dalla stessa Agenzia”.

“La norma ha un perimetro di applicazione focalizzato a soggetti di ‘alto livello’ per gli interessi della nazione e si articola su diversi punti”, evidenzia Edoardo Venini, giurista informatico, esperto in privacy e protezione dei dati, DPO, consulente su privacy e cybersecurity. “Il primo è quello di disciplinare con tempistiche e obblighi definiti la comunicazione degli incidenti all’Agenzia per la cybersicurezza nazionale; sono previste sanzioni in caso di mancato o ritardato adeguamento all’adozione degli interventi risolutivi indicati dall’Agenzia”.

Per Ballestriero, l’obbligo di intervento rapido “è cruciale per prevenire e mitigare eventuali danni derivanti dagli attacchi informatici, che possono avere conseguenze importanti sia sull’erogazione di servizi critici sia sulla potenziale violazione di dati sensibili dei cittadini. Particolarmente significativo è l’obbligo di segnalare gli incidenti che colpiscono reti, sistemi informativi e servizi informatici, sia all’interno che all’esterno del perimetro di pertinenza delle PA. La richiesta di segnalazioni entro ventiquattro ore rappresenta un’importante misura di trasparenza e responsabilità, che consentirà all’ACN di raccogliere dati cruciali necessari per rafforzare il perimetro difensivo nazionale”.

Il referente per la cybersicurezza e il rapporto CIO-CISO

Altre misure sono specificamente mirate a rafforzare la resilienza. Tra queste si colloca la disposizione per le PA di creare la figura del “referente per la cybersicurezza” (Capo I, Art.8), se non è già presente. 

“I compiti di questo soggetto, individuato in ragione di specifiche e comprovate professionalità e competenze in materia di cybersecurity, sono molto simili e collimano in buona parte con attività tipiche di CIO, CISO e dei reparti Compliance, Legal e IT”, sottolinea Venini.

Con questa disposizione, la legge 90/24 si allinea a quanto prevede la NIS2 e crea, di fatto, nelle PA una figura equivalente a quella del CISO. Inoltre, sempre in linea con le logiche della NIS2, la legge 90 prevede all’interno dei soggetti pubblici una struttura interna per la cybersicurezza con compiti ben definiti. Al tempo stesso, poiché la legge non prevede nuovi fondi, ma indica alle PA di agire usando le risorse già a disposizione, è possibile far coincidere la figura del referente per la sicurezza informatica con quella del Direttore IT o Responsabile della transizione al digitale. In pratica, CIO e CISO possono coincidere.

“Ciò accade anche in alcune imprese private, pur se non lo ritengo il modo più opportuno di procedere”, commenta Telmon. “Far coincidere il CISO con il CIO o con il Responsabile della transizione al digitale può portare ad un problema di obiettivi non coincidenti”.

Pensiamo all’uso in azienda dei portali gestiti da fornitori terzi per le prenotazioni delle trasferte dei dirigenti: qui il CISO vedrebbe un problema di sicurezza per informazioni che potrebbero essere sensibili, mentre l’uso di questi portali sfuggirebbe al CIO, perché non riguarda i sistemi IT.

“Sarebbe meglio separare CIO e CISO perché il CIO ha una prospettiva sulle tematiche della sicurezza più focalizzata sui sistemi informativi”, secondo Telmon.

La questione della crittografia

C’è un altro aspetto della legge in cui alcuni esperti vedono una debolezza. L’Art. 9 tratta il “Rafforzamento delle misure di sicurezza dei dati attraverso la crittografia” e istituisce il Centro nazionale di crittografia presso l’ACN.

Il testo recita che l’ACN provvede “allo sviluppo e alla diffusione di standard, linee guida e raccomandazioni al fine di rafforzare la cybersicurezza dei sistemi informatici, alla valutazione della sicurezza dei sistemi crittografici nonché all’organizzazione e alla gestione di attività di divulgazione finalizzate a promuovere l’utilizzo della crittografia, anche a vantaggio della tecnologia blockchain, come strumento di sicurezza informatica. L’Agenzia, anche per il rafforzamento dell’autonomia industriale e tecnologica dell’Italia, promuove altresì la collaborazione con centri universitari e di ricerca per la valorizzazione dello sviluppo di nuovi algoritmi proprietari, la ricerca e il conseguimento di nuove capacità crittografiche nazionali nonché la collaborazione internazionale con gli organismi esteri che svolgono analoghe funzioni. A tale fine, è istituito presso l’Agenzia, nell’ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente e senza nuovi o maggiori oneri a carico della finanza pubblica, il Centro nazionale di crittografia, il cui funzionamento è disciplinato con provvedimento del direttore generale dell’Agenzia stessa. Il Centro nazionale di crittografia svolge le funzioni di centro di competenza nazionale per tutti gli aspetti della crittografia in ambito non classificato”.

Secondo Telmon, se, da un lato, “è importante occuparsi di crittografia e istituire un centro di competenza nazionale”, dall’altro, “quando si parla di algoritmi proprietari va fatta attenzione. In crittografia questo è un concetto debole, perché gli algoritmi analizzati e validati da esperti mondiali sono più sicuri di quelli sviluppati in casa. L’idea che si possa pensare a dare preferenza ad algoritmi proprietari a livello nazionale è un mal riposto nazionalismo. Sarebbe meglio puntare su algoritmi analizzati almeno su scala UE”.

Anche Venini sottolinea: “Ancora una volta, come nel GDPR, la crittografia ha particolare rilievo dal lato tecnico; infatti la legge italiana sulla cybersicurezza attribuisce un particolare sostegno alle linee guida del Garante Privacy relativamente a queste tematiche. Tuttavia, accanto alla crittografia, va considerata l’annosa questione della custodia delle chiavi crittografiche che, non è un mistero, è il tallone d’Achille di molti sistemi. I CIO è sempre bene che valutino questo specifico aspetto nei sistemi che adottano”.

Il rapporto con la NIS2 e il compito del CIO

La legge 90/24 fornisce, in generale, nuovi principi e criteri direttivi per il recepimento della NIS2, la Direttiva sulle misure per un livello comune elevato di cybersecurity in tutta l’Unione Europea. Per i CIO del settore privato resta la rilevanza di questo testo, come di un’altra legge, DORA (Digital Operational Resilience Act), che stabilisce un framework per la gestione del rischio ICT nel settore finanziario.

Secondo gli esperti, i CIO e i CISO saranno interessati più dalle conseguenze del recepimento della Direttiva NIS2 e di DORA che non dalla legge italiana per la cybersicurezza.

“Il recepimento della NIS2 è la prossima sfida di compliance per le aziende e le PA nel perimetro di applicazione”, afferma Venini. “La legge 90, infatti, anticipa alcune tipologie di adempimenti previsti per la Direttiva NIS2 ma non tutte, specialmente nelle disposizioni di tipo tecnico. Per CIO e CISO ciò significa prestare molta attenzione a quanto previsto dalla NIS2 coordinando gli obblighi di formazione, documentali, organizzativi e procedurali insieme agli altri C-level coinvolti da queste normative”.

Per le aziende può essere una buona linea guida predisporre nelle loro procedure interne dei tavoli di lavoro di alto livello, con un coordinatore, per far fronte alle tematiche di compliance e in cui le figure del CIO e del CISO (possibilmente separate) saranno strategiche.


Read More from This Article: La nuova legge italiana sulla cybersecurity: una guida essenziale per i CIO e per i CISO
Source: News

Category: NewsAugust 13, 2024
Tags: art

Post navigation

PreviousPrevious post:CRM is dead — and AI can’t come to the rescue fast enoughNextNext post:メンタルヘルス運動からIT業界が学べること

Related posts

휴먼컨설팅그룹, HR 솔루션 ‘휴넬’ 업그레이드 발표
May 9, 2025
Epicor expands AI offerings, launches new green initiative
May 9, 2025
MS도 합류··· 구글의 A2A 프로토콜, AI 에이전트 분야의 공용어 될까?
May 9, 2025
오픈AI, 아시아 4국에 데이터 레지던시 도입··· 한국 기업 데이터는 한국 서버에 저장
May 9, 2025
SAS supercharges Viya platform with AI agents, copilots, and synthetic data tools
May 8, 2025
IBM aims to set industry standard for enterprise AI with ITBench SaaS launch
May 8, 2025
Recent Posts
  • 휴먼컨설팅그룹, HR 솔루션 ‘휴넬’ 업그레이드 발표
  • Epicor expands AI offerings, launches new green initiative
  • MS도 합류··· 구글의 A2A 프로토콜, AI 에이전트 분야의 공용어 될까?
  • 오픈AI, 아시아 4국에 데이터 레지던시 도입··· 한국 기업 데이터는 한국 서버에 저장
  • SAS supercharges Viya platform with AI agents, copilots, and synthetic data tools
Recent Comments
    Archives
    • May 2025
    • April 2025
    • March 2025
    • February 2025
    • January 2025
    • December 2024
    • November 2024
    • October 2024
    • September 2024
    • August 2024
    • July 2024
    • June 2024
    • May 2024
    • April 2024
    • March 2024
    • February 2024
    • January 2024
    • December 2023
    • November 2023
    • October 2023
    • September 2023
    • August 2023
    • July 2023
    • June 2023
    • May 2023
    • April 2023
    • March 2023
    • February 2023
    • January 2023
    • December 2022
    • November 2022
    • October 2022
    • September 2022
    • August 2022
    • July 2022
    • June 2022
    • May 2022
    • April 2022
    • March 2022
    • February 2022
    • January 2022
    • December 2021
    • November 2021
    • October 2021
    • September 2021
    • August 2021
    • July 2021
    • June 2021
    • May 2021
    • April 2021
    • March 2021
    • February 2021
    • January 2021
    • December 2020
    • November 2020
    • October 2020
    • September 2020
    • August 2020
    • July 2020
    • June 2020
    • May 2020
    • April 2020
    • January 2020
    • December 2019
    • November 2019
    • October 2019
    • September 2019
    • August 2019
    • July 2019
    • June 2019
    • May 2019
    • April 2019
    • March 2019
    • February 2019
    • January 2019
    • December 2018
    • November 2018
    • October 2018
    • September 2018
    • August 2018
    • July 2018
    • June 2018
    • May 2018
    • April 2018
    • March 2018
    • February 2018
    • January 2018
    • December 2017
    • November 2017
    • October 2017
    • September 2017
    • August 2017
    • July 2017
    • June 2017
    • May 2017
    • April 2017
    • March 2017
    • February 2017
    • January 2017
    Categories
    • News
    Meta
    • Log in
    • Entries feed
    • Comments feed
    • WordPress.org
    Tiatra LLC.

    Tiatra, LLC, based in the Washington, DC metropolitan area, proudly serves federal government agencies, organizations that work with the government and other commercial businesses and organizations. Tiatra specializes in a broad range of information technology (IT) development and management services incorporating solid engineering, attention to client needs, and meeting or exceeding any security parameters required. Our small yet innovative company is structured with a full complement of the necessary technical experts, working with hands-on management, to provide a high level of service and competitive pricing for your systems and engineering requirements.

    Find us on:

    FacebookTwitterLinkedin

    Submitclear

    Tiatra, LLC
    Copyright 2016. All rights reserved.