Nuove regole per garantire la sicurezza informatica in alcuni settori strategici, dall’energia e la cultura, alla Pa e la space economy. Ma anche corsi di formazione obbligatori per personale e manager delle aziende. E per le società pubbliche e private che non rispettano le norme scattano multe fino a 10 milioni di euro o pari al 2% del fatturato. È quanto prevede il decreto legislativo approvato dal governo nell’ultimo consiglio dei ministri per recepire la direttiva europea Nis2 sulla cybersicurezza. Proprio nei giorni in cui l’Onu approva il primo trattato internazionale per combattere la criminalità informatica.
Dal 18 ottobre scatteranno gli obblighi previsti dalla norma Ue, ma concretamente la direttiva in Italia partirà solo dopo il 31 marzo del prossimo anno. Entro quella data l’Agenzia per la cybersicurezza nazionale dovrà avrà completato la lista precisa dei soggetti che dovranno attenersi alla direttiva. A quel punto gli operatori coinvolti si dovranno adeguare entro 9 o 18 mesi a seconda del tipo di vincolo. Nel frattempo, entro il 17 aprile, l’elenco definitivo verrà trasmesso a Bruxelles.
LA LISTA
I nuovi soggetti inclusi, secondo il direttore generale dell’Acn, Bruno Frattasi, sono circa 50mila e vanno ad aggiungersi ai settori già coinvolti dalla prima direttiva Nis (trasporti, banche e finanza, salute, acqua e infrastrutture digitali). Forniscono servizi definiti “critici” perché hanno a che fare con dati sensibili e in caso di attacco informatico si può mettere in crisi l’economia dell’intero Sistema-Paese. Sono quelli postali e dei corrieri, di gestione dei rifiuti, di fabbricazione di dispositivi medici, di computer e prodotti di elettronica e ottica e quelli legali alla grande distribuzione alimentare. Coinvolti anche la space economy, le infrastrutture energetiche e la Pa. L’Italia, poi, è finora l’unico Paese Ue ad aver coinvolto nella normativa, vista la libertà lasciata da Bruxelles, anche il settore della cultura, e in particolare i soggetti che svolgono attività di interesse culturale. Sono servizi sempre più nel mirino delle cyber-gang, spesso sponsorizzate da governi stranieri che considerano ostili gli Stati europei.
L’ingresso nella lista finale, però, dipenderà dalla dimensione del soggetto e dal suo fatturato, coinvolgendo in primis le aziende big. L’Acn realizzerà la piattaforma (che sarà attiva dal 18 ottobre) sulla quale tutti i soggetti che ritengono di essere “sicuramente” coinvolti dalle prescrizioni della Nis2 dovranno «auto-registrarsi». Si potrà aggiornare la registrazione, a seconda del tipo di attività, entro gennaio o febbraio prossimi. Gli operatori dovranno quindi adottare misure tecniche, operative e organizzative «adeguate e proporzionate» per gestire i rischi connessi alla sicurezza dei sistemi informatici e delle reti. Oltre ai corsi di formazione obbligatori questi soggetti saranno tenuti a notificare all’Agenzia cyberincursioni che abbiano un impatto significativo sulla fornitura dei loro servizi. Lo dovranno fare entro 24 ore da quando vengono a conoscenza dell’attacco, con aggiornamenti nelle successive 48 ore e una relazione su tutte le informazioni in loro possesso sul tipo di criticità informatica.
LE SANZIONI
Le sanzioni dipendono invece dalla classificazione dell’operatore. Per quelli “essenziali” si arriva a 10 milioni o il 2% del fatturato annuo su scala mondiale. Per quelle “importanti” si scende a 7 milioni o l’1,4% del fatturato. Capitolo a parte per le pubbliche amministrazioni: possono scattare multe da un minimo di 25mila a un massimo di 125mila euro. Tornando ai settori coinvolti, quindi, la scelta italiana di inserire anche la cultura deriva non solo dal numero crescente di attacchi cyber diretti a musei e database culturali, ma anche da un ragionamento sul giro di affari. Direttamente e indirettamente, infatti, insieme al settore della creatività, la cultura genera un valore aggiunto per oltre 270 miliardi, pari al 16% del Pil.
«Allo stesso tempo — spiega Luigi Garofalo, direttore del giornale Cybersecurity Italia — si tratta di un settore molto legato all’ecosistema digitale: basti pensare all’interruzione dell’erogazione online dei ticket per accedere al Colosseo, avvenuta nel 2023 a causa di un attacco informatico. C’è stato poi quest’anno il cyberattacco alla piattaforma Ticketmaster con cui sono stati violati i dati personali di 560 milioni di fan della popstar Taylor Swift, oltre al furto di Qr Code di 440mila biglietti del tour. E siamo alla vigilia di grandi eventi, come il Giubileo 2025».
© RIPRODUZIONE RISERVATA
Leave feedback about this