Camera dei deputati

Vai al contenuto

Sezione di navigazione

Menu di ausilio alla navigazione

MENU DI NAVIGAZIONE PRINCIPALE

Vai al contenuto

Resoconti delle Giunte e Commissioni

Vai all'elenco delle sedute >>

CAMERA DEI DEPUTATI
Giovedì 18 febbraio 2021
530.
XVIII LEGISLATURA
BOLLETTINO
DELLE GIUNTE E DELLE COMMISSIONI PARLAMENTARI
Difesa (IV)
ALLEGATO
Pag. 25

ALLEGATO

Schema di decreto del Presidente del Consiglio dei ministri recante regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all'articolo 1, comma 3, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, della legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza (Atto n. 240)

RILIEVI DELIBERATI DALLA COMMISSIONE

  La IV Commissione (Difesa),

   esaminato, per quanto di competenza, ai sensi dell'articolo 96-ter, comma 4, del regolamento, lo Schema di decreto del Presidente del Consiglio dei ministri, recante regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all'articolo 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, della legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza (Atto n. 240);

   premesso che:

    lo schema di decreto è stato adottato ai sensi dell'articolo 1, comma 3, lett. b) del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, della legge 18 novembre 2019, n. 133, il quale ha definito il quadro normativo vigente in materia di sicurezza cibernetica, istituendo il perimetro di sicurezza nazionale cibernetica;

    con il decreto del Presidente del Consiglio dei ministri n. 131 del 2020 sono state definite le modalità e i criteri procedurali di individuazione dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica tenuti al rispetto delle misure e degli obblighi previsti dal richiamato decreto-legge n. 105/2019, nonché i criteri con i quali i soggetti inclusi nel perimetro sono altresì tenuti a predisporre e aggiornare l'elenco delle reti, dei sistemi informativi e dei servizi informatici di rispettiva pertinenza, comprensivo della relativa architettura e componentistica;

    lo schema di decreto in esame dà, invece, attuazione alle disposizioni del medesimo decreto-legge finalizzate a definire le procedure secondo cui i soggetti inclusi nel perimetro notificano al CSIRT (Computer Security Incident Response Team) italiano gli incidenti aventi impatto sulle reti, sui sistemi informativi e sui servizi informatici nonché a stabilire misure volte a garantire elevati livelli di sicurezza delle reti, dei sistemi informativi e dei servizi informatici, tenendo conto degli standard definiti a livello internazionale e dell'Unione europea;

   considerato che:

    il Capo II (articoli 2-6) disciplina la notifica al CSIRT italiano degli incidenti aventi impatto su beni ITC, stabilendo che il DIS (Dipartimento delle informazioni per la sicurezza) inoltri successivamente le notifiche ai competenti soggetti della struttura di governo;

   rilevato che:

    il comma 4 dell'articolo 8 – con specifico riguardo alle attività di ispezione e verifica per i beni ICT legati alla funzione di prevenzione e repressione dei reati, alla tutela dell'ordine della sicurezza pubblica, alla difesa civile, alla difesa nazionale e alla sicurezza militare dello Stato, svolte dalle competenti strutture dell'amministrazione da cui dipendono le Forze di polizia e le Forze armate – esclude che le comunicazioni sulle misure di sicurezza relative ai beni ICT vengano rese disponibili alle strutture della Presidenza del Consiglio dei ministri e del Ministro dello sviluppo economico Pag. 26 successivamente alla trasmissione e conservazione sulla piattaforma digitale del DIS;

    rilevato che, al fine di assicurare un ancor più elevato livello di sicurezza informatica, sarebbe opportuno prevedere, nell'ambito della cornice giuridica delineata dal decreto-legge n. 105 del 2019 e dai successivi e connessi provvedimenti normativi, un'armonizzazione degli obblighi di certificazione (compliance) tra i soggetti rientranti nel perimetro di sicurezza cibernetica ed i fornitori di beni, sistemi e servizi destinati alle reti, ai sistemi informativi e ai servizi informatici previsti dal comma 2, lettera b) del decreto n. 105 del 2020;

   considerato, altresì, che la Difesa è interessata al potenziamento delle misure di sicurezza informatica dell'intero «Sistema Paese» in ragione dell'insidiosità degli attacchi informatici e della loro capacità di aggredire, in maniera poliedrica, una eterogeneità di interessi giuridici meritevoli di tutela, anche di carattere militare. È auspicabile, pertanto, che si prevedano misure per favorire gli investimenti in materia di sicurezza informatica da parte dei cittadini e delle imprese, con particolare riferimento alle PMI, anche con opportune incentivazioni fiscali,

   delibera di formulare i seguenti rilievi:

   andrebbe valutata l'opportunità di:

    prevedere misure, anche di carattere economico, che rendano più agevole l'attuazione delle misure di sicurezza cibernetica disposte dallo schema di decreto in esame e, più in generale, dall'intero assetto normativo definito dal decreto-legge n. 105 del 2019 sul c.d. «perimetro di sicurezza cibernetica»;

    defiscalizzare gli oneri relativi alla messa in sicurezza dei sistemi informatici delle imprese e dei privati, strumentali al miglioramento della sicurezza cibernetica, compresi gli investimenti in beni materiali e le spese per l'accesso a software, sistemi e servizi IT erogati in cloud o via piattaforma web nonché le soluzioni e i sistemi crittografici finalizzati alla sicurezza ed alla riservatezza delle comunicazioni.