ALLEGATO 1
DL 82/2021: Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale. C. 3161 Governo.
PROPOSTA DI PARERE DEL RELATORE
La IV Commissione (Difesa),
esaminato il testo del disegno di legge di conversione in legge del decreto-legge 14 giugno 2021, n. 82, recante disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale (A.C. 3161 – Governo);
premesso che:
il provvedimento origina dall'esigenza di rispondere all'accresciuta esposizione alle minacce cibernetiche e alla necessità di sviluppare, in tempi brevi, idonei e sempre più stringenti meccanismi di tutela;
la direttiva UE 2016/1148 del 6 luglio 2016, recepita nell'ordinamento italiano con il decreto legislativo n. 65 del 2018, ha dettato la cornice legislativa delle misure da adottare per la sicurezza delle reti e dei sistemi informativi e ha individuato i soggetti competenti per dare attuazione agli obblighi da questa previsti;
con il decreto-legge n. 105 del 2019, al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, nonché degli enti e degli operatori nazionali, pubblici e privati, è stata prevista l'istituzione di un perimetro di sicurezza nazionale cibernetica e la previsione di misure volte a garantire i necessari standard di sicurezza rivolti a minimizzare i rischi;
considerato che:
la sicurezza cibernetica costituisce uno degli interventi previsti dal Piano nazionale di ripresa e resilienza (PNRR) trasmesso dal Governo alla Commissione europea il 30 aprile 2021;
rilevato che:
il decreto in esame provvede a istituire un'Agenzia nazionale di cybersicurezza a cui attribuire direttamente la responsabilità delle attività di sicurezza informatica, concentrando in essa le funzioni specialistiche in materia, ad esclusione di quelle attinenti alla cyber-intelligence (di competenza degli organismi di informazione per la sicurezza), alla cyber-defense (intesa come difesa e sicurezza militare dello Stato, di competenza del Ministero della difesa) e alla prevenzione e repressione dei reati (di competenza delle Forze di polizia);
all'istituzione della nuova Agenzia si accompagna il più ampio ruolo di coordinamento e stretta sinergia con tutte le altre amministrazioni coinvolte ratione materiae, in modo da assicurare un'interfaccia unica a livello nazionale, europeo e internazionale;
nel complesso, l'impianto normativo disegnato dal nuovo decreto provvede a definire le competenze in materia di cybersicurezza del Vertice politico, a razionalizzare le competenze in materia di cybersicurezza attualmente attribuite ad una pluralità di soggetti istituzionali, a supportare lo sviluppo di capacità industriali, tecnologiche e scientifiche nel campo della cybersicurezza in un'ottica di autonomia strategica nazionale ed europea nel settore, a dare attuazione al Piano Nazionale di Ripresa e Resilienza (PNRR), a mettere in stretto raccordo l'architettura di cybersicurezza nazionale con il Sistema di informazione Pag. 69 per la sicurezza della Repubblica previsto dalla legge 3 agosto 2007, n. 124, a promuovere una gestione coordinata delle attività di prevenzione, preparazione e risposta a situazioni di crisi, anche mediante la costituzione, nell'ambito dell'istituenda Agenzia, del Nucleo per la cybersicurezza;
preso atto del dibattito e valutate favorevolmente le disposizioni che interessano i profili di competenza della Commissione difesa;
considerato, tuttavia, che il provvedimento incide indirettamente sul sistema di organi e funzioni delineato dalla legge n. 224 del 2007, che ha disciplinato il Sistema di Informazione per la Sicurezza della Repubblica, e che occorrerà, quindi, intervenire normativamente per coordinare i due interventi con riferimento in particolare con le modalità con le quali assicurare la collaborazione tra l'Agenzia per la Cybersicurezza e le Agenzie di informazione e sicurezza già esistenti,
esprime
PARERE FAVOREVOLE
con le seguenti condizioni:
venga definito il concetto di «sicurezza nazionale» in relazione a quello di «interesse nazionale», ferma restando l'osservanza degli accordi internazionali, con particolare riguardo a quelli relativi al Trattato NATO, nel rispetto dei principi costituzionali e delle prerogative parlamentari;
venga disciplinato nel dettaglio lo status giuridico del personale dell'Agenzia per la cybersicurezza nazionale in analogia con quanto previsto dalla normativa contenuta nell'articolo 57 del codice di procedura penale;
venga introdotta una disposizione finalizzata a consentire l'utilizzo delle strutture della Difesa nel campo della formazione in materia di cybersicurezza nazionale;
venga inserita una disposizione di coordinamento normativo con la legge n. 124 del 2007, anche al fine di definire le modalità di collaborazione tra l'Agenzia per la cybersicurezza e le Agenzie di informazioni e sicurezza già esistenti e rivedere organicamente l'intero complesso normativo della legge n. 124 alla luce delle modifiche introdotte con il provvedimento in esame.
ALLEGATO 2
DL 82/2021: Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale. C. 3161 Governo.
PARERE APPROVATO
La IV Commissione (Difesa),
esaminato il testo del disegno di legge di conversione in legge del decreto-legge 14 giugno 2021, n. 82, recante disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale (A.C. 3161 – Governo);
premesso che:
il provvedimento origina dall'esigenza di rispondere all'accresciuta esposizione alle minacce cibernetiche e alla necessità di sviluppare, in tempi brevi, idonei e sempre più stringenti meccanismi di tutela;
la direttiva UE 2016/1148 del 6 luglio 2016, recepita nell'ordinamento italiano con il decreto legislativo n. 65 del 2018, ha dettato la cornice legislativa delle misure da adottare per la sicurezza delle reti e dei sistemi informativi e ha individuato i soggetti competenti per dare attuazione agli obblighi da questa previsti;
con il decreto-legge n. 105 del 2019, al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, nonché degli enti e degli operatori nazionali, pubblici e privati, è stata prevista l'istituzione di un perimetro di sicurezza nazionale cibernetica e la previsione di misure volte a garantire i necessari standard di sicurezza rivolti a minimizzare i rischi;
considerato che:
la sicurezza cibernetica costituisce uno degli interventi previsti dal Piano nazionale di ripresa e resilienza (PNRR) trasmesso dal Governo alla Commissione europea il 30 aprile 2021;
rilevato che:
il decreto in esame provvede a istituire un'Agenzia nazionale di cybersicurezza a cui attribuire direttamente la responsabilità delle attività di sicurezza informatica, concentrando in essa le funzioni specialistiche in materia, ad esclusione di quelle attinenti alla cyber-intelligence (di competenza degli organismi di informazione per la sicurezza), alla cyber-defense (intesa come difesa e sicurezza militare dello Stato, di competenza del Ministero della difesa) e alla prevenzione e repressione dei reati (di competenza delle Forze di polizia);
all'istituzione della nuova Agenzia si accompagna il più ampio ruolo di coordinamento e stretta sinergia con tutte le altre amministrazioni coinvolte ratione materiae, in modo da assicurare un'interfaccia unica a livello nazionale, europeo e internazionale;
nel complesso, l'impianto normativo disegnato dal nuovo decreto provvede a definire le competenze in materia di cybersicurezza del Vertice politico, a razionalizzare le competenze in materia di cybersicurezza attualmente attribuite ad una pluralità di soggetti istituzionali, a supportare lo sviluppo di capacità industriali, tecnologiche e scientifiche nel campo della cybersicurezza in un'ottica di autonomia strategica nazionale ed europea nel settore, a dare attuazione al Piano Nazionale di Ripresa e Resilienza (PNRR), a mettere in stretto raccordo l'architettura di cybersicurezza nazionale con il Sistema di informazione Pag. 71 per la sicurezza della Repubblica previsto dalla legge 3 agosto 2007, n. 124, a promuovere una gestione coordinata delle attività di prevenzione, preparazione e risposta a situazioni di crisi, anche mediante la costituzione, nell'ambito dell'istituenda Agenzia, del Nucleo per la cybersicurezza;
preso atto del dibattito e valutate favorevolmente le disposizioni che interessano i profili di competenza della Commissione difesa,
considerato, tuttavia, che il provvedimento incide indirettamente sul sistema di organi e funzioni delineato dalla legge n. 224 del 2007, che ha disciplinato il sistema di informazione per la sicurezza della Repubblica, e che occorrerà, quindi, intervenire normativamente per coordinare i due interventi con riferimento in particolare alle modalità con le quali assicurare la collaborazione tra l'Agenzia per la cybersicurezza e le Agenzie di informazione e sicurezza già esistenti,
esprime
PARERE FAVOREVOLE
con le seguenti condizioni:
venga definito il concetto di «sicurezza nazionale» in relazione a quello di «interesse nazionale», ferma restando l'osservanza degli accordi internazionali, con particolare riguardo a quelli relativi al Trattato NATO, nel rispetto dei principi costituzionali e delle prerogative parlamentari;
venga disciplinato nel dettaglio lo status giuridico del personale dell'Agenzia per la cybersicurezza nazionale, distinguendolo specificamente da quello appartenente alle Agenzie del Sistema di informazioni per la sicurezza nazionale;
venga introdotta una disposizione finalizzata a consentire l'utilizzo delle strutture della Difesa nel campo della formazione in materia di cybersicurezza nazionale;
venga inserita una disposizione di coordinamento normativo con la legge n. 124 del 2007, anche al fine di definire le modalità di collaborazione tra l'Agenzia per la cybersicurezza e le Agenzie di informazioni e sicurezza già esistenti e rivedere organicamente l'intero complesso normativo della legge n. 124 alla luce delle modifiche introdotte con il provvedimento in esame.