DDL Cyber, cosa cambia e quali sono i soggetti coinvolti

Introduzione

Il 19 giugno 2024, il Senato ha approvato definitivamente il DDL Cyber, una legge nata per rafforzare la sicurezza informatica nazionale e combattere i reati cyber. Questa legge rappresenta un ulteriore passo in avanti per proteggere le infrastrutture critiche italiane e le informazioni sensibili. Vediamo insieme quali sono i principali cambiamenti, chi sono i soggetti interessati e quali potrebbero essere le conseguenze per le aziende italiane.

 

Cambiamenti introdotti dal DDL Cyber

Rafforzamento delle infrastrutture di sicurezza
Il DDL Cyber prevede l’implementazione di nuovi protocolli di sicurezza per proteggere le infrastrutture critiche nazionali dagli attacchi cibernetici. Questo significa che le aziende che operano in settori strategici dovranno adottare misure più rigorose per garantire la sicurezza dei loro sistemi informatici.

Prevenzione e repressione dei reati informatici
Viene introdotta una nuova gamma di reati informatici e vengono inasprite le pene per quelli esistenti, con particolare attenzione ai crimini contro la sicurezza delle comunicazioni elettroniche. Le aziende dovranno essere più vigili e adottare politiche di sicurezza informatica più severe per evitare di incorrere in sanzioni.

Strutture di cyber sicurezza nelle pubbliche amministrazioni
Le Pubbliche Amministrazioni dovranno creare strutture dedicate alla cybersecurity per verificare la conformità dei programmi e delle applicazioni informatiche. Queste strutture fungeranno da punti di contatto unici con l’Agenzia per la Cybersicurezza Nazionale (ACN).

Uso della crittografia
Il DDL Cyber promuove l’uso della crittografia come strumento di difesa. Presso l’ACN sarà istituito un Centro Nazionale di Crittografia, responsabile dello sviluppo di standard e linee guida per valutare la sicurezza dei sistemi crittografici utilizzati.

Esempi di misure specifiche

• Firewalls e sistemi di intrusion detection. Implementazione di firewall robusti e sistemi di rilevamento delle intrusioni per monitorare e bloccare accessi non autorizzati.
• Backup e recupero dei dati. Piani di backup regolari e strategie di recupero dati per garantire la continuità operativa in caso di attacco.
• Aggiornamenti di sicurezza. Applicazione tempestiva degli aggiornamenti di sicurezza per correggere vulnerabilità note nei sistemi e nelle applicazioni.
• Audit e valutazioni di sicurezza. Conduzione di audit regolari e valutazioni di sicurezza per identificare e correggere eventuali debolezze nei sistemi informatici.
• Crittografia. Utilizzo di tecniche avanzate di crittografia per proteggere i dati sensibili durante la trasmissione e l’archiviazione.

 

Soggetti interessati dal DDL Cyber

Pubbliche Amministrazioni
Le pubbliche amministrazioni centrali, le regioni, le città metropolitane, i comuni con più di 100.000 abitanti, le società di trasporto pubblico e le aziende sanitarie locali sono tra i principali destinatari delle nuove disposizioni. Questi enti saranno tenuti a notificare qualsiasi incidente che impatti su reti, sistemi informativi e servizi informatici.

Aziende del Perimetro di Sicurezza Nazionale Cibernetica (PSNC)
Tutte le aziende incluse nel PSNC saranno obbligate a conformarsi alle nuove norme, adottando protocolli di sicurezza più rigorosi e notificando gli incidenti informatici. Questo potrebbe comportare un incremento dei costi operativi per implementare le misure richieste.

Fornitori di Servizi Critici
Le società in house e i fornitori di servizi critici dovranno garantire che le loro infrastrutture siano sicure. Questo include le aziende che operano in vari settori strategici:

• Energia: Produzione, trasmissione e distribuzione di energia elettrica, petrolio e gas.
• Trasporti: Servizi di trasporto ferroviario, aereo, marittimo e su strada, nonché le infrastrutture correlate come porti, aeroporti e autostrade.
• Sanità: Ospedali, cliniche, laboratori e servizi di emergenza medica.
• Comunicazioni: Reti di telecomunicazione, internet service provider e infrastrutture di comunicazione critica.
• Finanza: Banche, istituzioni finanziarie e infrastrutture di mercato.
• Acqua: Sistemi di approvvigionamento idrico e gestione delle acque reflue.
• Settore Alimentare: Produzione, distribuzione e sicurezza alimentare

 

Implicazioni per le PMI

Il DDL Cyber si inserisce in un contesto normativo già articolato, che comprende il Perimetro di Sicurezza Nazionale Cibernetica e la direttiva NIS2. Queste leggi mirano a creare un sistema di sicurezza integrato e coordinato, essenziale per proteggere le infrastrutture critiche del Paese.

Tuttavia, nonostante l’ampiezza della nuova legge, il settore privato, in particolare le piccole e medie imprese che costituiscono la maggior parte del tessuto imprenditoriale italiano, rimane parzialmente escluso dalle nuove disposizioni.

Ciò rischia di rendere inefficienti i tentativi di rafforzamento della cybersecurity sottesi ai vari interventi legislativi nazionali per due ordini di motivi: il primo è che le PMI sono quelle che, spesso, soffrono maggiormente delle ripercussioni di un attacco informatico perché hanno meno risorse da destinare ai temi della sicurezza cibernetica; il secondo è che esse sono spesso fornitori di aziende di maggiori dimensioni o di Pubbliche Amministrazioni, sulle quali inevitabilmente si andrebbe a propagare l’effetto dell’attacco cibernetico.

Dunque, disposizioni normative come il DDL Cyber costituiscono senza dubbio un ottimo punto di partenza, ma la creazione di un ecosistema di cybersecurity deve passare attraverso un approccio olistico che supporti le imprese alle quali si chiedono di raggiungere obiettivi di cybersecurity.

 

Conclusioni

Sebbene le PMI siano parzialmente escluse, è essenziale che anche queste realtà adottino misure di protezione adeguate per evitare di essere vulnerabili agli attacchi informatici.

Per le aziende italiane, adattarsi a queste nuove normative non è solo un obbligo legale, ma anche una necessità strategica per garantire la continuità operativa e la protezione dei propri dati. La cybersecurity non è più un’opzione, ma una priorità fondamentale per tutte le organizzazioni.

Noi di Comitel, con il supporto dei principali brand del settore, siamo pronti a guidare le aziende attraverso il percorso di trasformazione di cybersecurity necessario per conformarsi alle nuove normative e per costruire un ambiente digitale più sicuro e resiliente.