Decreto Cybersicurezza: in Gazzetta la conversione in legge

30.08.21 -

In Gazzetta ufficiale la LEGGE 4 agosto 2021, n. 109 di Conversione con modificazioni, del decreto-legge 14 giugno 2021, n. 82 qui il Testo coordinato con le modifiche intervenute in sede di conversione) in materia di cybersicurezza (GU Serie Generale n.185 del 04-08-2021).

Il Decreto, in vigore dal 5 agosto 2021

Il decreto-legge si compone di diciannove articoli: ecco i passaggi più importanti del testo, tratti dal Dossier Camera sul provvedimento.

Decreto Cybersicurezza: normativa e aggiornamenti

  • Con DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 15 giugno 2021 (GU Serie Generale n.198 del 19-08-2021), il Governo ha individuato le categorie di beni, sistemi e servizi ICT destinati ad essere impiegati nel perimetro di sicurezza nazionale cibernetica, in attuazione dell’articolo 1, comma 6, lettera a), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133. Le categorie sono individuate nell’allegato 1 del DPCM e vengono aggiornate annualmente (art.4) sulla base dell’innovazione tecnologica e delle modifiche dei criteri tecnici di cui all’art.13 del Regolamento contenuto nel DPR 54/2021.
  • Con DPCM 1 settembre 2022 il Governo ha definito il trasferimento all’Agenzia della Cybersicurezza (leggi qui compiti e funzioni) delle funzioni in materia di cybersicurezza già assicurate dall’Agenzia per l’Italia digitale (Agid) e dal Dipartimento per la trasformazione digitale

Sistema nazionale di sicurezza cibernetica: significato e responsabilità

Gli articoli da 1 a 4 del DL 82/21 (decreto Cibersicurezza) definiscono il sistema nazionale di sicurezza cibernetica, che ha al suo vertice il Presidente del Consiglio dei ministri al quale è attribuita l’alta direzione e la responsabilità generale delle “politiche di cybersicurezza”, nonché l’adozione della relativa strategia nazionale e – previa deliberazione del Consiglio dei ministri – la nomina e la revoca del direttore generale e del vice direttore generale della nuova “Agenzia per la cybersicurezza nazionale” (istituita dall’articolo 5) del provvedimento. Di tali nomine sono preventivamente informati il COPASIR e le competenti Commissioni parlamentari (articolo 2).

Le figure coinvolte nel perimetro di sicurezza cibernetica

Il Presidente del Consiglio dei ministri può delegare all’Autorità delegata per il sistema di informazione per la sicurezza della Repubblica, ove istituita, le funzioni che non sono a lui attribuite in via esclusiva (articolo 3). Presso la Presidenza del Consiglio dei ministri è istituito il “Comitato interministeriale per la cybersicurezza” (CIC), organismo con funzioni di consulenza, proposta e vigilanza in materia di politiche di cibersicurezza (articolo 4).

L’Agenzia per la cybersicurezza nazionale

L’articolo prevede l’“Agenzia per la cybersicurezza nazionale” mentre l’articolo 6 ne disciplina l’organizzazione; l’articolo 11, relativo a risorse finanziarie ed autonomia contabile; l’articolo 12, sul personale. L’articolo 14 riguarda le relazioni annuali che il Presidente del Consiglio è tenuto a trasmettere (al Parlamento e al COPASIR) sulle attività dell’Agenzia.

Il Nucleo per la cybersicurezza

Presso l’Agenzia, è prevista la costituzione di un “Nucleo per la cybersicurezza“, per profili attinenti a eventuali situazioni di crisi. Ne trattano gli articoli 8 e 9.

Crisi di cibersicurezza e trattamento di dati

Quanto alla gestione delle crisi che coinvolgano aspetti della cibersicurezza, ne tratta l’articolo 10.

L’articolo 13 ha per oggetto la trattazione dei dati personali per finalità di sicurezza nazionale cibernetica. L’articolo 13 prevede che i trattamenti di dati personali per finalità di  sicurezza nazionale, in applicazione del decreto legge in esame, siano effettuati  ai sensi del Codice in materia di protezione dei dati personali, con particolare riguardo alle specifiche disposizioni previste per finalità di difesa o di sicurezza dello Stato.

In particolare, l’articolo 13 richiama l’articolo 58, commi 2 e 3, del decreto  legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati  personali) concernenti i trattamenti di dati personali per fini di sicurezza nazionale  o difesa.

Il richiamato art. 58, comma 2, del Codice dispone che, ai trattamenti effettuati da soggetti pubblici per finalità di difesa o di sicurezza dello Stato, in base ad espresse disposizioni di legge che prevedano specificamente il trattamento, si applicano:

  • le disposizioni (di cui al comma 1, del medesimo art. 58) concernenti i  controlli relativi ai trattamenti di dati personali effettuati dagli organismi previsti dalla legge 3 agosto 2007, n. 124 (DIS, AISE e AISI) e di dati  coperti da segreto di Stato; in base a tali disposizioni (tramite il richiamo  all’art. 160, comma 4 del Codice privacy) il componente designato per gli  accertamenti dal Garante per la protezione dei dati personali deve prendere  visione degli atti e dei documenti rilevanti e riferire oralmente nelle riunioni  del Garante;
  • le disposizioni concernenti la valutazione d’impatto sulla protezione dei dati e la consultazione preventiva del Garante, di cui agli articoli 23 e 24 del decreto legislativo 18 maggio 2018, n. 51, concernente il trattamento dei Articolo 13 47 dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali; nonché, in quanto compatibili, specifiche ulteriori disposizioni contenute nel medesimo decreto legislativo n. 51.

L’articolo in esame richiama infine il comma 3 dell’art. 58 del Codice privacy, il quale demanda ad uno o più regolamenti l’individuazione delle modalità di  applicazione, in riferimento alle tipologie di dati, di interessati, di operazioni di  trattamento eseguibili e di persone autorizzate al trattamento dei dati personali  sotto l’autorità diretta del titolare o del responsabile, anche in relazione  all’aggiornamento e alla conservazione.

Per approfondire sulla Cybersicurezza

EPC Editore ha realizzato un volume: “Manuale di diritto di INTERNET” – Le principali ed innovative tematiche dell’informatica giuridica: l’ambito civile, penale, amministrativo e le tecnologie emergenti.

Manuale di diritto di INTERNET
L’opera, nata dalla collaborazione di diversi studiosi e professionisti specializzati nel settore, approfondisce la complessa tematica del rapporto fra diritto e nuove tecnologie
NormativaIn risaltoIn primo pianoNewsapprofondimentiProdotti & tecnologieSentenzeQuesitoDispositivi di Protezione individuale - DPIINAILmembershipCovid-19norme tecnicheSafety ExpoTesto Unico di Sicurezza - D.Lgs. 81/2008
Articoli correlati