Il Decreto-legge 21 settembre 2019, n. 105 che ha introdotto misure urgenti in materia di perimetro di sicurezza nazionale cibernetica con l’obiettivo di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, nonché degli enti e degli operatori nazionali, pubblici e privati è stato convertito in Legge lo scorso 14 novembre.

Si tratta di un provvedimento che attraverso l’istituzione di un perimetro di sicurezza nazionale cibernetica e la previsione di apposite misure intende garantire elevati standard di sicurezza necessari allo svolgimento di funzioni o alla prestazione di servizi, dalla cui discontinuità potrebbe derivare un pregiudizio per la sicurezza nazionale.

I soggetti destinatari degli obblighi: la legge di conversione prevede che entro quattro mesi dalla data di entrata in vigore del provvedimento – con decreto del Presidente del Consiglio dei Ministri – vengano individuate le amministrazioni pubbliche, gli enti e gli operatori nazionali, pubblici e privati inclusi nel perimetro di sicurezza nazionale cibernetica e tenuti al rispetto delle misure e degli obblighi oggetto della riforma.

Le procedure: la novella legislativa rinvia inoltre ad un Decreto del Presidente del Consiglio dei Ministri – da emettere su proposta del CISR (Comitato interministeriale per la sicurezza della Repubblica), previo parere delle competenti Commissioni parlamentari – la determinazione delle procedure di notifica degli incidenti prodottisi su reti, sistemi informativi e sistemi informatici inclusi nel perimetro di sicurezza nazionale cibernetica e l’adozione di misure di sicurezza.

E’ inoltre richiesto che tutti i soggetti che rientrano nel perimento di sicurezza nazionale cibernetica predispongano e aggiornino con cadenza almeno annuale un elenco delle reti, dei sistemi informativi e dei servizi informatici di rispettiva pertinenza.

E’ invece rimessa ad un regolamento – da emanarsi con decreto del Presidente del Consiglio dei ministri – la definizione delle procedure, delle modalità e dei termini ai quali devono attenersi le amministrazioni pubbliche, gli enti e gli operatori nazionali, pubblici e privati, inclusi nel perimetro di sicurezza nazionale cibernetica, che intendano procedere all’affidamento di forniture di beni, sistemi e servizi ICT, destinati ad essere impiegati sulle reti, sui sistemi informativi e per l’espletamento di specifici servizi informatici individuati.

Le sanzioni: quanto alle sanzioni si rileva che all’art. 1 comma 9 sono individuate le sanzioni amministrative pecuniarie applicabili in caso di violazione delle disposizioni previste nel testo di legge mentre al comma 11 viene introdotta una nuova fattispecie di reato contestualmente inserita nel catalogo dei reati presupposto che danno luogo alla responsabilità amministrativa dell’ente dipendente da reato.

La fattispecie in esame sanziona “Chiunque, allo scopo di ostacolare o condizionare l’espletamento dei procedimenti di cui al comma 2, lettera b), o al comma 6, lettera a), o delle attività ispettive  e  di  vigilanza previste dal comma 6, lettera c), fornisce informazioni, dati o elementi  di  fatto  non  rispondenti al vero, rilevanti per la predisposizione o l’aggiornamento degli elenchi di cui al comma  2, lettera b), o ai fini delle comunicazioni di cui al comma 6, lettera a), o per lo svolgimento delle attività ispettive e di vigilanza di cui al comma 6), lettera c) od omette di comunicare entro i termini prescritti i predetti dati, informazioni o elementi di fatto”.

La violazione è punita con la reclusione da uno a cinque anni mentre all’ente responsabile ai sensi del decreto legislativo 8 giugno 2001, n. 231, si applica la sanzione pecuniaria fino a 400 quote.

Per valutare l’effettiva portata di questa nuova estensione della responsabilità 231 occorrerà attendere che siano individuati con precisione i soggetti – pubblici e privati – destinatari delle prescrizioni di cui alla novella legislativa.