L’Avv. Luca D’Agostino relatore alla Giornata nazionale per la Cybersicurezza – Roma 29 novembre 2023

HomeL’Avv. Luca D’Agostino relatore alla Giornata nazionale per la Cybersicurezza – Roma 29 novembre 2023

L’Avv. Luca D’Agostino relatore alla Giornata nazionale per la Cybersicurezza – Roma 29 novembre 2023

da | Set 17, 2024 | Diritto d'Impresa

Nel ringraziare il Ministero dell’Università e della Ricerca per il gradito invito alla Giornata Nazionale della Cybersicurezza, si riporta di seguito – a fini divulgativi – un estratto della relazione tenuta lo scorso 29 novembre dall’Avv. Luca D’Agostino. 

Il video dell’intervista alla Giornata Nazionale della Cybersicurezza è disponibile al seguente link.

Cybersicurezza: l’intervento dell’Avv. Luca D’Agostino

Parlare di Cybersicurezza al fianco delle Istituzioni è sempre motivo di grande soddisfazione, oltre che di crescita professionale. Una materia che rappresenta oggi una priorità per il Sistema-Paese, come testimoniato da numerosi atti di impegno politico e dagli investimenti programmati nell’ambito del PNRR. Una priorità non soltanto per la pubblica amministrazione, ma anche per il tessuto economico e sociale italiano che, ogni anno, soffre numerose perdite a causa di attacchi informatici oppure per una non corretta governance del cyber risk.

Si va verso la costruzione di un vero e proprio “ponte di comunicazione” tra settore pubblico e privato. Comuni sono le minacce da prevenire, le esigenze da soddisfare e le best practices da osservare. Anche per questo è fondamentale attivare canali di collaborazione e scambio di informazioni tra i due ambiti, pubblico e privato.

Da docente e avvocato penalista ho sempre ritenuto centrale il tema della corporate compliance che, fino a ieri, era conosciuto soltanto dalle società di grandi dimensioni. Oggi invece, anche grazie alle evoluzioni del quadro normativo, l’idea di una compliance verso il digitale si è radicata anche in aziende di medie dimensioni e in molte pubbliche amministrazioni. La cybersicurezza è l’emblema di questa tendenza.

Il nucleo duro di questa materia è, come noto, la prevenzione del rischio e il contenimento dei danni che derivano da un incidente informatico. In estrema sintesi, la cybersicurezza ha una duplice anima: presidio di legalità all’interno dell’ente e protezione dalle minacce esterne.

Ecco individuate quelle che, a mio avviso, sono le parole chiave della ricerca in ambito cyber: multidisciplinarietà, cultura della prevenzione, e partenariato pubblico-privato.

Negli ultimi anni il legislatore è intervenuto a più riprese sul tema della cybersicurezza, dando vita a un quadro istituzionale e di disciplina decisamente articolato Si tratta di un settore molto giovane, ma già caratterizzato dalla stratificazione di fonti “multilivello” di notevole complessità.

Benché già vi fossero alcuni atti amministrativi generali in materia, l’esperienza italiana inizia esattamente dieci anni fa con il Decreto Monti del 2013 che delineava, per la prima volta, l’architettura nazionale per la cybersicurezza, poi attuata nel 2015 con la Direttiva del Presidente del Consiglio dei Ministri. Erano soltanto gli esordi di una normativa che, a partire dal 2016, è letteralmente esplosa grazie agli input offerti dal legislatore comunitario e per effetto dell’accresciuta consapevolezza dell’importanza di questa materia. 

Si tratta dunque di un quadro regolatorio multilivello, caratterizzato dalla stratificazione di fonti normative diverse e di crescente complessità. Potremmo anche considerare la cybersicurezza un “nuovo settore regolamentato” che, al pari di altri (es. anticorruzione, concorrenza, servizi a rete etc.), mira a tutelare gli interessi dello Stato e della collettività in settori di particolare interesse.

La tecnica per imporre il raggiungimento degli obiettivi di cybersicurezza fa leva sulla accountability (c.d. approccio basato sul rischio). É un modello certamente flessibile, che assicura una certa proporzionalità e adeguatezza in concreto: ciascun operatore dovrà valutare il rischio e adottare delle misure che siano adeguate e proporzionate al rischio stesso. L’esempio emblematico è quello della normativa NIS, la quale prevede che gli operatori dei servizi essenziali debbano adottare misure tecniche organizzative adeguate e proporzionate (art. 12 comma 1, D. Lgs. 65/2018); oppure quello del GDPR sulle misure di sicurezza nel trattamento dei dati personali.

Debbono tuttavia essere messi in luce anche gli aspetti negativi, tra cui in primis l’incertezza sull’avvenuto assolvimento degli obblighi di legge. Difatti, laddove si verificasse un incidente informatico l’Autorità potrebbe ex post ritenere insufficienti i presidi adottati. L’accountability può quindi rivelarsi una sorta spada di Damocle che incombe sui destinatari della disciplina, esposti al rischio di un sindacato negativo sulle proprie scelte organizzative.

Da ultimo vorrei soffermare l’attenzione sulle principali novità introdotte dalla direttiva NIS 2 in punto di cybersicurezza, di prossima attuazione a livello nazionale. Essa ha esteso campo di applicazione degli obblighi di prevenzione e notifica, che si rivolgono a due nuove categorie di soggetti, definiti come “essenziali” e “importanti” . Vi rientrano non soltanto gli operatori nei settori indicati dalla prima direttiva (OSE e FSD), ma anche quelli che prestano servizi altrettanto critici (es. servizi postali e di consegna, gestione dei rifiuti, fabbricazione di dispositivi medici o sistemi informatici etc.).

Cybersicurezza e NIS 2: le novità sul versante sanzionatorio

Ma le novità più significative introdotte dalla  NIS 2 riguardano il versante sanzionatorio. L’art. 21 della prima Direttiva prevedeva che gli Stati dovessero stabilire le sanzioni efficaci, proporzionate e dissuasive da irrogare in caso di violazione delle disposizioni nazionali di attuazione. La scelta del legislatore italiano è stata nel senso di prevedere sanzioni pecuniarie nell’appendice del D. Lgs. 65/2018 per poche migliaia di Euro, che non assicurano una sufficiente deterrenza, e appaiono inadeguate rispetto alla rilevanza degli interessi protetti e alla capacità economica dei soggetti NIS.

Un netto cambiamento di rotta si è avuto con l’emanazione della seconda direttiva, che ha irrigidito la risposta sanzionatoria e introdotto una inedita forma di responsabilità degli apicali della società. L’art. 35 della Direttiva prevede sanzioni molto severe per l’omessa adozione delle misure di sicurezza e l’inosservanza dell’obbligo di notifica, secondo un modello che ricorda molto l’apparato sanzionatorio del GDPR. Nel dettaglio, i soggetti “importanti” saranno soggetti a sanzioni pecuniarie fino a Euro 7.000.000 o, se superiore, fino all’1,4 % del totale del fatturato mondiale annuo per l’esercizio precedente. Gli importi sono elevati, rispettivamente a Euro 10.000.000 o al 2% del totale del fatturato mondiale annuo per i soggetti qualificati come “essenziali”.

Al riguardo è opportuno svolgere un paio di considerazioni. In primis, la severità delle sanzioni lascerà discutere – come del resto avvenuto a proposito delle sanzioni pecuniarie previste in materia privacy – sulla possibilità di ascriverle al concetto di “materia penale” secondo gli orientamenti della Corte EDU. Ormai si parla sempre più spesso di ibridazione del diritto penale, verso un diritto lato sensu sanzionatorio.

In secondo luogo, ai sensi dell’art. 20 della Direttiva, gli Stati dovranno disciplinare la responsabilità degli organi di governance della società in caso dell’inosservanza degli obblighi di compliance (es. mancata adozione di misure di prevenzione dei rischi, di mantenimento della business continuity e politiche di disaster recovery, pratiche di formazione in materia di cibersicurezza). Non resta che attendere la normativa di attuazione (che dovrà giungere entro il 17 ottobre 2024) per valutare in che modo il legislatore scioglierà il nodo sulla natura di tale responsabilità.

 

Tablet con riferimento al Decreto NIS 2 e cyber security sullo schermo, studio legale avvocato a Roma specializzato in sicurezza informatica, incidenti, vulnerabilità, consulenza e misure di sicurezza ACN

Studio Legale D’Agostino a Roma: consulenza su Cybersicurezza, Decreto NIS 2, cyber security e sicurezza informatica.