Scarica il PDF
CAMERA DEI DEPUTATI
Mercoledì 10 marzo 2021
545.
XVIII LEGISLATURA
BOLLETTINO
DELLE GIUNTE E DELLE COMMISSIONI PARLAMENTARI
Commissioni Riunite (I e IX)
ALLEGATO
Pag. 32

ALLEGATO

Schema di decreto del Presidente del Consiglio dei ministri recante regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all'articolo 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza (Atto n. 240).

PARERE APPROVATO

  Le Commissioni riunite I e IX della Camera dei deputati,

   esaminato lo schema di decreto del Presidente del Consiglio dei ministri recante regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all'articolo 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, della legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza (Atto n. 240);

   condivisi i rilievi formulati dalla IV Commissione Difesa nella seduta del 18 febbraio 2021;

   considerato che lo schema di decreto in esame prevede una decorrenza immediata, alla sua entrata in vigore, degli obblighi di notifica, al CSIRT italiano, di uno degli incidenti individuati nelle tabelle di cui all'allegato A, secondo le procedure definite dall'articolo 3 dello stesso schema di decreto, e che in caso di mancato adempimento di tali obblighi è prevista l'applicazione delle disposizioni sanzionatorie di cui all'articolo 1, comma 9, del decreto-legge n. 105 del 2019;

   rilevata l'esigenza di prevedere, prima della vigenza degli obblighi di notifica dello schema di decreto in esame, anche in considerazione della particolare delicatezza dei relativi adempimenti, un periodo transitorio di sperimentazione, nel corso del quale i soggetti inclusi nel perimetro possano anche ricevere opportuna assistenza per una corretta notifica degli incidenti;

   considerato che appare necessario chiarire, nella formulazione della disposizione di cui all'articolo 3 dello schema di decreto in esame, che i termini per gli obblighi di notifica degli incidenti, come pure evidenziato nella Relazione illustrativa, decorrono dal momento in cui i soggetti competenti, sulla base dei ruoli definiti in attuazione delle misure di sicurezza, abbiano avuto conoscenza che si sia verificata una delle tipologie di incidente individuate nelle tabelle di cui all'allegato A, attraverso le evidenze ottenute anche mediante l'uso di apposite tecnologie;

   ritenuto altresì necessario prevedere la possibilità, relativamente ad alcune tipologie di dati meno sensibili in relazione alle finalità del perimetro di sicurezza nazionale cibernetica, che i soggetti inclusi nel perimetro possano fare ricorso, con le dovute garanzie di sicurezza, ad infrastrutture fisiche e logiche, anche se esternalizzate, localizzate al di fuori del territorio nazionale, ma comunque all'interno dell'Unione europea,

   valutata l'opportunità una maggiore flessibilità ai fini dell'adeguamento alle misure di sicurezza afferenti alle macro-categorie B, di cui all'appendice n. 2 dell'allegato B,

  esprime

PARERE FAVOREVOLE

  con le seguenti condizioni:

   1) in relazione al sistema di notifica obbligatoria degli incidenti, disciplinato dall'articolo Pag. 33 3 dello schema di decreto in esame, si preveda l'entrata in vigore al termine di un periodo transitorio di sperimentazione, che dovrebbe avere una durata non inferiore ai sei mesi;

   2) si riformuli la disposizione di cui all'articolo 3, comma 3, lettere a) e b), dello schema, nella parte in cui prevede che la notifica debba avvenire entro il termine, rispettivamente, di sei ore o di un'ora «dal momento in cui il soggetto incluso nel perimetro è venuto a conoscenza», al fine di chiarire che il termine per effettuare la notifica degli incidenti decorre da quando le persone competenti nell'ambito dell'organizzazione del soggetto incluso nel perimetro ne abbiano avuto conoscenza attraverso le evidenze ottenute anche mediante l'uso di apposite tecnologie;

   3) si riveda la formulazione della misura di sicurezza 3.3.1 (PR.DS-1), di cui all'allegato B allo schema di decreto, al fine di prevedere che alcune tipologie di dati meno sensibili possano essere conservate, elaborate o estratte, con le dovute garanzie di sicurezza, anche mediante infrastrutture localizzate al di fuori del territorio nazionale, ma comunque all'interno del territorio dell'Unione europea;

  e con le seguenti osservazioni:

   a) valuti il Governo l'opportunità di introdurre, in considerazione delle difficoltà derivanti dalla attuale situazione emergenziale ed in ottemperanza al criterio di gradualità, una clausola di salvaguardia volta a prevedere meccanismi che, basati sull'analisi del rischio, consentano di gestire il coordinamento con i programmi europei e nazionali in corso, nonché un necessario periodo di flessibilità non inferiore a sei mesi ai fini dell'adeguamento dell'industria alle misure di sicurezza afferenti alle macro-categorie B, di cui all'appendice n. 2 dell'allegato B.

   b) valuti il Governo l'opportunità di sostituire, nell'allegato A «Tassonomia degli incidenti», alla Tabella 1, alla categoria «Guasto» nella descrizione, le parole: «Dati non intenzionalmente accessibili a soggetti non autorizzati» con le seguenti: «Perdita di confidenzialità o integrità accidentale».