IV Commissione
Difesa
Difesa (IV)
Commissione IV (Difesa)
Comm. IV
DELIBERAZIONE DI RILIEVI SU ATTI DEL GOVERNO:
Sulla pubblicità dei lavori ... 23
Schema di decreto del Presidente del Consiglio dei ministri recante regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all'articolo 1, comma 3, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, della legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza. Atto n. 240 (Rilievi alle Commissioni riunite I e IX) (Seguito dell'esame e conclusione – Valutazione favorevole con rilievi) ... 23
ALLEGATO (Rilievi deliberati dalla Commissione) ... 25
DELIBERAZIONE DI RILIEVI
SU ATTI DEL GOVERNO
Giovedì 18 febbraio 2021. — Presidenza del presidente Gianluca RIZZO.
La seduta comincia alle 16.15.
Sulla pubblicità dei lavori.
Gianluca RIZZO, presidente, avverte che la pubblicità dei lavori sarà assicurata anche mediante l'impianto audiovisivo a circuito chiuso.
Schema di decreto del Presidente del Consiglio dei ministri recante regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all'articolo 1, comma 3, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, della legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza.
Atto n. 240.
(Rilievi alle Commissioni riunite I e IX).
(Seguito dell'esame e conclusione – Valutazione favorevole con rilievi).
La Commissione prosegue l'esame dello schema di decreto, rinviato nella seduta del 3 febbraio 2021.
Gianluca RIZZO, presidente, ricorda che nella seduta del 3 febbraio il relatore, onorevole Roberto Rossini, ha illustrato i contenuti del provvedimento in esame. Non essendovi richieste d'intervento, domanda al relatore se intenda presentare la sua proposta di rilievi.
Roberto ROSSINI (M5S) esprime una valutazione favorevole sullo schema di decreto, formulando due rilievi (vedi allegato).
Roberto Paolo FERRARI (LEGA) osserva come il regolamento recato dallo schema di decreto in esame completi il quadro della sicurezza informatica nazionale e preannuncia il voto favorevole del gruppo della Lega sulla proposta di rilievi presentata, la quale sottolinea, tra l'altro, l'esigenza di non gravare ulteriormente le aziende private degli oneri relativi alla messa in sicurezza dei sistemi informatici.
Salvatore DEIDDA (FDI) preannuncia il voto di astensione del gruppo di Fratelli d'Italia e formula gli auguri di buon lavoro alla maggioranza che sostiene il nuovo Governo. Esprime soddisfazione sulla conferma del Ministro della difesa in quanto capace di assicurare continuità al lavoro intrapreso nel settore della difesa.
Giuseppina OCCHIONERO (IV), nel ringraziare il relatore per il lavoro svolto, preannuncia il voto favorevole di Italia Viva, apprezzando le finalità del provvedimento, volto a potenziare la sicurezza dei sistemi informatici nazionali.
Maria TRIPODI (FI) preannuncia il voto favorevole di Forza Italia.
Nessun altro chiedendo di intervenire, la Commissione approva la proposta di rilievi del relatore.
La seduta termina alle 16.30.
UFFICIO DI PRESIDENZA INTEGRATO
DAI RAPPRESENTANTI DEI GRUPPI
L'ufficio di presidenza si è riunito dalle 16.30 alle 16.50.
ALLEGATO
Schema di decreto del Presidente del Consiglio dei ministri recante regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all'articolo 1, comma 3, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, della legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza (Atto n. 240)
RILIEVI DELIBERATI DALLA COMMISSIONE
La IV Commissione (Difesa),
esaminato, per quanto di competenza, ai sensi dell'articolo 96-ter, comma 4, del regolamento, lo Schema di decreto del Presidente del Consiglio dei ministri, recante regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all'articolo 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, della legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza (Atto n. 240);
premesso che:
lo schema di decreto è stato adottato ai sensi dell'articolo 1, comma 3, lett. b) del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, della legge 18 novembre 2019, n. 133, il quale ha definito il quadro normativo vigente in materia di sicurezza cibernetica, istituendo il perimetro di sicurezza nazionale cibernetica;
con il decreto del Presidente del Consiglio dei ministri n. 131 del 2020 sono state definite le modalità e i criteri procedurali di individuazione dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica tenuti al rispetto delle misure e degli obblighi previsti dal richiamato decreto-legge n. 105/2019, nonché i criteri con i quali i soggetti inclusi nel perimetro sono altresì tenuti a predisporre e aggiornare l'elenco delle reti, dei sistemi informativi e dei servizi informatici di rispettiva pertinenza, comprensivo della relativa architettura e componentistica;
lo schema di decreto in esame dà, invece, attuazione alle disposizioni del medesimo decreto-legge finalizzate a definire le procedure secondo cui i soggetti inclusi nel perimetro notificano al CSIRT (Computer Security Incident Response Team) italiano gli incidenti aventi impatto sulle reti, sui sistemi informativi e sui servizi informatici nonché a stabilire misure volte a garantire elevati livelli di sicurezza delle reti, dei sistemi informativi e dei servizi informatici, tenendo conto degli standard definiti a livello internazionale e dell'Unione europea;
considerato che:
il Capo II (articoli 2-6) disciplina la notifica al CSIRT italiano degli incidenti aventi impatto su beni ITC, stabilendo che il DIS (Dipartimento delle informazioni per la sicurezza) inoltri successivamente le notifiche ai competenti soggetti della struttura di governo;
rilevato che:
il comma 4 dell'articolo 8 – con specifico riguardo alle attività di ispezione e verifica per i beni ICT legati alla funzione di prevenzione e repressione dei reati, alla tutela dell'ordine della sicurezza pubblica, alla difesa civile, alla difesa nazionale e alla sicurezza militare dello Stato, svolte dalle competenti strutture dell'amministrazione da cui dipendono le Forze di polizia e le Forze armate – esclude che le comunicazioni sulle misure di sicurezza relative ai beni ICT vengano rese disponibili alle strutture della Presidenza del Consiglio dei ministri e del Ministro dello sviluppo economico successivamente alla trasmissione e conservazione sulla piattaforma digitale del DIS;
rilevato che, al fine di assicurare un ancor più elevato livello di sicurezza informatica, sarebbe opportuno prevedere, nell'ambito della cornice giuridica delineata dal decreto-legge n. 105 del 2019 e dai successivi e connessi provvedimenti normativi, un'armonizzazione degli obblighi di certificazione (compliance) tra i soggetti rientranti nel perimetro di sicurezza cibernetica ed i fornitori di beni, sistemi e servizi destinati alle reti, ai sistemi informativi e ai servizi informatici previsti dal comma 2, lettera b) del decreto n. 105 del 2020;
considerato, altresì, che la Difesa è interessata al potenziamento delle misure di sicurezza informatica dell'intero «Sistema Paese» in ragione dell'insidiosità degli attacchi informatici e della loro capacità di aggredire, in maniera poliedrica, una eterogeneità di interessi giuridici meritevoli di tutela, anche di carattere militare. È auspicabile, pertanto, che si prevedano misure per favorire gli investimenti in materia di sicurezza informatica da parte dei cittadini e delle imprese, con particolare riferimento alle PMI, anche con opportune incentivazioni fiscali,
delibera di formulare i seguenti rilievi:
andrebbe valutata l'opportunità di:
prevedere misure, anche di carattere economico, che rendano più agevole l'attuazione delle misure di sicurezza cibernetica disposte dallo schema di decreto in esame e, più in generale, dall'intero assetto normativo definito dal decreto-legge n. 105 del 2019 sul c.d. «perimetro di sicurezza cibernetica»;
defiscalizzare gli oneri relativi alla messa in sicurezza dei sistemi informatici delle imprese e dei privati, strumentali al miglioramento della sicurezza cibernetica, compresi gli investimenti in beni materiali e le spese per l'accesso a software, sistemi e servizi IT erogati in cloud o via piattaforma web nonché le soluzioni e i sistemi crittografici finalizzati alla sicurezza ed alla riservatezza delle comunicazioni.