XIV Commissione
Politiche dell'Unione europea
Politiche dell'Unione europea (XIV)
Commissione XIV (Unione europea)
Comm. XIV
DL 82/2021: Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale. C. 3161 Governo (Parere alle Commissioni I e IX) (Seguito dell'esame e conclusione – Parere favorevole) ... 136
ALLEGATO (Parere approvato dalla Commissione) ... 138
SEDE CONSULTIVA
Giovedì 8 luglio 2021. — Presidenza del presidente Sergio BATTELLI.
La seduta comincia alle 10.
DL 82/2021: Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale.
C. 3161 Governo.
(Parere alle Commissioni I e IX).
(Seguito dell'esame e conclusione – Parere favorevole).
La Commissione prosegue l'esame del provvedimento in titolo, rinviato nella seduta del 7 luglio 2021.
Alessandro GIGLIO VIGNA (LEGA), relatore, nell'illustrare la proposta di parere favorevole formulata (vedi allegato), osserva che si tratta di un provvedimento che il Paese attende da tempo per la sua rilevanza strategica e che risulta al contempo strettamente funzionale all'obiettivo della trasformazione digitale. Sottolinea, inoltre, la necessità di una forte cooperazione tra le Agenzie per la cybersicurezza operanti in diversi Paesi europei, le quali dovranno agire sinergicamente come membri di un'unica squadra, non essendo l'ambito solo nazionale idoneo ad assicurare, in campo cibernetico, efficienti standard di sicurezza.
Emanuela ROSSINI (MISTO-MIN.LING.), nel preannunciare il proprio voto favorevole sul parere proposto dal relatore, sottolinea come il campo della sicurezza cibernetica costituisca un terreno importante di sfida per il conseguimento di una autonomia strategica nazionale ed europea. Esso mostra come i confini nazionali vadano interpretati come interconnessioni modali tra i Paesi europei, per creare un'architettura comune di gestione in sicurezza dei dati sensibili dei cittadini.
Osserva, inoltre, che, per quanto riguarda l'ambito nazionale, tale architettura potrà utilmente operare tramite deleghe che l'Agenzia potrà conferire, con idonee procedure, ad altri soggetti amministrativi, dovendo tutte le istituzioni cooperare, in modo trasparente, ad assicurare la sicurezza cibernetica del Paese. Valuta infine che si tratta di un terreno nel quale potranno essere valorizzate le notevoli competenze che il nostro Paese ha sviluppato anche nel settore dell'intelligenza artificiale.
La Commissione approva la proposta di parere favorevole formulata dal relatore.
La seduta termina alle 10.20.
UFFICIO DI PRESIDENZA INTEGRATO
DAI RAPPRESENTANTI DEI GRUPPI
L'ufficio di presidenza si è riunito dalle 10.20 alle 10.30.
ALLEGATO
DL 82/2021: Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale (C. 3161 Governo).
PARERE APPROVATO DALLA COMMISSIONE
La XIV Commissione (Politiche dell'Unione europea),
esaminato il disegno di legge di conversione in legge del decreto-legge 14 giugno 2021, n. 82, recante «Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale (C. 3161 Governo)»;
considerato che il processo di trasformazione digitale in corso, che sarà implementato attraverso la completa attuazione del Piano nazionale di ripresa e resilienza (PNRR), implica, oltre agli evidenti vantaggi per le filiere produttive, le pubbliche amministrazioni e i cittadini, anche un'accresciuta esposizione ad attacchi cibernetici cui sono connessi nuovi rischi, come quello di introdurre vulnerabilità strutturali all'interno di servizi e funzioni essenziali dello Stato; la sicurezza e la resilienza cibernetiche si configurano pertanto come un prerequisito essenziale del processo di digitalizzazione del Paese, anche nell'ottica dell'innovazione industriale e dello sviluppo tecnologico e scientifico nazionale nel settore;
ricordato che nella prospettiva di conseguire un livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell'Unione europea, a livello unionale è stata adottata la direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016 (c.d. direttiva NIS – Network and Information Security); la direttiva è stata recepita nell'ordinamento italiano con il decreto legislativo n. 65 del 18 maggio 2018 (c.d. decreto legislativo NIS), che detta la cornice legislativa delle misure volte a conseguire un livello elevato di sicurezza della rete e dei sistemi informativi ed individua i soggetti competenti per dare attuazione agli obblighi previsti dalla citata direttiva; successivamente, è stato adottato il decreto-legge 21 settembre 2019, n. 105, (c.d. decreto-legge perimetro), convertito con modificazioni dalla legge 18 novembre 2019, n. 133, che anche in relazione ad attacchi alle reti di Paesi europei ha previsto, sempre al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, nonché degli enti e degli operatori nazionali, pubblici e privati, l'istituzione di un perimetro di sicurezza nazionale cibernetica;
rilevato che la sicurezza cibernetica costituisce uno degli interventi previsti dal PNRR, nell'ambito della componente 1, «Digitalizzazione, innovazione e sicurezza nella PA», compresa nella Missione 1, «Digitalizzazione, innovazione, competitività, cultura e turismo», cui sono destinati circa 620 milioni di euro, di cui 241 milioni di euro per la creazione di una infrastruttura nazionale per la cybersicurezza; 231 milioni di euro per il rafforzamento delle principali strutture operative del perimetro di sicurezza nazionale cibernetica (PSNC); 150 milioni di euro per il rafforzamento delle capacità nazionali di difesa informatica presso il ministero dell'Interno, Difesa, Guardia di Finanza, Giustizia e Consiglio di Stato;
preso atto che nell'ambito della suddetta cornice normativa, il provvedimento interviene a definire l'architettura nazionale della cybersicurezza, identificando gli organi ad essa preposti, le loro funzioni e dotazioni di personale, nonché i connessi obblighi informativi al Parlamento, prevedendo, tra l'altro, come già avvenuto in altri Paesi tra cui la Francia, la Germania e il Regno Unito, l'istituzione dell'Agenzia per la cybersicurezza nazionale, la cui finalità principale è la tutela degli interessi nazionali nel campo della cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico;
considerato che, ai sensi dell'articolo 7, alla predetta Agenzia è attribuita, per le finalità di cui al decreto legislativo NIS, la qualifica di Autorità nazionale per la cybersicurezza e, in relazione a tale ruolo, il compito di assicurare il coordinamento tra i soggetti pubblici coinvolti in materia di cybersicurezza a livello nazionale e di promuovere la realizzazione di una cornice di sicurezza e resilienza cibernetiche in funzione dello sviluppo della digitalizzazione del Paese, del sistema produttivo e delle pubbliche amministrazioni, nonché per il conseguimento dell'autonomia, nazionale ed europea, riguardo a prodotti e processi informatici di rilevanza strategica a tutela degli interessi nazionali nel settore; all'Agenzia è altresì attribuita la qualità di Autorità nazionale di certificazione della cybersicurezza ai sensi dell'articolo 58 del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, e viene disposto che assuma tutti i compiti in materia di certificazione di sicurezza cibernetica già attribuiti al Ministero dello sviluppo economico dall'ordinamento vigente, compresi quelli relativi all'accertamento delle violazioni; l'Agenzia è inoltre designata quale Centro nazionale di coordinamento ai sensi dell'articolo 6 del regolamento (UE) 2021/887 del Parlamento europeo e del Consiglio del 20 maggio 2021, che istituisce il Centro europeo di competenza per la cybersicurezza nell'ambito industriale, tecnologico e della ricerca e la rete dei centri nazionali di coordinamento, e ai sensi dell'articolo 12 del citato regolamento viene stabilito che nell'ambito dell'Agenzia sono nominati, con decreto del Presidente del Consiglio dei ministri, il rappresentante nazionale, e il suo sostituto, nel Consiglio di direzione del predetto Centro europeo;
considerato altresì che nell'ambito dell'Unione europea e a livello internazionale, la predetta Agenzia cura i rapporti con i competenti organismi, istituzioni, ed enti, nonché segue nelle competenti sedi istituzionali le tematiche di cybersicurezza, fatta eccezione per gli ambiti in cui la legge attribuisce specifiche competenze ad altre amministrazioni, e che la medesima Agenzia è chiamata a promuovere, sostenere e coordinare la partecipazione italiana a progetti e iniziative dell'Unione europea e internazionali, anche mediante il coinvolgimento di soggetti pubblici e privati nazionali, nel campo della cybersicurezza e dei correlati servizi applicativi, ferme restando le competenze del Ministero degli esteri e della cooperazione internazionale;
rilevato che l'articolo 15 reca, tra l'altro, le modificazioni al decreto legislativo NIS, di attuazione della citata direttiva (UE) 2016/1148, funzionali a realizzare l'assetto istituzionale, sopra richiamato, dell'Agenzia per la cybersicurezza nazionale quale autorità nazionale competente NIS e punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi che svolge la funzione di collegamento per garantire la cooperazione transfrontaliera con le autorità competenti degli altri Stati membri;
rilevato altresì che il comma 12 dell'articolo 16 modifica l'articolo 4, comma 1, lettera b), della legge di delegazione europea 2019-2020 (legge 22 aprile 2021, n. 53), che indica i principi ed i criteri direttivi relativi per il recepimento del nuovo codice europeo delle comunicazioni elettroniche, al fine di inserire il riferimento alla nuova Agenzia per la cybersicurezza nazionale tra le autorità competenti per l'attuazione delle disposizioni del Codice stesso e l'articolo 18 della medesima legge di delegazione, contenente i principi e criteri direttivi per l'adeguamento della normativa nazionale al Regolamento europeo sulla cybersicurezza (Regolamento (UE) 2019/881) al fine di prevedere che ogni riferimento al Ministero dello sviluppo economico sia da intendersi riferito all'Agenzia per la cybersicurezza nazionale;
valutato che il provvedimento dà attuazione al Piano nazionale di ripresa e resilienza razionalizzando le competenze e potenziando gli strumenti in materia di sicurezza cibernetica al fine di tutelare la sicurezza nazionale e favorire la trasformazione digitale, non presentando profili di criticità in ordine alla compatibilità con l'ordinamento dell'Unione europea,
esprime
PARERE FAVOREVOLE.