ATTI DEL GOVERNO
Giovedì 25 luglio 2024. — Presidenza del presidente della IX Commissione Salvatore DEIDDA. – Interviene la sottosegretaria di Stato per i rapporti con il Parlamento, Matilde Siracusano.
La seduta comincia alle 13.50.
Schema di decreto legislativo recante recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148.
Atto n. 164.
(Seguito dell'esame, ai sensi dell'articolo 143, comma 4, del regolamento, e conclusione – Parere favorevole).
Le Commissioni proseguono l'esame dello schema di decreto legislativo all'ordine del giorno, rinviato nella seduta del 24 luglio 2024.
Salvatore DEIDDA, presidente, a seguito della richiesta di attivazione dell'impianto audiovisivo a circuito chiuso avanzata dal gruppo del Partito Democratico, non essendovi obiezioni, ne dispone l'attivazione.
Ricorda che i relatori, Paolo Emilio Russo per la I Commissione e Enzo Amich per la IX Commissione, hanno formulato nella seduta di ieri una proposta di parere (vedi allegato 1).
Avverte che sono state presentate due proposte alternative di parere, rispettivamente, del Gruppo Azione (vedi allegato 2) e del Gruppo MoVimento 5 Stelle (vedi allegato 3), che saranno poste in votazione solo qualora fosse respinta la proposta di parere dei relatori.
Enzo AMICH (FDI) ringrazia tutti i membri delle Commissioni I Affari costituzionali e IX Trasporti e i loro presidenti, per Pag. 14lo svolgimento di un dibattito molto garbato e centrato sui contenuti.
Ringrazia inoltre anche il direttore generale dell'Agenzia per la cybersicurezza nazionale, Bruno Frattasi, per l'audizione ricca di spunti, nonché tutti i soggetti qualificati che hanno inviato memorie alle Commissioni.
Dichiara di aver consultato tutte le memorie ricevute dalle Commissioni e di averle trovate arricchenti. Osserva infatti che molti degli elementi in esse rinvenuti sono stati trasfusi nelle premesse del parere proposto alle Commissioni, d'intesa con il relatore per la I Commissione, il collega Russo.
Ribadisce l'importanza del testo esaminato, il quale investe questioni cruciali, come la cybersicurezza, la cyberdifesa, la tenuta complessiva dei sistemi di comunicazione e produzione nazionali.
Ricorda inoltre che la scorsa settimana, con il crash della CrowdStrike e la conseguente paralisi degli aeroporti, si è avuta ulteriore riprova di tale importanza.
Ringrazia anche i colleghi dell'opposizione, che correttamente hanno sollevato alcune questioni, quali, ad esempio, quella del back up nazionale, che appaiono meritevoli di attenzione e che certamente, in fase attuativa, il Governo e le autorità preposte terranno in considerazione.
Conferma poi, alla luce dell'interlocuzione, anche informale, con gli esponenti di maggioranza e con il Governo, la proposta di parere illustrato nella seduta di ieri, ritenendo che il testo dello schema realizzi un giusto equilibrio tra le varie istanze.
Per tali ragioni, non ritiene di formulare una proposta munita di condizioni o osservazioni, anche in considerazione del fatto che nelle premesse sono elencati molti degli spunti emersi nel corso della discussione.
Confida quindi che le amministrazioni interessate all'attuazione del decreto legislativo sapranno coglierne il senso ed orientarsi nella direzione di una piena valorizzazione dei contributi pervenuti, del rispetto dei diritti di cittadini, di famiglie e imprese, di una semplificazione degli adempimenti, e della protezione dell'integrità dei dati e dei sistemi informatici nazionali.
Andrea CASU (PD-IDP) presenta, a nome del gruppo del Partito Democratico, una proposta alternativa di parere (vedi allegato 4), il cui contenuto risulta analogo al testo presentato dalla sua forza politica presso il Senato.
Si manifesta deluso per il comportamento tenuto dalle forze politiche di maggioranza, che con il parere presentato non hanno dato seguito all'ampio confronto portato avanti in questi mesi.
Ricorda, in particolare, i dati diffusi dall'Agenzia per la cybersicurezza nazionale, che vedono l'Italia al nono posto tra i Paesi vittima del maggior numero di attacchi informatici, con un aumento del 148 per cento rispetto agli anni precedenti.
A fronte di tali dati, critica l'azione del Governo, che reputa assolutamente non proporzionata alla gravità della situazione.
In particolare, afferma che la propria forza politica ha elaborato una serie di osservazioni delle quali auspica l'accoglimento all'interno del parere presentato dalla maggioranza. Ai fini dell'accoglimento, peraltro, non ritiene sufficiente una mera modifica delle premesse di suddetto parere, in quanto sostanzialmente prive di efficacia. Reputa al contrario necessaria la formulazione di una serie di osservazioni, in modo da ottenere una maggiore attenzione da parte del Governo.
Illustra poi i punti sui quali la proposta alternativa di parere presentata dalla propria forza politica si concentra, ricordando che si tratta di questioni emerse nel corso del dibattito parlamentare relativo ai provvedimenti precedentemente adottati sul tema.
Anzitutto, richiama l'importanza di adottare e dare effettiva attuazione ai criteri di adeguatezza e proporzionalità.
In secondo luogo, sottolinea l'importanza di valorizzare il ruolo del Parlamento attraverso la previsione di un parere parlamentare sui provvedimenti adottati in sede di attuazione della direttiva in materia di cybersicurezza. Ricorda inoltre che la necessità di un maggiore coinvolgimento delle Commissioni parlamentari sul tema è stata riconosciuta anche dal direttore generale dell'Agenzia per la cybersicurezza Pag. 15nazionale, Bruno Frattasi, nel corso dell'audizione svolta.
Il terzo punto riguarda il tema delle risorse e, in particolare, la necessità di fornirle in misura adeguata alle imprese, in modo tale da mettere tali imprese effettivamente nelle condizioni di dare attuazione agli obblighi previsti dalla direttiva europea. Ricorda, nello specifico, che le risorse destinate alla cybersicurezza erano state originariamente contemplate nella misura dell'1,2 per cento degli investimenti nazionali. Tuttavia, tale previsione è stata ampiamente disattesa, in quanto soltanto lo 0,2 per cento degli investimenti nazionali è stato effettivamente destinato al settore.
Il quarto punto concerne la questione della legittima difesa e, nello specifico, la circostanza che gli operatori del settore, al fine di difendersi, sono costretti ad impiegare strumenti vietati dall'ordinamento giuridico. Ritiene pertanto necessario intervenire per evitare che chi agisce in adempimento degli obblighi imposti dalla direttiva europea e, quindi, dal presente provvedimento non incorrano nelle pene previste dall'articolo 635-quater del Codice penale.
Il quinto punto riguarda il coinvolgimento dei comuni non capoluoghi di regione o con meno di 100.000 abitanti. Sul punto, ritiene opportuno adottare un criterio che non sia meramente matematico, ma che tenga invece conto delle reali esigenze del territorio.
Rileva poi la necessità di introdurre un obbligo di relazione periodico in ambito di cybersicurezza e la predisposizione di un tavolo di confronto che coinvolga anche il settore dell'industria.
Infine, l'ultimo tema concerne la previsione di norme per la sicurezza della supply chain attraverso incentivi al mercato unico europeo. Ricorda infatti quanto il sistema europeo di cybersicurezza appaia fragile e necessiti di maggiori interventi da parte degli Stati membri. Reputa inoltre necessario implementare una politica industriale ed economica che renda l'Italia e l'Unione europea protagoniste a livello mondiale, anziché dipendenti dalle economie degli altri Paesi.
In conclusione, chiede l'accoglimento di tali punti attraverso la formulazione di specifiche osservazioni o condizioni all'interno del parere della maggioranza, reputandole necessarie anche alla luce di quanto accaduto durante l'esame del provvedimento presso il Senato, dove molte delle condizioni ed osservazioni inizialmente formulate sono state poi eliminate.
Conclude infine annunciando l'astensione della propria forza politica nella votazione della proposta di parere formulata dai relatori, nell'eventualità in cui tali richieste non venissero accolte. Infatti, pur accogliendo con favore il recepimento della direttiva NIS-2, ribadisce di non condividere la scelta dei relatori di formulare una proposta di parere priva di condizioni e osservazioni.
Antonino IARIA (M5S) illustra la proposta alternativa di parere favorevole con condizioni, presentata dal MoVimento 5 Stelle. A suo giudizio il Governo non comprende come la scelta di non investire in cybersicurezza crei un gravissimo pericolo per l'economia reale del Paese e specialmente per le piccole e medie imprese italiane, che hanno ad oggi uno scarsissimo livello di protezione. Sottolinea inoltre il rischio che dagli attacchi hacker possano derivare ingenti proventi illeciti a vantaggio della criminalità organizzata e di quegli intermediari che contribuiscono ad alimentare un mercato parallelo e contiguo alla criminalità stessa.
Sostiene che il Parlamento avrebbe potuto fare di più con il disegno di legge «cybersicurezza» e potrebbe essere più attivo anche rispetto al recepimento delle norme del diritto dell'Unione europea. Fa presente che nella proposta di parere alternativa è stato ripreso il contenuto di emendamenti presentati al citato disegno di legge e, tra le condizioni poste, richiama quelle concernenti la necessità di un monitoraggio parlamentare sull'azione del Governo, la destinazione dei proventi delle sanzioni ad interventi di reinvestimento in cybersicurezza, l'estensione del tavolo per l'attuazione della disciplina NIS a rappresentanti delle autonomie locali, nonché il conferimento di risorse per il supporto e Pag. 16l'accompagnamento dei soggetti interessati dal provvedimento in esame.
Ritenendo poi che il recente grave bug non possa essere sminuito, considerata la sua portata, sottolinea che solo con una reale consapevolezza dei pericoli effettivi non saranno sottovalutati in futuro questi attacchi. Qualora invece manchino programmazione e investimenti nell'istruzione – a tutti i livelli – si lavorerà sempre e solo sui danni e mai su un'efficace prevenzione.
Preannuncia dunque l'astensione del MoVimento 5 Stelle nella votazione della proposta di parere formulata dai relatori. Pur dichiarandosi infatti favorevole al recepimento della direttiva NIS-2, non condivide le scelte del Governo, che non potrà ottenere risultati positivi senza destinare risorse per l'istruzione sul tema della cybersicurezza, senza investimenti in ricerca e sviluppo e senza incentivi per i soggetti privati coinvolti dal provvedimento in esame.
La sottosegretaria Matilde SIRACUSANO esprime un orientamento positivo sulla proposta di parere favorevole dei relatori.
Nessun altro chiedendo di intervenire, le Commissioni approvano la proposta di parere favorevole dei relatori (vedi allegato 1).
Salvatore DEIDDA, presidente, dichiara che a seguito dell'approvazione della proposta di parere dei relatori risulta preclusa la votazione delle proposte alternative di parere dei Gruppi Azione, MoVimento 5 Stelle e Partito Democratico.
La seduta termina alle 14.10.