In Senza categoria

Onorevoli colleghi,
il provvedimento in esame è attuale e delicato.
E’ volto a ridefinire la complessiva architettura nazionale in materia di sicurezza informatica, con la costituzione di un’Agenzia nazionale, prevista dal Piano nazionale di ripresa e resilienza, alla quale sono attribuite le principali funzioni specialistiche in materia.
Si tratta di un provvedimento che attendevamo da anni, e che non era più prorogabile, specie in considerazione dell’accresciuta esposizione alle minacce cibernetiche che negli anni hanno determinato in modo sempre più consistente la necessità di sviluppare, idonei e sempre più stringenti meccanismi di tutela.
Tale attualità è risultata ulteriormente accresciuta a seguito dell’enorme accelerazione data alla informatizzazione dei dati e delle prestazioni conseguente all’esplodere della pandemia da Covid-19, e che ha messo in luce la necessità di dotarsi quanto prima di misure volte a garantire infrastrutture cloud sicure e centri dati con elevati standard di qualità nella direzione di una crescente interoperabilità e condivisione delle informazioni.
Del resto anche a livello di Unione europea, la direttiva (UE) 2016/1148 del 6 luglio 2016 già recava misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (c.d. direttiva NIS – Network and Information Security”) al fine di conseguire un “livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea”.
Questa direttiva è stata recepita nell’ordinamento italiano con il decreto legislativo n. 65 del 18 maggio 2018, che detta quindi la cornice legislativa delle misure da adottare per la sicurezza delle reti e dei sistemi informativi ed individua i soggetti competenti per dare attuazione agli obblighi previsti dalla direttiva NIS.
Va altresì ricordato, in termini di attualità, che la sicurezza cibernetica costituisce uno degli interventi previsti dal Piano nazionale di ripresa e resilienza (PNRR) trasmesso dal Governo alla Commissione europea il 30 aprile 2021, costituendo uno dei 7 investimenti della Digitalizzazione della pubblica amministrazione, primo asse di intervento della componente “Digitalizzazione, innovazione e sicurezza nella PA. All’investimento, volto alla creazione ed al rafforzamento delle infrastrutture legate alla protezione cibernetica del Paese a partire dalla attuazione della disciplina prevista dal perimetro di sicurezza nazionale cibernetica, sono destinati circa 620 milioni di euro di cui 241 milioni di euro per la creazione di una infrastruttura nazionale per la cybersicurezza; 231 milioni di euro per il rafforzamento delle principali strutture operative del perimetro di sicurezza nazionale cibernetica PSNC; 150 milioni di euro per il rafforzamento delle capacità nazionali di difesa informatica presso il ministero dell’Interno, Difesa, Guardia di Finanza, Giustizia e Consiglio di Stato.
Se dunque non vi sono dubbi circa l’attualità di un provvedimento atteso da anni, richiesto dall’Unione europea e fondamentale anche in chiave di sviluppo del nostro Paese, il fruttuoso lavoro che si è svolto nelle commissioni parlamentari Affari Costituzionali e Trasporti ha permesso di ridefinire con delicatezza anche gli ambiti di indirizzo e controllo propri del Parlamento.
Perché parlo di delicatezza? Perché le esigenze di tutela dei cittadini con nuovi strumenti per lo Stato celano i rischi di interventi restrittivi sproporzionati dei Governi sui cittadini. E’ di questi giorni lo scandalo del software Pegasus in cui pare che uno dei governi della Ue, quello ungherese, spiasse giornalisti ed oppositori, utilizzasse cioè questi strumenti nella logica di una democrazia che si vuole illiberale. Un pericoloso ossimoro e sembra che anche qualche governante italiano sia stato spiato da altri Governi stranieri. Non a caso in base alla legislazione vigente (soprattutto con il decreto-legge n. 21 del 2012 e con il decreto-legge n. 105 del 2019) la tutela dello spazio cibernetico autorizza il Governo ad azioni assai significative e sensibili per il rispetto delle libertà costituzionali come la possibilità di vietare l’acquisizione da parte di soggetti stranieri di determinate infrastrutture strategiche. Peraltro il provvedimento in esame rafforza questa legislazione (art. 16) con riferimento all’obbligo di comunicazione dei contratti relativi alla rete 5G.

Già la soluzione individuata dal decreto, confermata nell’impianto, appariva in partenza sostanzialmente equilibrata: un Comitato interministeriale per la cybersicurezza presieduto dal Presidente del Consiglio (art. 4); un’Agenzia di diritto pubblico, posta sotto il controllo del Presidente del Consiglio e che si raccorda strettamente con il Comitato interministeriale (art. 5); un nucleo per la cybersicurezza che opera presso l’Agenzia e vede la partecipazione, tra gli altri, del consigliere militare del Presidente del Consiglio, di rappresentanti dell’AISE e dell’AISI. Sono poi previsti forme di collaborazione e protocolli d’intesa tra l’Agenzia e il Garante per la protezione dei dati personali.
E, soprattutto, viene assicurato il costante coinvolgimento del COPASIR che esprime il parere sui regolamenti dell’Agenzia (articoli 6, 11 e 12) e che può audire i vertici dell’Agenzia (art. 5).
Inoltre, alla relazione annuale dell’Agenzia al Parlamento, si accompagna una relazione specifica al COPASIR per l’attività svolte dall’Agenzia in raccordo con l’AISE e l’AISI.

Le Commissioni hanno tenuto ulteriormente presente questa delicatezza e l’hanno approfondita, in particolare rafforzando il ruolo delle commissioni parlamentari competenti che andranno costantemente coinvolte e dovranno, ad esempio, essere informate preventivamente circa la nomina e la revoca del direttore generale e del vice direttore generale dell’Agenzia per la cybersicurezza nazionale di cui all’articolo 5 del provvedimento in esame, così come (ai sensi dell’articolo 6, comma 3), il Regolamento preposto all’organizzazione e al funzionamento dell’Agenzia sarà anch’esso adottato previo parere delle Commissioni parlamentari competenti. O ancora saranno trasmessi alle commissioni parlamentari competenti e al Copasir il bilancio consuntivo e la relazione della Corte dei conti ai sensi dell’articolo 11 o sarà data loro tempestiva e motivata comunicazione dei provvedimenti adottati in materia di dotazione organica dell’Agenzia.
Se da un lato infatti viene confermato, per quanto di sua competenza, il coinvolgimento del Copasir, in quanto organo che verifica “in modo sistematico e continuativo, che l’attività del Sistema di informazione per la sicurezza si svolga nel rispetto della Costituzione, delle leggi, nell’esclusivo interesse e per la difesa della Repubblica e delle sue istituzioni.”, conformemente ai compiti istituzionali già previsti dalla legge 124 del 2007 dall’altro, l’esame parlamentare ha permesso di rafforzare il ruolo delle competenti commissioni parlamentari per tutto ciò che attiene al più vasto ambito costituito dalla sicurezza cibernetica.
Con un emendamento all’articolo 2 si è infatti previsto che l’informazione preventiva sulla nomina del direttore dell’Agenzia per la cybersicurezza da parte del Presidente del Consiglio non sia solo fatta al presidente del COPASIR ma al COPASIR nel suo complesso e alle Commissioni parlamentari competenti.
Con un emendamento all’articolo 6, che interviene anche sugli articoli 11 e 12, si è poi previsto che il parere sui regolamenti dell’Agenzia siano resi non solo dal COPASIR ma anche dalle Commissioni parlamentari competenti per materia e dalla Commissione bilancio.
Mi piace segnalare anche l’emendamento approvato all’articolo 7 che, attraverso la costituzione di un comitato tecnico-scientifico, consentirà il coinvolgimento degli esperti in materia della comunità scientifica e della società civile.
Si tratta quindi, nel complesso, di un assetto equilibrato e che potrà ben operare nella nostra logica, quella di una democrazia liberale che affronta appunto con delicatezza le questioni attuali. Qualora invece fosse confermato che altri Governi agiscano in questi ambiti secondo quanto emerso con lo scandalo Pegasus, violando lo Stato di diritto, essi meriterebbero necessarie sanzioni. Lo spazio politico dell’Unione è uno spazio dove le democrazie liberali possono e debbono difendersi da minacce, non è uno spazio per usare le minacce come cavalli di Troia per la costruzione di democrazie illiberali.

Recent Posts

Leave a Comment

Contatti

Scrivi una mail a stefano

Not readable? Change text. captcha txt