IL DECRETO

L’ACN come autorità di certificazione cyber: cosa cambia col nuovo quadro normativo

Con la pubblicazione in Gazzetta Ufficiale del D.lgs. 123, l’Agenzia per la Cybersicurezza Nazionale è stata designata come Autorità nazionale di certificazione della cybersicurezza. Ecco le novità del decreto e cosa cambia con il nuovo quadro normativo

29 Ago 2022
A
Davide Agnello

Analyst, Hermes Bay

R
Martina Rossi

Analyst, Hermes Bay

Continuano a delinearsi il nuovo quadro normativo italiano in materia di cyber sicurezza nazionale e l’architettura operativa dell’Agenzia per la Cybersicurezza Nazionale (ACN). Lo scorso 20 agosto è stato infatti pubblicato in Gazzetta Ufficiale il Decreto Legislativo 3 agosto 2022 n. 123, il quale delinea norme di adeguamento della normativa nazionale alle disposizioni del Titolo III «Quadro di certificazione della cibersicurezza» del Regolamento (UE) 2019/881 del Parlamento Europeo e del Consiglio del 17 aprile 2019, relativo all’ENISA e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione (TIC).

Perimetro cyber, operativo il processo di certificazione: quali implicazioni

Le novità del decreto

Il decreto prevede:

  1. l’individuazione di un’autorità nazionale di certificazione della cybersicurezza in Italia, con mansioni di vigilanza in ambito nazionale e di rilascio dei certificati;
  2. le modalità di cooperazione di tale autorità con gli altri enti pubblici nazionali ed europei, e con l’Organismo di Accreditamento;
  3. la definizione di un sistema sanzionatorio applicabile in caso di violazione delle norme del quadro europeo di certificazione con sanzioni effettive, proporzionate e dissuasive. (art. 1).

Il decreto designa l’ACN come Autorità nazionale di certificazione della cybersicurezza e le conferisce la facoltà di partecipare alle attività internazionali del Gruppo Europeo di Certificazione della Cibersicurezza (ECCG). Per lo svolgimento dei compiti in questione, il decreto stanzia per il triennio 2022-2024 la somma di 1.887.500 euro (art. 4).

WHITEPAPER
Una guida per acquisire nuovi clienti con il digital onboarding
Marketing
Trade

All’ACN è conferito il potere di:

  1. coadiuvare l’Organismo di Accreditamento nella vigilanza delle attività degli organismi di valutazione della conformità (art.5 co. 1, lett. a);
  2. monitorare il lavoro di tali enti (comma 1, lett. b);
  3. collaborare con le altre autorità di vigilanza italiane e degli altri Paesi UE (comma 2).

Nell’ambito dell’attività svolta, l’Agenzia può effettuare indagini ed audit nei confronti degli organismi di valutazione della conformità, dei titolari dei certificati europei e degli emittenti le dichiarazioni di conformità UE (comma 3).

Qualora l’Agenzia rilevi l’emissione di un certificato non conforme, deve chiedere all’organismo emittente di provvedere alla revoca entro cinque giorni (comma 5). Una volta accertata l’irregolarità, viene chiesto all’organismo emittente di ripetere in tutto o in parte l’attività di valutazione entro 120 giorni, o di revocare la certificazione (comma 6).

L’Agenzia, per le prove tecniche di cui al comma 1, può servirsi di esperti esterni o laboratori di prova abilitati dalla stessa ACN a effettuare le valutazioni del caso (comma 7).

Come funziona la concessione dei certificati cyber

Per quanto riguarda la concessione dei certificati di cybersicurezza, l’ACN rilascia quelli con livello di affidabilità elevato tramite l’Organismo di Certificazione della Sicurezza Informatica (OCSI) (art. 6, co. 1). Invece, per ciò che concerne la concessione dei certificati con livello di affidabilità sostanziale o di base, il loro rilascio può avvenire ad opera di un altro organismo pubblico, riconosciuto dall’Organismo di Accreditamento e monitorato dall’Agenzia (comma 2).

In questo sistema normativo, i fornitori o fabbricanti di prodotti, servizi o processi TIC possono rilasciare sotto la propria responsabilità dichiarazioni UE di conformità di livello base (art. 7 co. 1). Ove l’Agenzia accerti la non conformità di una dichiarazione, è fatto obbligo al fabbricante o fornitore emittente di revisionarla o revocarla entro trenta giorni (comma 3).

Il decreto dedica un articolo specifico all’Organismo di Accreditamento, il quale ha il compito di comunicare all’Agenzia ed all’Ufficio unico di collegamento designato per l’Italia ogni aggiornamento in merito agli organismi di valutazione della conformità accreditati quanto a nuovi rilasci, revoche, sospensioni e limitazioni dei certificati di accreditamento per la successiva notifica da parte dell’Agenzia alla Commissione Europea (art. 8).

Il decreto ha altresì il fine di garantire un aggiornamento costante riguardo gli sviluppi nel campo della sicurezza informatica. Si prevede, infatti, che l’ACN possa realizzare progetti di ricerca con varie istituzioni e che monitori le evoluzioni nel settore della certificazione della cybersicurezza, consultando i portatori di interesse nazionale del settore e scambiando informazioni con altri enti sia italiani che comunitari (art. 9).

Il nuovo quadro sanzionatorio

Infine, la nuova normativa include uno specifico quadro sanzionatorio in caso di violazioni. L’Agenzia può infatti comminare ordini o intimare diffide a coloro che operano in contrasto al quadro europeo di certificazione. Ai soggetti che non ottemperano nel termine indicato nell’ordine o nella diffida l’Agenzia commina la sanzione del pagamento di una somma da 200.000 ad 1.000.000 di euro.

Se le violazioni riguardano soggetti con fatturato pari almeno a 200.000.000 di euro, si applica una sanzione amministrativa pecuniaria non inferiore allo 0,3 per cento e non superiore all’1,5 per cento del fatturato, fermo restando il limite massimo di 5.000.000 di euro. Gli introiti derivanti da eventuali sanzioni verranno versati su apposito capitolo dell’entrata del Bilancio dello Stato per essere successivamente riassegnati con decreto del Ministro dell’Economia e delle Finanze ai capitoli del bilancio dell’Agenzia, destinati alle attività di ricerca e formazione concernenti la certificazione di cybersicurezza (art. 10).

Le misure di adeguamento normativo

Il Decreto Legislativo 123/2022, come sottolineato in precedenza, contiene una serie di misure volte ad adeguare la normativa nazionale al nuovo quadro europeo di certificazione della cybersicurezza, dato dal Regolamento UE 2019/881.

In qualità di Regolamento, l’atto risulta essere vincolante in tutti i suoi elementi e direttamente applicabile negli Stati membri dell’Unione. Nel caso in questione, tuttavia, sono presenti alcuni aspetti per i quali il legislatore europeo ha rinviato per l’adeguamento a quello nazionale.

Le misure di armonizzazione della normativa nazionale al quadro europeo fanno riferimento alle disposizioni contenute nel Titolo III del Regolamento, finalizzato al superamento della frammentazione presente nel mercato interno dei certificati di cibersicurezza, nonché a rendere maggiormente affidabili prodotti e servizi tecnologici per il consumatore.

L’articolo 58 prevede che ogni Stato membro debba designare una o più autorità nazionali di Certificazione della Cibersicurezza, con il compito di supervisionare sull’applicazione e sul rispetto della normativa di riferimento; l’autorità nazionale dovrà, inoltre, cooperare con le autorità indicate dagli altri Stati membri, con la Commissione Europea e con l’ENISA.

All’articolo 65, infine, è previsto che gli Stati membri stabiliscano il quadro sanzionatorio applicabile in caso di violazione delle disposizioni contenute nel Titolo III del Regolamento. I singoli ordinamenti devono fare in modo che tali sanzioni vengano concretamente applicate, e che siano “effettive, proporzionate e dissuasive”.

Gli Stati membri dovranno altresì notificare senza indugio tali norme e misure alla Commissione, provvedendo a notificare ogni modifica successiva.

WEBINAR
5 Ottobre 2022 - 12:00
Come implementare, in sicurezza, SOLUZIONI DIGITALI efficaci per i tuoi clienti?
Trade
Advertising
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 5