Vuoi ricevere i nostri aggiornamenti?

Registrati per accedere ai contenuti riservati e iscriverti alla nostra newsletter
Registrati
Back

Cybersicurezza e compliance integrata: il ruolo chiave di DPO e OdV

22/02/2024
Federica Pucarelli
Ilaria Nanni

Il 25/01/2024, il Consiglio dei Ministri, comunicato stampa n. 66, ha approvato il disegno di legge che introduce disposizioni in materia di reati informatici e di rafforzamento della cybersicurezza nazionale.

Il disegno di legge mira principalmente a predisporre il quadro normativo per il recepimento della Direttiva UE 2022/2555 (c.d. direttiva NIS2) “relativa a misure per un livello comune elevato di cybersicurezza nell’Unione” che si inserisce in un contesto geopolitico caratterizzato dall’incremento massiccio di attacchi informatici a danno di enti sia privati che pubblici.   

Quali novità prevede il disegno di legge?

Il disegno di legge in esame persegue l’obiettivo di rafforzare la disciplina in tema di cybersicurezza mediante diversi interventi che mirano a:

  • prevedere sanzioni più severe, raddoppiando le pene per l’accesso illegittimo ai sistemi informatici o per chi detiene o fornisce programmi per il danneggiamento di sistemi informatici;
  • rafforzare le funzioni dell’Agenzia per la cybersicurezza nazionale (ACN) ed il suo coordinamento con l’Autorità giudiziaria in caso di attacchi informatici;
  • attenzionare in particolar modo la prevenzione di attacchi informatici nelle PMI, nel settore finanziario, nella Pubblica Amministrazione e nel sistema sanitario.

Disposizioni specifiche riguardano poi il rafforzamento della cybersicurezza nelle pubbliche amministrazioni, ove viene stabilita:

  • l’obbligatorietà di notifica di incidenti informatici con impatto su reti e servizi informatici entro le 24 ore per pubbliche amministrazioni centrali, regioni, province autonome, nonché le rispettive società in house providing;
  • in caso di reiterata inosservanza dell’obbligo di notifica, l’applicazione all’ente di sanzioni amministrative pecuniarie fino a € 125.000.

Il disegno di legge impatta notevolmente anche nell’ambito della responsabilità amministrativa dipendete da reato, in particolare agendo sull’art. 24 bis del d.lgs 231/2001 rubricato “Delitti informatici e trattamento illecito di dati”, in quanto amplia il novero dei reati-presupposto (includendo anche il nuovo art. 629 co. 3 del codice penale) e ne inasprisce le sanzioni ripartite per quote. 

Per incrementare il livello di attenzione alle tematiche della cybersicurezza, il disegno di legge prevede che i soggetti destinatari della normativa si dotino di una struttura che provvede:

  1. allo sviluppo delle politiche e procedure di sicurezza delle informazioni;
  2. alla produzione e all’aggiornamento di un piano per la gestione del rischio informatico;
  3. alla produzione e all’aggiornamento di un documento che definisca ruoli e organizzazione del sistema per la sicurezza delle informazioni dell’amministrazione;
  4. alla produzione e all’aggiornamento di un piano programmatico per la sicurezza di dati, sistemi e infrastrutture dell’amministrazione;
  5. alla pianificazione e all’implementazione di interventi di potenziamento delle capacità per la gestione dei rischi informatici, in coerenza con i piani di cui alle lettere b) e d);
  6. alla pianificazione e all’implementazione dell’adozione delle misure previste dalle linee guida per la cybersicurezza emanate dall’Agenzia per la cybersicurezza nazionale;
  7. al monitoraggio e alla valutazione continua delle minacce alla sicurezza e delle vulnerabilità dei sistemi per il loro pronto aggiornamento di sicurezza.

Una nuova figura per le P.A.: il referente per la cybersicurezza

Novità assoluta è rappresentata dall’introduzione della figura del “referente per la cybersicurezza” che dovrà essere nominato dalle pubbliche amministrazioni e degli enti pubblici identificati nel disegno di legge sulla base delle sue competenze professionali. Questo soggetto avrà l’incarico di fungere da punto di contatto unico tra l’Autorità per la cybersicurezza nazionale competente (ACN) e le P.A. per cui opera, e di coordinarne le politiche di rafforzamento della cybersicurezza di cui sopra.

La “compliance integrata”: 231 e privacy

Come anticipato, l’ampliamento che la novella apporta al tema della cybersecurity riguarda anche la compliance degli Enti alla normativa in materia di protezione dei dati personali (“GDPR”) e quella della responsabilità amministrativa degli Enti dipendente da reato (D.lgs 231/2001).

La connessione tra queste due discipline non è una novità. Il menzionato art. 24 bis del d.lgs. 231/01, prevede infatti fattispecie delittuose che possono costituire al contempo anche un c.d. “data breach” ai sensi del GDPR.  

Il Ddl sulla cybersicurezza non fa che rafforzare la connessione già esistente tra le due discipline: potenziando le misure preventive e di contrasto in ambito cybersecurity, imponendo in effetti una rivalutazione sotto il profilo della cybersecurity anche dei profili di rischio di commissione di reati-presupposto rilevanti ai sensi della 231, quanto di quelli di commissione di violazione di dati personali rilevanti ai sensi del GDPR, rinnovando così l’attenzione sull’adozione di un sistema di “compliance integrata” che preveda protocolli di comportamento e misure di sicurezza tecniche ed organizzative coerenti ed integrate tra loro. 

Il ruolo del DPO e dell’OdV

La compliance integrata di cui sopra diviene quindi fondamentale soprattutto se si considera che vi è un’elevata probabilità di sovrapposizione degli ambiti operativi delle due figure che, ai sensi delle rispettive normative di riferimento, sono deputate al controllo e alla gestione dei rischi rilevanti, ossia:

  • l’Organismo di Vigilanza (OdV) che vigila sulle misure volte ad evitare che si verifichino condotte riconducibili ai reati presupposto, inclusi quelli informatici, da parte delle figure apicali o subordinate dell’ente nell’interesse o a vantaggio dell’ente;
  • il Data Protection Officer (DPO) che svolge un controllo interno sulla corretta gestione delle procedure di gestione dei dati e assiste l’ente nel valutare le potenziali fonti di rischio correlate al trattamento di dati personali, inclusa quella interna relativa a comportamenti involontari o fraudolenti del personale e dei soggetti apicali.

In tali casi, entrambe le figure di controllo avranno un ruolo preminente nell’attuare la “compliance integrata” e dovranno prevedere strumenti e strutture di sorveglianza/vigilanza sinergiche, basate su flussi informativi costanti, strutturati e, oltretutto, ben coordinati con l’altra e nuova figura del Referente per la cybersicurezza.

Conclusioni

Le nuove norme portano con sé varie conseguenze per gli enti pubblici e privati. Nell’ambito del sistema 231, la mancata adozione di un Modello di Gestione e Controllo espone l’Ente al rischio di sanzioni molto gravose, perdipiù con riferimento ad una classe di reati, quelli informatici, che difficilmente può essere considerata “a basso rischio” di commissione, stante la progressiva digitalizzazione di tutti i processi all’interno degli Enti sia pubblici che privati.

Per chi invece si è già dotato di un Modello 231, sarà opportuno l’aggiornamento, la valutazione dei rischi e soprattutto prevedere strumenti per la corretta integrazione dei vari sistemi di compliance che le differenti normative in esame richiedono di adottare.

Privacy Compliance D.Lgs 231/2001
Share

Vuoi approfondire l'argomento?

Contattaci

Webinar "Reati informatici tra 231 e privacy" - 29 Febbraio 2024

Iscriviti