Sicurezza, settori strategici e banda larga: come cambia la protezione dei dati

Ricevuto il piano annuale, inoltre, la Presidenza del Consiglio dei ministri (i) approva entro trenta giorni dalla notifica, prorogabili per due volte di altri venti giorni, laddove sia necessario svolgere approfondimenti riguardanti aspetti tecnici, oppure (ii) impone specifiche prescrizioni o condizioni, ogniqualvolta ciò sia sufficiente ad assicurare la tutela degli interessi essenziali della difesa e della sicurezza nazionale, o ancora (iii) approva, in tutto o in parte, il piano per un periodo temporale, anche limitato, indicando un termine per l’eventuale sostituzione di determinati beni o servizi, o infine (iv) esercita il potere di veto. Il mancato rispetto delle prescrizioni impartite dalla Presidenza del Consiglio dei ministri in fase di verifica del piano annuale comporta anche l’attivazione di un complesso sistema sanzionatorio, che, in caso di omissione della notifica o di mancata osservanza delle prescrizioni, comporta l’applicazione di sanzioni amministrative che possono arrivare fino al 3% del fatturato dell’impresa. Inoltre, sono considerati nulli i contratti o gli accordi compresi nella notifica se eseguiti prima che sia decorso il termine per l’approvazione del piano o in violazione dello stesso. In tali casi, il Governo può ingiungere all’impresa di ripristinare a sue spese la situazione anteriore all’esecuzione, stabilendo il relativo termine, con l’applicazione di ulteriori sanzioni amministrative in caso di ritardi.

Inoltre, un’ulteriore novità di rilievo è costituita dall’introduzione di un sistema di monitoraggio finalizzato a controllare l’osservanza delle prescrizioni e delle condizioni impartite dal Governo nell’esercizio dei poteri speciali, a verificare la loro adeguatezza e ad appurare l’adozione delle misure attuative, anche tecnologiche, imposte. Le attività di monitoraggio sono svolte da uno specifico comitato composto da uno o più rappresentanti della Presidenza del Consiglio dei ministri e dei Ministeri rilevanti, oltre dall’Agenzia per la cybersicurezza nazionale, oltre che, se ritenuto necessario, del Centro di valutazione e certificazione nazionale (CVCN) e delle articolazioni tecniche dei Ministeri dell'interno e della difesa. Peraltro, per agevolare le attività di monitoraggio, le imprese dovranno comunicare – con la periodicità indicata con il provvedimento di esercizio dei poteri speciali – ogni attività esecutiva posta in essere, fornendo i dettagli tecnici ed evidenziando le ragioni idonee ad assicurare la conformità al piano, nonché inviare una relazione periodica semestrale sulle attività eseguite.

Infine, il comitato di monitoraggio dispone della facoltà di svolgere ispezioni e verifiche tecniche, relativamente ai beni e alle componenti ad alta intensità tecnologica funzionali alla progettazione, alla realizzazione, alla manutenzione e alla gestione dei servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G, nonché ad altri possibili fattori di vulnerabilità che potrebbero compromettere l’integrità e la sicurezza delle reti, dei dati che vi transitano o dei sistemi, oggetto del provvedimento di esercizio dei poteri speciali.

Difendersi, anche dagli attacchi digitali, è necessario. Occorre, però, che il Paese possa continuare a correre, cercando di mantenere viva quella ripresa che, prima della guerra, avevamo intravisto. Le nuove disposizioni, dunque, non dovranno rappresentare nuovi oneri e nuovi ostacoli per le imprese e per la pubblica amministrazione che stanno cercando di ripartire e di fare un salto, anche in ambito digitale, con la leva costituita dal Pnrr.

Conciliare necessità di difesa e esigenze di semplificazione rappresenta, indubbiamente, un’ulteriore inevitabile sfida.