____________________________

Tu sei qui

  • Home
  • »»» menu' contestuale »»»

Menu contestuale

  • Corte costituzionale 14 giugno 1956, n. 2: «Esclusa l’interpretazione, inammissibilmente angusta, che la “sicurezza” riguardi solo l’incolumità fisica, sembra razionale e conforme allo spirito della Costituzione dare alla parola “sicurezza” il significato di situazione nella quale sia assicurato ai cittadini, per quanto è possibile, il pacifico eser-cizio di quei diritti di libertà che la Costituzione garantisce con tanta forza. Sicurezza si ha quando il cittadino può svolgere la propria lecita attività senza essere minacciato da offese alla propria personalità fisica e morale; è l’”ordinato vivere civile”, che è indubbiamente la meta di uno Stato di diritto, libero e democratico.»
  • Corte cost. n. 285 del 2019. L’endiadi “ordine pubblico e sicurezza”, di cui all’art. 117, secondo comma, lettera h), Cost., allude a una materia in senso proprio, e cioè a una materia oggettivamente delimitata che di per sé non esclude l’intervento regionale in settori ad essa liminari»

INTELLIGENZA ARTIFICIALE E CYBERSICUREZZA

 

Regolamento sulla ciberresilienza Regolamento (UE) 2024/2847 del Parlamento europeo e del Consiglio del 23 ottobre 2024 relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali e che modifica i regolamenti (UE) n. 168/2013 e (UE) 2019/1020 e la direttiva (UE) 2020/1828

 

Gli attacchi informatici costituiscono una questione di interesse pubblico dal momento che hanno un impatto determinante non solo sull’economia dell’Unione, ma anche sulla democrazia, nonché sulla sicurezza dei consumatori e sulla salute.»

Il rischio inteso come potenziale perdita o perturbazione causata da un incidente deve essere valutato sulla base dell’entità della perdita o perturbazione e della probabilità che l’incidente si verifichi; questo rischio diventa poi “significativo” se ha delle caratteristiche tecniche per cui si può presumere una “probabilità elevata” di provocare un incidente con un impatto negativo grave. Così le definizioni di “rischio di cibersicurezza” (art. 1, co. 1, n. 37) e “rischio di cibersicurezza significativo” (art. 1, co. 1, n. 38) nel regolamento (UE) 2024/2847 (regolamento sulla ciberresilienza)

 

Cybersecurity Act -Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019.

Introduce un quadro europeo armonizzato per la certificazione della sicurezza informatica UE di prodotti, servizi e processi ICT. L'obiettivo principale è quello di migliorare la protezione contro le minacce alla sicurezza informatica all'interno dell'UE. Il CSA consente inoltre a produttori e fornitori di servizi di utilizzare un unico certificato reciprocamente riconosciuto in tutta l'UE. Nel corso degli anni, molti Stati membri europei hanno adottato normative nazionali per la certificazione della sicurezza informatica. Le divergenze tra gli standard dei diversi Stati membri e la mancanza di riconoscimento reciproco hanno rischiato di compromettere la libera circolazione di prodotti e servizi ICT all'interno dell'UE. Il CSA richiede a ogni Stato membro dell'UE di identificare almeno un'Autorità Nazionale di Certificazione per la Sicurezza Informatica (NCCA).

 

 

Direttiva per le m - direttiva UE 2022/2555Direttiva (UE) 2016/1148 (cosiddetta NIS 2, recepita in Italia col d.lgs. 4 settembre 2024, n. 138),

Le misure di gestione dei rischi devono ora comprendere azioni tecniche, ma anche operative e organizzative (cfr. l’art. 21 della direttiva) secondo un approccio cosiddetto “multirischio”

Recepita col decreto legislativo nn. 134 del 2024

La Direttiva NIS2 è fortemente allineata allo standard ISO/IEC 27001, tanto che un adeguamento NIS2 può rappresentare buona parte del percorso di certificazione. In diversi paesi europei (non l’Italia) è richiesto un audit annuale di una terza parte per dare evidenza dello stato di conformità. La diffusione di certificazioni ISO/IEC 27001 potrebbe diventare un vantaggio competitivo nella supply chain .

Direttiva NIS 2 - Direttiva (UE) n. 2022/2557

Recepita col decreto legislativo nn. 138 del 2024

La direttiva NIS2 introduce nuove normative per la sicurezza informatica, imponendo requisiti più stringenti in termini di resilienza IT, gestione del rischio e conformità

 

 

DECRETO LEGISLATIVO 4 Settembre 2024, n. 138

Recepimento della direttiva (UE) 2022/2555 (NIS 2), relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148

 

DECRETO LEGISLATIVO 4 Settembre 2024, n. 134

Attuazione della direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio.

La notifica degli incidenti, obbligatoria per tutti gli attori inclusi nel PSNC e per gli enti individuati dalle direttive NIS1 e NIS2, rappresenta il pilastro della resilienza informatica e delle attività di recovery post-incidente (Schmitz-Berndt e Chiara 2022). Secondo la legge italiana, gli attori del PSNC sono tenuti a notificare qualsiasi incidente grave

La NIS2 ha chiarito che un incidente è significativo quando «ha causato o è in grado di causare gravi interruzioni operative dei servizi o perdite finanziarie per l’ente» (NIS2, Directive (EU) 2555/2022 art. 23). Ciò significa che «un incidente può essere considerato significativo anche se il danno non si è concretizzato» (Schmitz-Berndt 2023, 5).

 

Decreto-legge 14 giugno 2021, n. 82

Decreto-legge 14 giugno 2021, n. 82, recante disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cyber-sicurezza nazionali

Nel 2022 l’Agenzia ha elaborato la Strategia nazionale di cybersecurity 2022-2026 (ACN 2022a) e il relativo Piano di attuazione (ACN 2022b), che comprende 82 interventi per il miglioramento della resilienza informatica.

il decreto legge 115/2022 ha introdotto una modifica all’ar- ticolo 1 del decreto legge 105/2019, ampliando la categoria di inci- denti soggetti all’obbligo di notifica al CSIRT per includere quelli che hanno un impatto su sistemi, reti e servizi non forniti nel PSNC (diversi dalle ICT).

 

DPCM 17 febbraio 2017

Secondo la definizione del DPCM 17 febbraio 2017 la cybersicurezza è l’insieme di «idonee misure di sicurezza fisica, logica e procedurale rispetto ad eventi, di natura volontaria od accidentale, consistenti nell’acquisizione e nel trasferimento indebito di dati, nella loro modifica o distruzione illegittima, ovvero nel danneggiamen-to, distruzione o blocco del regolare funzionamento delle reti e dei sistemi informativi o dei loro elementi costitutivi».

Il processo di istituzionalizzazione è iniziato nel 2018 con il D.Lgs 65/2018, che ha attuato la Direttiva NIS1.

il decreto legge 105/2019 e i successivi decreti attuativi (DPCM 131/2020; DPCM 81/2021; DPCM 198/2021; DPCM 4/2022) hanno istituito il Perimetro di Sicurezza Nazionale Ciberne- tica (PSNC). Il PSNC elenca tutti gli attori pubblici e privati coinvolti nella protezione del Paese.

 

 

Rapporto CLUSIT 2025. ll Rapporto CLUSIT è l'analisi annuale del cybercrime redatta dall'Associazione Italiana per la Sicurezza Informatica che monitora e presenta i dati e i trend degli attacchi informatici a livello globale e nazionale, identificando le minacce più diffuse e i settori più colpiti. Il documento è un fondamentale strumento per manager, imprenditori e professionisti della sicurezza per comprendere l'evoluzione delle minacce e migliorare le strategie di difesa.

Il rapporto 2025, oltre al consueto  capitolo dedicato al settore FINANCE, con un’analisi sul Cyber-crime nel settore finanziario in Europa, ha previsto un capitolo dedicato all’Intelligenza Artificiale ch etratta due articoli:

  • • Proteggere il data center ibrido nell’era dell’intelligenza artificiale
  • • Intelligenza Artificiale nella Cybersecurity: Opportunità e Minacce

 

Agenzia per la Cybersicurezza Nazionale (ACN)

Con DPCM 15 giugno 2022 e DPCM 1° settembre 2022 sono state trasferite in capo all’Agenzia per la Cybersicurezza Nazionale le funzioni in materia di cybersicurezza precedentemente assegnate al Ministero dello Sviluppo Economico (MISE), all’Agenzia per l’Italia digitale (AgID) e al Dipartimento per la trasformazione digitale della PCM.

Dal 1993 ad oggi la “materia della digitalizzazione” è stata affidata sempre ad agenzie governative, pur con rilevanti differenze sotto il profilo organizzativo e funzionale. Dal 1993, quando fu costituita la prima Autorità per l’informatica nella pubblica amministrazione (AIPA), passando per il Centro tecnico per la Rupa (1997), il Cnipa (2003), l’Agenzia per la diffusione delle tecnologie per l’innovazione (2006), il DigitPA (2009) fino all’A-genzia Italia digitale (2012) e all’ACN.

 

 

ENISA (Agenzia dell'Unione europea per la cibersicurezza)

 Il suo compito è supportare gli Stati membri e le istituzioni UE per migliorare la cybersicurezza a livello comune, attraverso l'implementazione di politiche, l'elaborazione di sistemi di certificazione per prodotti e servizi TIC, e il supporto nella gestione degli attacchi informatici. 

L'AI avanzata per identificare e neutralizzare minacce in tempo reale

li strumenti di AI avanzata, applicati alla threat intelligence, consentono di identificare e neutralizzare minacce in tempo reale, riducendo i tempi di risposta agli attacchi e migliorando la capacità di prevenzione. Tuttavia, il crescente utilizzo dell’AI introduce anche nuove sfide, tra cui la necessità di garantire la trasparenza e l’affidabilità degli algoritmi, evitando decisioni errate o discriminazioni nei sistemi automatizzati di cybersecurity .

 

 

 

 

 

Informazioni generali sul sito