Si pensava che il quadro della normativa in ambito cybersecurity fosse ormai stabilizzato con:

• il decreto-legge n. 82/2021, recante "Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale";
• il decreto legislativo 138/2024, relativa al "Recepimento della Direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148";
• la legge 90/2024, intitolata "Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici".

I dispositivi di legge sopra richiamati, che fanno da cornice giuridica alla Strategia di cybersecurity predisposta dall'Agenzia per la cybsersicurezza nazionale (ACN), indentificano in modo chiaro:

• Ambito e perimetro di applicazione (chi sta dentro e chi sta fuori, per semplificare, dalla NIS2 o dalla Legge 90);
• Modello di cybersecurity che si vuole adottare (a livello organizzativo e gestionale)
• Le misure minime previste che devono essere adottate (suddivise per ambito di applicazione, ovvero NIS2 operatori di servizi essenziali o importanti e Legge 90). 

Come detto, anche più volte anche in questi blog, le Province non fanno parte del perimetro di applicazione di queste norme, in quanto non rientrano nell'ambito di applicazione del d. lgs 138/2024 né della Legge 90/2024.

Così è, almeno per ora.

E' in corso di discussione al Senato il disegno di legge n. 1441 recante "Delega al Governo per la definizione di una strategia nazionale per il contrasto degli attacchi informatici a scopo di estorsione". Questo disegno di legge riporta, tra l'altro, i seguenti punti fondamentali:

• Un attacco ransomware nei confronti di una Pubblica Amministrazione e di un Operatori di servizi deve essere qualificato come minaccia alla sicurezza nazionale;
• E' fatto divieto di pagamento del riscatto in caso di attacchi ransomware da parte di Pubbliche Amministrazioni e di Operatori di servizi (essenziali o importanti);
• Tutte le Pubbliche Amministrazioni, senza eccezioni, se non sono già nell'ambito di applicazione della NIS2, devono rientrare nell'ambito di applicazione della legge 90/2024;
• Obbligo di assistenza tecnica da parte di ACN ai soggetti colpiti da questa tipologia di attacchi e istituzione di un Fondo nazionale di risposta agli attacchi ransomware;
• Formazione obbligatoria annuale in materia di cybersicurezza per tutti i dipendenti pubblici;
• Adozione di requisiti minimi di cybersicurezza per poter accedere, in caso di attacco, al Fondo nazionale, come già identificati da ACN.

Che il disegno di legge passi oppure no, è comunque necessario che le Province definiscano quale sia il percorso di rafforzamento del proprio modello di cybersecurity.

Avevamo già parlato qualche tempo fa, sempre qui sul blog, delle misure minime AgID e di quelle ACN, ricordando che, anche se le Province non erano obbligate ad adottare le misure minime definite da ACN, in quanto mandatorie solo per le Amministrazioni rientranti nel perimetro della legge 90/2024, almeno quelle indicate da AgID nel 2017 risultavano ancora in vigore. Quindi, concludevamo che, almeno quelle indicate da AgID dovessero rappresentare il minimo sindacale per tutte le PA. 

Ma su questo punto è intervenuto il Garante Privacy, con il Provvedimento del 29 aprile 2025 [10134827], in cui sanziona l’Ordine degli Psicologi della Regione Lombardia a seguito di un data breach causato da un attacco ransomware, per aver omesso di adottare misure adeguate a rilevare tempestivamente le violazioni di dati personali e garantire la sicurezza degli stessi.

Nel caso di specie, l'Amministrazione sanzionata dichiarava che aveva "implementato le proprie misure di sicurezza in conformità alle linee guida dell’Agenzia per l’Italia Digitale ("AgID") di cui alla Circolare n. 2/2017 del 18 aprile 2017 […] relative alle "misure minime di sicurezza ICT per le pubbliche amministrazioni". Inoltre, essendo un ente pubblico non economico dalla limitata capacità di finanziamento, non ricevendo sussidi statali, l'incremento di misure di sicurezza oltre quelle individuate, avrebbe comportato un onere sproporzionato a carico dell'Amministrazione.

Nel Parere del Garante, tuttavia, questo approccio non sembra sufficiente. Infatti, Il Garante rileva:

• L'adozione delle misure minime non esonera, in generale, il titolare del trattamento dall’obbligo di effettuare una valutazione, in concreto, sull’appropriatezza delle misure adottate per garantire la sicurezza del trattamento, tenendo conto del contesto in cui si opera;
• l’adozione delle “misure minime di sicurezza" non garantisce, di per sé, il rispetto degli obblighi in materia di sicurezza e protezione dei dati personali;
• nello specifico, le misure minime sono state emanate sulla base dello stato dell’arte, delle conoscenze tecniche e delle minacce cibernetiche presenti nel 2015, e quindi potrebbe non essere più attuali;
• inoltre, l’asserita conformità alle misure minime non esaurisce l’obbligo del titolare del trattamento di adottare misure adeguate sulla base di una propria valutazione del rischio, in base alla quale stabilire se tali misure sono effettivamente adeguate, in ossequio al principio di responsabilizzazione;
• Non può essere considerato il problema del budget come derimente, esistendo la possibilità di identificare misure tecniche efficaci anche a costi più bassi.

La ratio del Parere è evidente: l'Amministrazione non ha svolto un'analisi del rischio, demandando la definizione delle misure di sicurezza tecniche ed organizzative alla mera adozione di una linea guida, seppur autorevole, senza alcuna applicazione del principio di responsabilizzazione, vero punto fermo del GDPR.

Questo punto deve far riflettere tutte le Pubbliche Amministrazioni, indipendentemente dalle dimensioni e dal budget disponibile: è sempre necessaria un'analisi del rischio, sia in termini di data protection che di cybersecurity. 

Questo potrebbe essere l'argomento da affrontare nella prossima call tematiche del settore.