In Gazzetta Ufficiale n.222 del 21 settembre 2019 è stato pubblicato il decreto legge 21 settembre 2019 n.105, che ha come oggetto le misure urgenti per la cybersecurity del Sistema Paese che istituisce e definisce il “perimetro di sicurezza nazionale cibernetica” (art. 1).
Il legislatore delinea, inoltre, i destinatari coinvolti da tale novità normativa nelle loro caratteristiche prevalenti (art. 1 comma 2 lettera a)) individuando in capo a tali soggetti la necessità di predisporre e aggiornare (almeno) annualmente un elenco delle reti, dei sistemi informativi e dei servizi informatici di rispettiva pertinenza, comprensivo della relativa architettura e componentistica da trasmettere alle autorità competenti contestualmente individuate.
Il comma 1 dell’art. 11 del citato decreto legge prevede quali specifiche ipotesi delittuose le condotte di colui il quale fornisca informazioni, dati o elementi di fatto non rispondenti al vero, rilevanti per la predisposizione o l’aggiornamento dei predetti elenchi al fine di ostacolare o condizionare le attività inerenti al procedimento di predisposizione e comunicazione delle reti, dei sistemi informativi e dei servizi informatici rilevanti ai sensi dello stesso decreto nonché le attività di ispezione e vigilanza in materia. In particolare, la persona fisica è punita con la reclusione da uno a cinque anni; per quanto concerne invece gli enti, la norma prevede la responsabilità ai sensi del decreto legislativo 8 giugno 2001, n. 231 mediante applicazione della sanzione pecuniaria fino a quattrocento quote.
Quanto all’individuazione specifica dei soggetti rientranti nel perimetro di sicurezza nazionale cibernetica, nonché dei criteri per la formazione degli elenchi delle reti, dei sistemi e dei servizi rilevanti, questa è demandata dal legislatore ad un Decreto del Presidente del Consiglio dei Ministri da emanarsi entro quattro mesi dalla data di entrata in vigore della legge di conversione del provvedimento in disamina.
Per individuare l’esatta portata della novità normativa, della necessità di aggiornamento del Modello di Organizzazione, Gestione e Controllo e, soprattutto, per circoscrivere i soggetti sostanzialmente interessati dai nuovi adempimenti e prescrizioni previsti dalla norma, è quindi necessario attendere l’emanazione dei richiamati provvedimenti.