La riforma della Difesa potrebbe inserirsi in un più ampio processo di revisione dell’architettura nazionale della cybersicurezza. Le ipotesi di riforma in discussione concentrerebbero in capo all’Agenzia per la Cybersicurezza Nazionale (ACN) la funzione regolatoria, mentre la gestione operativa delle crisi gravi e degli interventi sulle infrastrutture critiche graviterebbe verso il Dipartimento delle informazioni per la sicurezza (Dis) e il Ministero della Difesa. Sullo sfondo, l’insediamento dell’8 giugno 2026 di Andrea Quacivi alla direzione generale dell’ACN dopo le dimissioni del prefetto Frattasi. Il dossier resta in capo al sottosegretario Mantovano, Autorità delegata.
Per le imprese soggette agli obblighi di sicurezza informatica, un riassetto di questo tipo produrrebbe effetti concreti su cinque fasi della gestione di un incidente.
Il primo profilo riguarda la notifica. Oggi il punto di contatto operativo è univoco: CSIRT Italia, incardinato nell’ACN, riceve la pre-allerta entro 24 ore e la notifica entro 72 ore ai sensi del d.lgs. 138/2024 di recepimento della NIS 2. Se la gestione operativa per gli incidenti gravi venisse attribuita a Dis e Difesa, la procedura si articolerebbe in due passaggi: una prima qualificazione dell’evento, militare o civile, e su quella base l’individuazione dell’interlocutore operativo competente.
Il secondo profilo riguarda la catena di custodia delle evidenze. Allo stato attuale, log, snapshot e copie forensi prodotti durante la risposta a un incidente sono utilizzabili in sede penale, civile e amministrativa, compresa la notifica al Garante per i dati personali ex art. 33 GDPR. Un coordinamento militare delle operazioni potrebbe comportare la classificazione di sicurezza nazionale di parte del materiale, con conseguente regime di accessibilità differenziato per l’azienda e per i suoi consulenti legali e tecnici.
Il terzo profilo riguarda gli obblighi di disclosure verso il mercato. Le società quotate sono tenute a comunicare gli incidenti rilevanti ai sensi del Regolamento MAR e degli orientamenti Consob. La qualificazione dell’attacco come questione di sicurezza nazionale può determinare l’applicazione di vincoli di riservatezza non immediatamente compatibili con i tempi e i contenuti delle comunicazioni al mercato, con conseguente esigenza di coordinamento procedurale tra le autorità coinvolte.
Il quarto profilo riguarda le polizze cyber. La maggior parte dei contratti assicurativi contiene una war exclusion clause che esclude la copertura per atti di guerra e azioni ostili attribuibili a Stati esteri. La qualificazione di un attacco come componente di guerra ibrida incide sul perimetro applicativo dell’esclusione, come emerso negli Stati Uniti nel contenzioso Merck c. Ace American sull’attacco NotPetya. Le coperture cyber attive in Italia sono interessate dal modo in cui la riforma articolerà la qualificazione degli incidenti gravi.
Il quinto profilo riguarda la supply chain coinvolta nella risposta. Le aziende ricorrono a managed service provider, fornitori cloud e team di incident response spesso non italiani. Un coordinamento operativo affidato a strutture di intelligence o militari può richiedere ai fornitori condizioni oggi non previste, quali nulla osta di sicurezza, classificazioni del personale e perimetri di accesso ai sistemi compromessi, con impatto sui contratti in essere.
Accanto a questi profili, restano fermi gli obblighi sostanziali in capo agli operatori: gestione del rischio, supply chain security, accountability degli organi di amministrazione, regime sanzionatorio NIS 2 fino al 2% del fatturato mondiale per le entità essenziali. La riforma in discussione interviene sull’architettura della gestione delle crisi, non sui doveri di prevenzione.
Il quadro definitivo dipenderà dal testo del provvedimento e dalle relative disposizioni di coordinamento tra ACN, Dis, Difesa, Garante per la protezione dei dati personali e autorità di settore.
