La cybercompliance nelle Pubbliche amministrazioni. Profili di diritto costituzionale e pubblico

This volume, focused on the theme of cybercompliance in public admin- istrations from the perspective of constitutional and public law, has been pre- pared within the framework of the Project “Human-centered approach and Regulatory Dimension in Developing an Interoperable and Secure Cyber- space” – acronym HARD DISC – winner of the “Cascade Call of Spoke 1” entitled “Human, Social, and Legal Aspects” of the initiative “Security Rights in Cyber Space – SERICS”, Project: “Law and Regulation for a Better-safe Cyberspace (CybeRights)”, funded by the National Recovery and Resilience Plan. Following the introductory essay (“Constitution, Cybersecurity and Public Administration”) which provides a general framing of the subject, the first chapter (“Public Administrations Facing the Digital Challenge”) addresses the growing role of cyberspace and the risks associated with it. It highlights that insecurity in cyberspace – defined as the “fifth domain of warfare” – may generate systemic risks capable of profoundly affecting the functioning of modern democracies and the foundational values of free so- cieties. In this context, cybersecurity becomes a “condition of existence for digitalization.” The aim of the first section is to analyze data – also from a comparative perspective – on cyberattacks against public administrations, in order to understand how and to what extent such aggressions impact the delivery of public services and the protection of citizens’ data. The second chapter (“Constitutional Framework and Regulatory Refer- ence System of Cybersecurity in Public Administrations”) seeks to provide a constitutional framing of cybersecurity and to assess whether an autonomous concept of cybersecurity specific to public administrations can be identified. Examining European and national legislation on cybersecurity in public ad- ministrations, the theoretical issue raised concerns how the relevant norma- tive sources may be coordinated to ensure an efficient and reliable response by public administrations to cyberattacks that compromise their functioning and thereby obstruct the proper delivery of public services. The third chapter (“Action and Organization of Administrations in Terms of Cybersecurity”) analyzes the institutional organization of cybersecurity and the profile of administrative action in this domain. It begins with the role of the European Commission and ENISA and then examines—within the institutional and regulatory framework of cybersecurity—the role of the 147 Presidency of the Council of Ministers, the National Cybersecurity Agency, the Data Protection Authority, and the Agency for Digital Italy. The analysis continues with an examination of the figure of the Cybersecurity Officer, introduced by Law No. 90 of 2024, highlighting how public administrations in this sector may adopt three distinct compliance models. The fourth chapter (“Cybersecurity and the Responsibility of Public Em- ployees: Towards a New Paradigm?”) addresses the responsibility of public employees in matters of cybersecurity, also in light of the new liability re- gime introduced by Law No. 90 of 2024 and Legislative Decree No. 138 of 2024. It emphasizes that Law No. 90 of 2024 establishes a position-based functional responsibility incumbent upon public employees. Failures are at- tributed to the organizational structure and, through it, to those functionally vested with managerial and employer powers. The analysis therefore focuses on digital employer controls, also in light of the reform of the so-called “Jobs Act” of 2015, as well as on collective bargaining.

Il presente volume, avente ad oggetto il tema della cybercompliance nelle pubbliche amministrazioni dalla prospettiva del diritto costituziona- le e pubblico, è stato elaborato nell’ambito del Progetto “Human-centered approach and Regulatory Dimension in Developing an Interoperable and Secure Cyberspace” – acronimo “HARD DISC” – vincitore del “Bando a cascata dello Spoke 1” dal titolo esteso “Human, Social, and Legal Aspects” dell’iniziativa “Security Rights in Cyber Space – SERICS”, Project: “Law and Regulation for a Better-safe Cyberspace (CybeRights)”, a valere sulle risorse del Piano Nazionale di Ripresa e Resilienza. Dopo l’introduzione (“Costituzione, cybersicurezza e pubblica ammi- nistrazione”) di inquadramento generale del tema, nel primo capitolo, “Le amministrazioni pubbliche alla prova della sfida digitale”, si dà atto del crescente ruolo del cyberspazio e dei rischi ad esso connessi. Si eviden- zia che l’insicurezza nel cyberspazio, “quinto dominio della guerra”, può comportare rischi sistemici in grado di incidere profondamente sul fun- zionamento delle democrazie moderne e sui valori fondativi delle società libere. In questo contesto, quindi, la cybersicurezza diventa “condizio- ne di esistenza della digitalizzazione”. Obiettivo di indagine della prima sezione è quello di analizzare i dati – anche in ottica comparata – sugli attacchi cibernetici alle pubbliche amministrazioni al fine di comprendere come e quanto le aggressioni subite da queste ultime impattino sull’eroga- zione dei servizi pubblici e sulla tutela dei dati dei cittadini. Nel secondo capitolo (“Inquadramento costituzionale e quadro nor- mativo di riferimento della cybersecurity nelle pubbliche amministra- zioni”) si intende fornire un inquadramento costituzionale della cyber- sicurezza e comprendere se è configurabile un concetto autonomo di cybersicurezza riferito alle pubbliche amministrazioni. Quindi, presa in esame la normativa europea e nazionale avente ad oggetto la cybersicurez- za avente ad oggetto la cybersicurezza nelle pubbliche amministrazioni, la questione teorica che si pone attiene al come le fonti normative prese in considerazione possano essere coordinate per consentire una efficiente e certa risposta delle pubbliche amministrazioni agli attacchi informatici che ne compromettono il funzionamento e, quindi, impediscono la corretta erogazione dei servizi pubblici delle pubbliche amministrazioni. 145 Nel terzo capitolo (“Azione e organizzazione delle amministrazioni in chiave cybersecurity”) si analizza l’organizzazione istituzionale della cyber- security e il profilo dell’azione amministrativa in tema di cybersecurity. Si prendono le mosse dal ruolo della Commissione europea e dell’ENISA. Poi è oggetto di approfondimento – nell’assetto istituzionale e regolatorio della cybersecurity – il ruolo della Presidenza del Consiglio dei ministri, dell’A- genzia per la Cybersicurezza Nazionale, del Garante per la Protezione dei Dati Personali e dell’Agenzia per l’Italia Digitale. L’analisi, quindi, prosegue con la disamina della figura del Referente per la cybersicurezza, previsto dalla legge n. 90 del 2024, evidenziando come in questo settore le pubbliche ammi- nistrazioni possono adottare tre moduli di compliance diversi. Il quarto capitolo (“Cybersecurity e responsabilità del pubblico dipen- dente: verso un nuovo paradigma?”) ha ad oggetto la responsabilità del pubblico dipendente in materia di cybersicurezza, anche alla luce del nuovo regime di responsabilità introdotto dalla legge n. 90 del 2024 e dal decreto legislativo n. 138 del 2024. Si sottolinea che dalla legge n. 90 del 2024 emer- ge che sul dipendente pubblico incombe una responsabilità funzionalmente da posizione. La mancanza viene ascritta alla struttura e per il tramite della struttura ai soggetti funzionalmente muniti di poteri gestori e datoriali. L’a- nalisi, quindi, verte sui controlli datoriali digitali, anche alla luce della riforma del c.d. “Jobs act” del 2015, e sulla contrattazione sindacale.