Inquadramento costituzionale e quadro normativo di riferimento della cybersecurity nelle pubbliche amministrazioni

The contribution aims to analyze the regulatory framework governing cybersecurity within public administrations. It first seeks to provide a constitutional overview of cybersecurity and to assess whether an autonomous concept of cybersecurity specifically applicable to public administrations can be identified. It then examines the European and national legislation concerning cybersecurity in public-sector entities. In particular, the analysis focuses on those provisions of Directive (EU) 2022/2555 (the so called NIS 2 Directive) that relate to public administrations and that were adopted to ensure a high level of cybersecurity across the European area for “essential and important” network operators. The chapter proceeds with an examination of the provisions of Legislative Decree No. 138 of 2024, which transposes the NIS 2 Directive and likewise contains rules applicable to public administrations. The analysis then turns to Law No. 90 of 2024, with specific attention to the provisions concerning the cybersecurity liaison officer. Subsequently, the focus shifts to Decree Law No. 82 of 2021 (which, among other things, established the National Cybersecurity Agency), to Decree Law No. 105 of 2019 (which introduced the national cybersecurity perimeter), and to the implementing decrees of the President of the Council of Ministers, as well as to Article 51 of the Digital Administration Code. The theoretical question underpinning the chapter concerns how the various normative sources under consideration may be coordinated so as to enable public administrations to respond effectively and with legal certainty to cyberattacks that compromise their functioning and, consequently, hinder the proper delivery of public services.

Il contributo ha l’obiettivo di analizzare il quadro normativo di riferimento della cybersecurity nelle pubbliche amministrazioni. Anzitutto, si intende fornire un inquadramento costituzionale della cybersicurezza e comprendere se è configurabile un concetto autonomo di cybersicurezza riferito alle pubbliche amministrazioni. Quindi, è presa in esame la normativa europea e nazionale avente ad oggetto la cybersicurezza nelle PP.AA. Nello specifico, sono oggetto di approfondimento quelle disposizioni, inerenti alla P.A., della Direttiva (UE) 2022/2555 (c.d. Direttiva NIS 2), varata al fine di garantire, all’interno dello spazio europeo, un elevato livello di cibersicurezza per gli operatori di rete “essenziali e importanti”. L’analisi prosegue con l’esame di quelle disposizioni del decreto legislativo n. 138 del 2024, di recepimento della Direttiva NIS 2, aventi – anche in questo caso – ad oggetto le pubbliche amministrazioni. Successivamente, l’analisi verte sulla legge n. 90 del 2024 e, in particolare, sulle disposizioni aventi ad oggetto il referente per la cybersicurezza. Quindi, ci si focalizza sul decreto-legge n. 82 del 2021 (istitutivo, tra l’altro dell’Agenzia per la Cybersicurezza Nazionale), sul decreto-legge n. 105 del 2019 (istitutivo del perimetro di sicurezza nazionale cibernetica) e sui decreti del Presidente del Consiglio dei ministri di attuazione, nonché sull’art. 51 del Codice dell’amministrazione digitale. La questione teorica che si pone attiene al come le fonti normative prese in considerazione possano essere coordinate per consentire una efficiente e certa risposta delle pubbliche amministrazioni agli attacchi informatici che ne compromettono il funzionamento e, quindi, impediscono la corretta erogazione dei servizi pubblici.