Approvato in Parlamento il disegno di legge sulla sicurezza informatica

Il disegno di legge sulla sicurezza informatica è stato approvato dall'Assemblea Generale della Grande Assemblea Nazionale Turca (TBMM).

12punto

Con la proposta, vengono disciplinati i principi per l'identificazione e l'eliminazione delle minacce attuali e potenziali, interne ed esterne, dirette contro tutti gli elementi che costituiscono la forza nazionale della Repubblica di Turchia nel cyberspazio, la determinazione dei criteri volti a ridurre i possibili effetti degli incidenti informatici, l'adozione delle misure necessarie per proteggere le istituzioni e gli enti pubblici, gli ordini professionali aventi natura di ente pubblico, le persone fisiche e giuridiche e le organizzazioni prive di personalità giuridica dagli attacchi informatici, la definizione di strategie e politiche per rafforzare la sicurezza informatica del Paese, nonché i principi relativi all'istituzione del Consiglio per la Sicurezza Informatica, stabilendo il quadro generale dell'ambito di applicazione della legge.

Di conseguenza, il regolamento coprirà le istituzioni e gli enti pubblici, gli ordini professionali aventi natura di ente pubblico, le persone fisiche e giuridiche e le organizzazioni prive di personalità giuridica che operano, forniscono servizi o sono presenti nel cyberspazio.

Le attività di intelligence condotte in conformità con la Legge sui doveri e i poteri della polizia, la Legge sull'organizzazione, i doveri e i poteri della Gendarmeria, nonché le attività svolte ai sensi della Legge sui servizi di intelligence di Stato e dell'Organizzazione di Intelligence Nazionale (MIT), sono escluse dall'ambito di applicazione della legge.

In linea con la mozione approvata in Commissione, anche le attività condotte ai sensi della Legge sul servizio interno delle Forze Armate Turche e della Legge sul Comando della Guardia Costiera saranno escluse dall'ambito di applicazione.

Con la proposta, vengono fornite le definizioni di "Hosting", "Presidente", "Presidenza", "Sistemi informatici", "Infrastruttura critica", "Servizio pubblico critico", "Sicurezza informatica", "Incidente informatico", "Attacco informatico", "Minaccia informatica", "Intelligence sulle minacce informatiche", "Cyberspazio", "SOME" (Team di risposta agli incidenti informatici), "Asset" e "Vulnerabilità", e vengono stabiliti i principi fondamentali per garantire la sicurezza informatica.

Di conseguenza, la sicurezza informatica sarà parte integrante della sicurezza nazionale. L'obiettivo principale sarà la protezione delle infrastrutture critiche e dei sistemi informatici, nonché la creazione di un cyberspazio sicuro.

Le attività relative alla sicurezza informatica saranno condotte sulla base di istituzionalità, continuità e sostenibilità. Sarà fondamentale applicare le misure di sicurezza informatica durante l'intero ciclo di vita di servizi e prodotti.

LA RESPONSABILITÀ SARÀ FONDAMENTALE NELL'ESECUZIONE DEI PROCESSI DI SICUREZZA INFORMATICA

Nelle attività volte a garantire la sicurezza informatica, saranno preferiti innanzitutto prodotti locali e nazionali. Tutte le istituzioni e gli enti pubblici, nonché le persone fisiche e giuridiche, saranno ritenuti responsabili dell'attuazione delle politiche e delle strategie di sicurezza informatica e dell'adozione delle misure necessarie per prevenire gli attacchi informatici o ridurne l'impatto. La responsabilità sarà fondamentale nell'esecuzione dei processi di sicurezza informatica.

Le attività di sviluppo di politiche e strategie di sicurezza informatica saranno condotte con un approccio di miglioramento continuo. Saranno incoraggiati gli studi volti ad aumentare le capacità e le competenze delle risorse umane qualificate nel campo della sicurezza informatica.

L'obiettivo sarà diffondere la cultura della sicurezza informatica in tutta la società.

I principi dello stato di diritto, dei diritti e delle libertà fondamentali dell'uomo e della protezione della privacy saranno considerati i pilastri fondamentali.

PROTEZIONE CONTRO GLI ATTACCHI INFORMATICI

La proposta definisce anche i compiti della Presidenza per la Sicurezza Informatica. Di conseguenza, la Presidenza per la Sicurezza Informatica, oltre ai compiti previsti dalla normativa vigente, svolgerà attività volte ad aumentare la resilienza informatica delle infrastrutture critiche e dei sistemi informatici, a proteggerli dagli attacchi informatici, a rilevare gli attacchi informatici effettuati, a prevenire potenziali attacchi e a ridurne o eliminarne gli effetti.

In questo contesto, la Presidenza condurrà o farà condurre test di vulnerabilità e penetrazione, analisi dei rischi sugli asset, combatterà le minacce informatiche, otterrà, creerà e condividerà intelligence sulle minacce informatiche e svolgerà attività di analisi dei software dannosi.

La Presidenza per la Sicurezza Informatica, che determinerà le infrastrutture critiche, le istituzioni a cui appartengono e la loro ubicazione, sarà anche responsabile di garantire che le istituzioni e gli enti pubblici e le infrastrutture critiche mantengano un inventario di tutti i loro asset, incluso l'inventario dei dati, di eseguire analisi dei rischi sugli asset e di adottare o far adottare misure di sicurezza in base alla criticità degli asset posseduti dalle istituzioni e dagli enti pubblici e dalle infrastrutture critiche.

Tra i compiti della Presidenza rientrano anche: istituire, far istituire e supervisionare i Team di Risposta agli Incidenti Informatici (SOME), condurre studi per determinare e aumentare i livelli di maturità dei SOME, misurare le capacità di risposta agli incidenti informatici dei SOME conducendo esercitazioni di sicurezza informatica, stabilire il coordinamento con i team di risposta agli incidenti informatici di altri Paesi, nonché condurre, far condurre e incoraggiare studi per la produzione e lo sviluppo di ogni tipo di strumento di intervento informatico e di soluzioni nazionali.

SARÀ GARANTITA LA SICUREZZA INFORMATICA DEI SERVIZI PUBBLICI CRITICI

La Presidenza per la Sicurezza Informatica disciplinerà anche le procedure e i principi che gli operatori nel campo della sicurezza informatica devono seguire.

Le procedure e i principi applicativi relativi all'istituzione, alla gestione e all'esternalizzazione delle infrastrutture necessarie per garantire la sicurezza informatica delle istituzioni e degli enti pubblici e dei servizi pubblici critici, nonché alla fornitura o alla garanzia della fornitura di servizi di hosting su sistemi e infrastrutture sicure per le istituzioni e gli enti pubblici, saranno determinati dalla Presidenza per la Sicurezza Informatica.

Preparare gli standard relativi al campo della sicurezza informatica, esaminare gli standard preparati da altre persone o organizzazioni, fornire pareri in merito, accettarli come standard se ritenuti idonei, pubblicarli e monitorarne l'applicazione rientra tra i compiti della Presidenza per la Sicurezza Informatica.

La Presidenza per la Sicurezza Informatica condurrà le operazioni di test e certificazione per software, hardware, prodotti, sistemi e servizi relativi al campo della sicurezza informatica, istituirà, farà istituire e gestirà le infrastrutture di test necessarie e coordinerà con le istituzioni competenti le operazioni di certificazione, autorizzazione e accreditamento per esperti e aziende di sicurezza informatica.

La Presidenza per la Sicurezza Informatica, che effettuerà audit di sicurezza informatica e applicherà sanzioni in base ai risultati, sarà incaricata di determinare i criteri tecnici e di emanare regolamenti normativi riguardanti le caratteristiche che i prodotti e i servizi di sicurezza informatica utilizzati nelle istituzioni e negli enti pubblici e nelle infrastrutture critiche, nonché le aziende che li forniscono, devono possedere; di effettuare o far effettuare audit; di determinare le qualifiche che le organizzazioni che effettueranno gli audit devono possedere; di incaricare tali organizzazioni e, se necessario, di sospendere temporaneamente o revocare l'incarico.