Il Capo I del disegno di legge, composto dagli articoli da 1 a 15, modificato nel corso dell'esame alla Camera, reca disposizioni concernenti la cybersicurezza nazionale finalizzate a conseguire una più elevata capacità di protezione e risposta di fronte a emergenze cibernetiche. 

Un primo gruppo di disposizioni riguardano le misure da adottare in caso di incidenti informatici. 

In particolare viene introdotto un obbligo di segnalazione di alcune tipologie di incidenti aventi impatto su reti, sistemi informativi e servizi informatici in carico alle pubbliche amministrazioni. Nel contempo, le pubbliche amministrazioni qualora siano oggetto di segnalazioni dell'Agenzia per la cybersicurezza nazionale circa specifiche vulnerabilità cui essi risultano potenzialmente esposti, debbano provvedere tempestivamente all'adozione degli interventi risolutivi indicati dalla stessa Agenzia. Si stabilisce che i soggetti inclusi nel Perimetro provvedono, oltre che alla notifica, anche alla segnalazione degli incidenti che intervengono su reti, sistemi informativi e servizi informatici che si trovano al di fuori del Perimetro (di loro pertinenza), senza ritardo e comunque al massimo entro ventiquattro ore e si prevede che i dati relativi a incidenti informatici sono raccolti, sulla base degli adempimenti di notifica previsti a legislazione vigente, dall'Agenzia per la cybersicurezza nazionale.

Un secondo gruppo di disposizioni interviene sull'architettura della sicurezza cibernetica e sui rapporti tra i diversi attori del sistema, prevedendo:

• la possibilità di far partecipare alle riunioni del Nucleo per la cybersicurezza ulteriori soggetti quali rappresentanti della Direzione nazionale antimafia e antiterrorismo e rappresentanti della Banca d'Italia, in relazione a specifiche questioni di particolare rilevanza concernenti i compiti di proposta di iniziative in materia di cybersicurezza del Paese;
• il potere del Presidente del Consiglio di disporre il differimento degli obblighi informativi e delle attività di resilienza in capo all'Agenzia per la cybersicurezza nazionale nei casi in cui questo sia considerato strettamente necessario dai servizi di sicurezza della Repubblica;
• la modifica la composizione del Comitato interministeriale per la sicurezza della Repubblica (CISR), disponendo che del Comitato facciano parte anche il Ministro dell'agricoltura, il Ministro delle infrastrutture e dei trasporti e il Ministro dell'università e della ricerca;
• l'istituzione per le pubbliche amministrazioni, dove non sia già presente, della struttura preposta alle attività di cyber-sicurezza e del referente per la cyber-sicurezza

Inoltre, vengono rafforzate le misure di sicurezza dei dati attraverso l'uso della crittografia: viene istituito il Centro nazionale di crittografia presso l'Agenzia per la cybersicurezza nazionale e si attribuisce alle strutture preposte alle attività di cybersicurezza nelle pubbliche amministrazioni la funzione di verificare che i programmi e le applicazioni informatiche e di comunicazione elettronica rispettino le linee guida sulla crittografia adottate dall'Agenzia per la cybersicurezza nazionale e dall'Autorità garante per la protezione dei dati personali.

Il provvedimento reca alcune altre disposizioni relative all'Agenzia per la cybersicurezza nazionale:

• sono definiti termini e modalità per l'adozione del regolamento che stabilisce i criteri, anche temporali, per l'accertamento, la contestazione e la notificazione delle violazioni della normativa in materia di cybersicurezza e l'irrogazione delle relative sanzioni di competenza dell'Agenzia;
• si stabilisce un divieto, della durata di due anni, di assunzione, anche di incarichi, presso soggetti privati finalizzata allo svolgimento di mansioni in materia di cybersicurezza per i dipendenti appartenenti al ruolo del personale dell'Agenzia per la cybersicurezza nazionale - ACN che abbiano partecipato, nell'interesse e a spese dell'Agenzia stessa, a specifici percorsi formativi di specializzazione.

Il disegno di legge introduce alcuni criteri di cybersicurezza nella disciplina dei contratti pubblici e individua nuovi principi e criteri direttivi specifici a cui il Governo dovrà attenersi nel recepimento della normativa europea in materia di resilienza operativa digitale per il settore finanziario.

Infine, vengono introdotte alcune cause di incompatibilità per il personale degli organismi di informazione per la sicurezza (DIS, AISE e AISI) per i tre anni successivi alla cessazione dell'incarico i alla cessazione del servizio.

Il Capo II del provvedimento, composto dagli articoli da 16 a 23, a seguito delle modifiche introdotte nel corso dell'esame della Camera, reca "Disposizioni per la prevenzione e il contrasto dei reati informatici nonché in materia di coordinamento degli interventi in caso di attacchi a sistemi informatici o telematici e di sicurezza delle banche di dati in uso presso gli uffici giudiziari".

In particolare, vengono apportate numerose modifiche al codice penale volte a rafforzare le previsioni in materia di prevenzione e contrasto dei reati informatici, da un lato, prevedendo inasprimenti di pene o ulteriori circostanze aggravanti rispetto alle fattispecie di reati informatici previste a legislazione vigente e, dall'altro, introducendo nuove fattispecie delittuose quali, ad esempio, l'estorsione mediante reati informatici di cui al novellato articolo 629 c.p.. Allo stesso tempo, al fine di rafforzare gli strumenti di contrasto dei reati informatici, viene prevista l'estensione del termine ordinario di conclusione delle indagini preliminari qualora i reati informatici siano commessi in danno di sistemi informatici o telematici di interesse militare o comunque di interesse pubblico.

Inoltre, il provvedimento prevede l'estensione dell'applicazione della speciale disciplina delle intercettazioni prevista per i fatti di criminalità organizzata ai reati informatici rimessi al coordinamento del procuratore nazionale antimafia e antiterrorismo (ovvero i reati di accesso abusivo a sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico; intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche; detenzione, diffusione e installazione abusiva di apparecchiature e di altri mezzi atti a intercettare, impedire o interrompere comunicazioni informatiche o telematiche; falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche; danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità; danneggiamento di sistemi informatici o telematici di pubblica utilità).

Si prevede altresì il rafforzamento della collaborazione tra l'Agenzia per la cybersicurezza nazionale (ACN), il procuratore nazionale antimafia e antiterrorismo, la polizia giudiziaria ed il pubblico ministero, prevedendo, tra l'altro, l'introduzione dell'obbligo di immediata trasmissione delle notizie dei gravi delitti informatici, al fine di procedere ad una tempestiva azione di contrasto degli stessi.

Su altro fronte, viene estesa agli autori dei reati informatici la disciplina di cui al decreto-legge n. 8 del 1991, relativa alla concessione delle speciali misure di protezione e dei benefici penitenziari che possono essere riservati ai soggetti che collaborano con la giustizia.

Infine, si segnala che, con una modifica apportata nel corso dell'esame in sede referente, è stata introdotta la previsione ai sensi della quale l'ispettorato generale presso il Ministero della giustizia, nell'ambito delle ispezioni ordinarie condotte presso gli uffici giudiziari, sia chiamato a verificare altresì il rispetto delle prescrizioni di sicurezza negli accessi alle banche dati in uso.