Vulnerability disclosure and penetration testing: relevant legal profiles for the adoption of a national policy compliant with the NIS 2 Directive

Authors

  • Federico Niccolò Ricotta

DOI:

https://doi.org/10.32091/RIID0195

Keywords:

Vulnerability disclosure, Penetration testing, NIS 2, Hacking, Cyber crimes

Abstract

The paper examines the main legal issues related to the adoption of so-called vulnerability disclosure policies, a term that refers to the process of communicating and addressing security flaws, and penetration testing, an activity that simulates a cyberattack with the specific aim of identifying security vulnerabilities. On one hand, the public interest in cybersecurity outlines the responsibilities of public and private entities to not only address but also communicate vulnerabilities; on the other hand, penetration testing, when conducted by individuals other than the system owner, may constitute a criminal offense. This raises the need to find a possible balance that ensures cybersecurity by penalizing unlawful acts in this area, while avoiding discouragement of the reporting of vulnerabilities by those capable of testing the weaknesses of IT systems. This analysis will also include a comparative perspective, taking into account the solution adopted in the French Republic.

Author Biography

  • Federico Niccolò Ricotta

    PhD in Criminal procedure and research fellow in Security and Rights in the Cyberspace

References

AgID (2022), Linee guida sull’accessibilità degli strumenti informatici dell’AgID, 21 dicembre 2022

G. Alpa et al. (2021), Base giuridica per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, in R. D’Orazio, G. Finocchiaro, O. Pollicino, G. Resta (a cura di), “Codice della privacy e data protection”, Giuffrè, 2021

E. Belisario, G.M. Riccio, G. Scorza (a cura di) (2022), GDPR e Normativa Privacy - Commentario, IPSOA, 2022

F. Blefari, M. Paier, A.P. Paliotta (2023), Educare alla sicurezza informatica: il ruolo delle scuole e del privato-sociale, in “AgendaDigitale”, 29 novembre 2023

L. Bolognini, E. Pelino (2024), Codice della disciplina privacy, Giuffrè, 2024

G. Busia, L. Ferola (2017), Il Garante per la protezione dei dati personali. Le funzioni, i rapporti con le altre Istituzioni ed Autorità in Italia e in Europa, in G. Busia, L. Liguori, O. Pollicino (a cura di), “Le nuove frontiere della privacy nelle tecnologie digitali”, Aracne, 2017

G. Carullo (2018), Gestione, fruizione e diffusione dei dati dell’amministrazione digitale e funzione amministrativa, Giappichelli, 2018

R. D’Orazio, G. Finocchiaro, O. Pollicino, G. Resta (a cura di) (2021), Codice della privacy e data protection, Giuffrè, 2021

Dipartimento per la trasformazione digitale (2022), Cybersicurezza e resilienza per la trasformazione digitale della PA, 2022

ENISA (2024), Implementing guidance. On Commission Implementing Regulation (EU) 2024/2690 of 17.10.2024 laying down rules for the application of Directive (EU) 2022/2555 as regards technical and methodological requirements of cybersecurity risk-management measures, October 2024

Garante per la protezione dei dati personali (2023-a), La Scuola a prova di privacy, 2023

Garante per la protezione dei dati personali (2023-b), Relazione annuale 2023

Garante per la protezione dei dati personali (1997), Titolare, responsabile, incaricato - Precisazioni sulla figura del “titolare”, doc. web n. 39785, 9 dicembre 1997

Gruppo di lavoro Articolo 29 (2017), Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679, 4 aprile 2017.

Gruppo di lavoro Articolo 29 (2017-a), Linee guida sui responsabili della protezione dei dati (RPD), 2017

C. Pisani, G. Proia, A. Topo (a cura di) (2022), Privacy e lavoro. La circolazione dei dati personali e i controlli nel rapporto di lavoro, Giuffrè, 2022

F. Pizzetti (a cura di) (2021), Protezione dei dati personali in Italia tra GDPR e codice novellato, Giappichelli, 2021

F. Pizzetti (2018), Delega per il GDPR, i punti forti e deboli: un primo giudizio, in “Agenda Digitale”, 23 agosto 2018

Sophos (2022), The State of Ransomware in Education 2022, 21 luglio 2022

A. Soro (2016), Liberi e connessi, Codice, 2016

Downloads

Published

2024-12-19

Issue

Volume 6 , Issue 2 (2024)

Section

Monographic section - Security and surveillance in cybersociety

License

Copyright (c) 2024 Rivista italiana di informatica e diritto

Creative Commons License

This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.

How to Cite

[1]
Ricotta, F.N. 2024. Vulnerability disclosure and penetration testing: relevant legal profiles for the adoption of a national policy compliant with the NIS 2 Directive. Rivista italiana di informatica e diritto. 6, 2 (Dec. 2024), 81–92. DOI:https://doi.org/10.32091/RIID0195.