Legge 28 giugno 2024, n. 90: Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici

Il 2 luglio 2024 è stata pubblicata nella Gazzetta Ufficiale la legge n. 90 del 28 giugno 2024, denominata “Legge sulla Cybersicurezza”. Questo documento fornisce una descrizione dei principali adempimenti previsti per le pubbliche amministrazioni e le società private, con l’obiettivo di rafforzare la sicurezza informatica a livello nazionale. La legge introduce nuove responsabilità per vari enti e prevede severe sanzioni per la mancata osservanza delle norme. La fonte di legge può essere consultata per ulteriori dettagli: LEGGE 28 giugno 2024, n. 90, Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici (Gazzetta Ufficiale n. 153 del 02-07-2024).

La Legge sulla Cybersicurezza si applica a un’ampia gamma di soggetti pubblici e privati, tra cui:

• Pubbliche Amministrazioni Centrali (incluso l’elenco ISTAT annuale);
• Regioni e Province Autonome di Trento e Bolzano;
• Città Metropolitane e Comuni con popolazione superiore a 100.000 abitanti;
• Società di trasporto pubblico urbano ed extraurbano;
• Aziende Sanitarie Locali e società in house fornitrici di servizi specifici;

Le pubbliche amministrazioni devono:

• Dotarsi di una struttura per la cybersicurezza, che può essere parte dell’ufficio del responsabile per la transizione digitale, con il compito sviluppare politiche di sicurezza, aggiornare piani per il rischio informatico, implementare sistemi di analisi del rischio e monitorare costantemente le minacce;
• Nominare un referente per la cybersicurezza, che agisca come punto di contatto con l’Agenzia per la Cybersicurezza Nazionale (ACN);
• Comunicare gli incidenti di sicurezza entro 24 ore per una prima segnalazione e 72 ore per una notifica completa. La mancata comunicazione reiterata può comportare sanzioni amministrative pecuniarie da 25.000 a 125.000 euro e responsabilità disciplinare per i funzionari coinvolti;
• Adottare interventi risolutivi delle vulnerabilità indicate dall’ACN entro 15 giorni dalla segnalazione;

Gli operatori PSNC devono:

• Notificare gli incidenti secondo tempistiche specifiche (24 ore per la prima segnalazione e 72 ore per la notifica completa). Le sanzioni per la mancata notifica vanno da 25.000 a 125.000 euro;
• Verificare che i programmi informatici rispettino le linee guida sulla crittografia e non presentino vulnerabilità note;
• Adottare interventi risolutivi delle vulnerabilità entro 15 giorni dalla comunicazione dell’ACN;

Gli operatori NIS devono:

• Verificare che i programmi informatici rispettino le linee guida sulla crittografia;
• Adottare interventi risolutivi delle vulnerabilità segnalate dall’ACN entro 15 giorni;

Gli operatori che forniscono reti pubbliche di comunicazione o servizi di comunicazione elettronica devono:

• Adottare interventi risolutivi delle vulnerabilità entro 15 giorni dalla segnalazione dell’ACN;

La Legge sulla Cybersicurezza introduce modifiche significative:

• Aumento delle sanzioni per i reati informatici da duecento a settecento quote;
• Introduzione di nuove fattispecie di reato come l’estorsione informatica con sanzioni da trecento a ottocento quote e sanzioni interdittive;

La legge introduce criteri di cybersicurezza per i contratti pubblici, garantendo la confidenzialità, integrità e disponibilità dei dati. Questi criteri saranno dettagliati in un futuro Decreto del Presidente del Consiglio dei Ministri.

Sono introdotte preclusioni per l’assunzione di personale che abbia ricoperto ruoli specifici presso pubbliche amministrazioni centrali e agenzie di intelligence, per periodi variabili di due o tre anni.