Il 2 luglio 2024 è stata pubblicata nella Gazzetta Ufficiale la legge n. 90 del 28 giugno 2024, denominata “Legge sulla Cybersicurezza”. Questo documento fornisce una descrizione dei principali adempimenti previsti per le pubbliche amministrazioni e le società private, con l’obiettivo di rafforzare la sicurezza informatica a livello nazionale. La legge introduce nuove responsabilità per vari enti e prevede severe sanzioni per la mancata osservanza delle norme. La fonte di legge può essere consultata per ulteriori dettagli: LEGGE 28 giugno 2024, n. 90, Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici (Gazzetta Ufficiale n. 153 del 02-07-2024).
Individuazione dei “Soggetti Rilevanti”
La Legge sulla Cybersicurezza si applica a un’ampia gamma di soggetti pubblici e privati, tra cui:
- Pubbliche Amministrazioni Centrali (incluso l’elenco ISTAT annuale);
- Regioni e Province Autonome di Trento e Bolzano;
- Città Metropolitane e Comuni con popolazione superiore a 100.000 abitanti;
- Società di trasporto pubblico urbano ed extraurbano;
- Aziende Sanitarie Locali e società in house fornitrici di servizi specifici;
Nuovi adempimenti per le Pubbliche Amministrazioni
Le pubbliche amministrazioni devono:
- Dotarsi di una struttura per la cybersicurezza, che può essere parte dell’ufficio del responsabile per la transizione digitale, con il compito sviluppare politiche di sicurezza, aggiornare piani per il rischio informatico, implementare sistemi di analisi del rischio e monitorare costantemente le minacce;
- Nominare un referente per la cybersicurezza, che agisca come punto di contatto con l’Agenzia per la Cybersicurezza Nazionale (ACN);
- Comunicare gli incidenti di sicurezza entro 24 ore per una prima segnalazione e 72 ore per una notifica completa. La mancata comunicazione reiterata può comportare sanzioni amministrative pecuniarie da 25.000 a 125.000 euro e responsabilità disciplinare per i funzionari coinvolti;
- Adottare interventi risolutivi delle vulnerabilità indicate dall’ACN entro 15 giorni dalla segnalazione;
Adempimenti per gli Operatori soggetti all’ambito di applicazione del Perimetro di Sicurezza Nazionale Cibernetica (PSNC)
Gli operatori PSNC devono:
- Notificare gli incidenti secondo tempistiche specifiche (24 ore per la prima segnalazione e 72 ore per la notifica completa). Le sanzioni per la mancata notifica vanno da 25.000 a 125.000 euro;
- Verificare che i programmi informatici rispettino le linee guida sulla crittografia e non presentino vulnerabilità note;
- Adottare interventi risolutivi delle vulnerabilità entro 15 giorni dalla comunicazione dell’ACN;
Adempimenti per gli Operatori che ricadono nell’ambito di applicazione della Direttiva NIS
Gli operatori NIS devono:
- Verificare che i programmi informatici rispettino le linee guida sulla crittografia;
- Adottare interventi risolutivi delle vulnerabilità segnalate dall’ACN entro 15 giorni;
Adempimenti per gli Operatori delle Telecomunicazioni
Gli operatori che forniscono reti pubbliche di comunicazione o servizi di comunicazione elettronica devono:
- Adottare interventi risolutivi delle vulnerabilità entro 15 giorni dalla segnalazione dell’ACN;
Modifiche alla Normativa sulla Responsabilità Amministrativa degli Enti (D.Lgs. 231/2001)
La Legge sulla Cybersicurezza introduce modifiche significative:
- Aumento delle sanzioni per i reati informatici da duecento a settecento quote;
- Introduzione di nuove fattispecie di reato come l’estorsione informatica con sanzioni da trecento a ottocento quote e sanzioni interdittive;
Cybersicurezza e conformità dei Contratti Pubblici
La legge introduce criteri di cybersicurezza per i contratti pubblici, garantendo la confidenzialità, integrità e disponibilità dei dati. Questi criteri saranno dettagliati in un futuro Decreto del Presidente del Consiglio dei Ministri.
Divieti all’assunzione di personale
Sono introdotte preclusioni per l’assunzione di personale che abbia ricoperto ruoli specifici presso pubbliche amministrazioni centrali e agenzie di intelligence, per periodi variabili di due o tre anni.