Skip to content Skip to sidebar Skip to footer

Update | Adottata la nuova legge sulla cybersicurezza: i punti salienti della norma

Lo scorso 2 luglio è stata pubblicata in Gazzetta Ufficiale la legge sulla cybersecurity, recante “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici” (L. 28 giugno 2024, n. 90 o “Legge Cybersicurezza”), che entrerà in vigore dal prossimo 17/07/2024.

L’obiettivo della norma, in sintesi, è quello di rafforzare la sicurezza informatica della pubblica amministrazione e di altri soggetti specificamente individuati mediante i) obblighi più stringenti per la notifica degli incidenti informatici; ii) la necessità di adottare interventi rapidi in caso di vulnerabilità segnalate dall’Agenzia per la cybersicurezza nazionale (“ACN”), e iii) l’istituzione di una struttura preposta alla cybersicurezza.

  • A chi si applica la legge sulla cybersecurity?

Sono tenuti al rispetto della norma:

  • le pubbliche amministrazioni centrali individuate ai sensi dell’articolo 1, comma 3, della L. 196/2009;
  • le regioni e le province autonome di Trento e di Bolzano;
  • le città metropolitane;
  • i comuni con popolazione superiore a 100.000 abitanti e, comunque, i comuni capoluoghi di regione;
  • le società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti e le società di trasporto pubblico extraurbano operanti nell’ambito delle città metropolitane;
  • le aziende sanitarie locali;
  • le società in house che forniscono sevizi informatici, servizi di trasporto e di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali.

Alcune disposizioni della Legge Cybersicurezza si applicano anche nei confronti di:

  • coloro che sono già soggetti alla Direttiva NIS1 (e coloro che saranno soggetti alla Direttiva NIS2, che dovrà essere recepita entro il 17 ottobre 2024);
  • soggetti sottoposti all’osservanza della normativa relativa al perimetro di sicurezza nazionale cibernetica di cui alla L. 133/2019;
  • imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico ai sensi dell’art. 40, comma 3, D. lgs. 259/2003.
  • Quali sono le tempistiche di notifica degli incidenti informatici?

La norma prevede due differenti tempistiche per la fase preliminare di segnalazione e quella di successiva notifica.

La segnalazione degli incidenti deve essere effettuata entro il termine massimo di 24 (ventiquattro) ore dal momento in cui se ne viene a conoscenza mentre nelle successive 72 (settantadue) ore (sempre dal momento in cui se ne viene a conoscenza) deve provvedersi ad effettuare la notifica completa di tutti gli elementi informativi disponibili, seguendo le procedure disponibili nel sito internet istituzionale di ACN.

L’obiettivo della Legge Cybersicurezza è quindi quello di equiparare le previsioni che saranno recepite con la Direttiva NIS 2 anche alle pubbliche amministrazioni e alle società in house. Le tempistiche di 24 e 72 ore individuate, infatti, coincidono con quelle previste dalla Direttiva NIS 2 (art. 23, par. 4, Direttiva UE 2022/2555) in quanto è previsto che senza ingiustificato ritardo, e comunque entro 24 ore, si dia un “preallarme” dell’evento e che nelle successive 72 ore si provveda a notificare l’incidente fornendo tutte le informazioni aggiuntive necessarie.

  • Quali sono le tempistiche per riscontrare le segnalazioni di ACN?

In caso di vulnerabilità segnalate da ACN, i destinatari che risultino potenzialmente esposti provvedono all’adozione degli interventi risolutivi indicati dalla stessa ACN, senza ritardo e comunque non oltre 15 giorni dalla comunicazione, salvo l’irrogazione di sanzioni.

Le sanzioni saranno applicate in caso di mancata o ritardata adozione degli interventi risolutivi salvo che il soggetto comunichi tempestivamente ad ACN le esigenze di natura tecnico-amministrativa che ne impediscano l’adozione o che ne comportino il differimento oltre il termine indicato.

In caso di inosservanza di tale obbligo, ACN invierà una comunicazione all’operatore, avvisando che il reiterato inadempimento nell’arco di 5 anni comporterà l’applicazione della sanzione amministrativa pecuniaria da un minimo di 25.000 euro a un massimo di 125.000 euro.

  • Le nuove figure previste dalla norma

La legge prescrive poi l’istituzione di una struttura preposta alla cybersicurezza che si occupi, tra le varie, di attività quali lo sviluppo delle politiche e delle procedure di sicurezza delle informazioni, la redazione e l’aggiornamento di un piano programmatico per la sicurezza di dati, sistemi e infrastrutture, del monitoraggio e della valutazione continua delle minacce. All’interno di tale struttura deve essere individuato un referente per la cybersicurezza, individuato in ragione di specifiche e comprovate professionalità e competenze in materia di cybersicurezza, il cui nominativo deve essere comunicato ad ACN. Tale referente svolge anche la funzione di punto di contatto unico dell’amministrazione con ACN. Non sono tenuti ad istituire la suddetta struttura gli organi dello Stato preposti alla prevenzione, all’accertamento e alla repressione dei reati, alla tutela dell’ordine e della sicurezza pubblica, alla difesa e sicurezza militare dello Stato e agli organismi di informazione per la sicurezza nonché i soggetti sottoposti all’osservanza della Direttiva NIS e della normativa relativa al perimetro di sicurezza nazionale cibernetica, cui continuano ad applicarsi gli obblighi previsti dalle norme di riferimento.

  • Gli standard di sicurezza da prevedere nei contratti pubblici

La legge stabilisce che i contratti pubblici per beni e servizi informatici debbano rispettare specifici requisiti di cybersicurezza, definiti tramite un decreto della Presidenza del Consiglio dei Ministri, da adottarsi entro 120 giorni dalla data di entrata in vigore della Legge Cybersicurezza, su proposta di ACN. Ciò con l’obiettivo di ridurre il rischio di vulnerabilità e garantire la protezione delle infrastrutture digitali critiche.

  • Il rispetto delle linee guida sulla crittografia

Tra gli altri obblighi introdotti dalla Legge Cybersicurezza, si annovera quello di verificare che i programmi e le applicazioni informatiche e di comunicazione elettronica in uso, che impieghino soluzioni crittografiche, rispettino le linee guida sulla crittografia e quelle sulla conservazione delle password adottate da ACN e dal Garante per la protezione dei dati personali (disponibili qui https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9962384) e non contengano vulnerabilità note.

  • L’inasprimento delle sanzioni

La Legge Cybersicurezza inasprisce le pene per alcuni reati informatici (quali l’accesso abusivo a sistemi informatici, la diffusione di malware) e introduce nuove fattispecie di reato, quale la cd. estorsione informatica, con l’obiettivo di arginare non solo la crescente diffusione degli attacchi informatici di tipo ransomware, ma anche il dilagare dei pagamenti dei riscatti richiesti dalle organizzazioni criminali.

Alcune modifiche sono state apportate anche al D. lgs. 231/2001, ampliando il novero dei reati presupposto in materia di responsabilità amministrativa degli enti e delle società – aggiungendo anche qui l’estorsione informatica – e inasprendo, in taluni casi, le sanzioni pecuniarie o quelle interdittive a carico dell’ente (quali, ad esempio, l’interdizione dall’esercizio dell’attività, la sospensione o la revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell’illecito, ecc…).

  • Entrata in vigore della Legge Cybersicurezza 

La legge entrerà in vigore dal prossimo 17/07/2024, ma sarà pienamente operativa da subito solo per pubbliche amministrazioni centrali, regioni, province autonome di Trento e di Bolzano e città metropolitane, mentre per gli altri soggetti, l’applicazione dei nuovi obblighi di notifica degli incidenti è differita al centottantesimo giorno successivo alla data di entrata in vigore della legge (e quindi a gennaio 2025).

Leave a comment

La “Certificazione B Corporation” è un marchio che viene concesso in licenza da B Lab, ente privato no profit, alle aziende che, come la nostra, hanno superato con successo il B Impact Assessment (“BIA”) e soddisfano quindi i requisiti richiesti da B Lab in termini di performance sociale e ambientale, responsabilità e trasparenza.

Si specifica che B Lab non è un organismo di valutazione della conformità ai sensi del Regolamento (UE) n. 765/2008 o un organismo di normazione nazionale, europeo o internazionale ai sensi del Regolamento (UE) n. 1025/2012.

I criteri del BIA sono distinti e autonomi rispetto agli standard armonizzati risultanti dalle norme ISO o di altri organismi di normazione e non sono ratificati da parte di istituzioni pubbliche nazionali o europee.