Indice
Nuove disposizioni per la cybersicurezza nazionale
Sulla Gazzetta Ufficiale n. 153 del 2 luglio 2024 è stata pubblicata la legge 28 giugno 2024, n. 90, che introduce, a partire dal 17 luglio 2024, significative disposizioni per il rafforzamento della cybersicurezza in Italia.
Tra le principali novità, obblighi di notifica per incidenti informatici a carico delle pubbliche amministrazioni e aziende strategiche, sanzioni per mancata osservanza e misure per migliorare la resilienza delle infrastrutture critiche.
Questa legge introduce una serie di misure obbligatorie per le pubbliche amministrazioni centrali, le regioni, le province autonome, i comuni con popolazione superiore a 100.000 abitanti e altre entità strategiche, imponendo specifici obblighi di notifica in caso di incidenti informatici.
Le amministrazioni e le aziende interessate dovranno segnalare e notificare tempestivamente ogni incidente che possa avere un impatto significativo su reti, sistemi informativi e servizi digitali.
La segnalazione deve avvenire entro 24 ore dalla conoscenza dell’incidente, con una notifica completa entro 72 ore.
Questa misura è volta a garantire una risposta rapida e coordinata alle minacce informatiche, riducendo i tempi di reazione e migliorando la protezione delle infrastrutture critiche.
Obblighi di notifica e sanzioni
Una delle principali innovazioni della legge riguarda l’obbligo di notifica degli incidenti informatici. Le pubbliche amministrazioni centrali, le regioni, le città metropolitane, i comuni maggiori e le società di trasporto pubblico devono segnalare ogni incidente riconducibile a una tassonomia specifica di tipologie di attacchi informatici. Le notifiche devono essere effettuate tramite le procedure disponibili sul sito dell’Agenzia per la Cybersicurezza Nazionale.
La legge prevede anche una serie di sanzioni per la mancata osservanza degli obblighi di notifica. In caso di inosservanza reiterata entro cinque anni, l’Agenzia per la Cybersicurezza Nazionale può applicare sanzioni amministrative pecuniarie da 25.000 a 125.000 euro. Inoltre, la violazione di questi obblighi può comportare responsabilità disciplinari e amministrativo-contabili per i funzionari e i dirigenti responsabili. Queste sanzioni mirano a incentivare la conformità e a garantire una maggiore protezione contro le minacce informatiche.
Misure di resilienza e ispezioni
La legge n. 90 non si limita a imporre obblighi di notifica, ma introduce anche misure per migliorare la resilienza delle infrastrutture informatiche. In caso di inosservanza degli obblighi, l’Agenzia per la Cybersicurezza Nazionale può disporre ispezioni per verificare l’implementazione di interventi di rafforzamento della resilienza. Questi interventi possono essere direttamente indicati dall’Agenzia o previsti da linee guida specifiche.
Le ispezioni mirano a garantire che le organizzazioni interessate adottino le misure necessarie per prevenire e mitigare gli effetti degli incidenti informatici. Le modalità delle ispezioni sono disciplinate dal direttore generale dell’Agenzia per la Cybersicurezza Nazionale e pubblicate sulla Gazzetta Ufficiale.
Esclusioni e applicabilità
È importante notare che alcune categorie sono escluse dall’applicazione delle nuove disposizioni.
Tra queste, gli organi dello Stato preposti alla prevenzione, accertamento e repressione dei reati, alla tutela dell’ordine pubblico e alla difesa e sicurezza militare. Questi enti operano già sotto regimi di sicurezza specifici e le nuove disposizioni non si applicano a loro.
Infine, gli obblighi di notifica e le relative sanzioni entreranno in vigore a partire dal 17 luglio 2024, dando tempo alle amministrazioni e alle aziende interessate di adeguarsi alle nuove norme.
Scrivi un commento
Accedi per poter inserire un commento