Con la pubblicazione in GU della legge sulla cybersecurity, entrano in vigore alcune novità volte a rafforzare i provvedimenti in materia.

Dopo il via libera del Senato del 20 giugno 2024, approda in Gazzetta Ufficiale la Legge sulla cybersecurity. Il provvedimento rappresenta un passo fondamentale per il rafforzamento della cybersicurezza a livello nazionale. La L. n. 90 del 28 giugno 2024, il cui titolo è “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, cerca di uniformare una disciplina di per sé molto ampia.

In vigore dal 17 luglio 2024, prevede una serie di novità, tra cui adempimenti più stringenti e un inasprimento delle pene.

Tutte le novità sulla cybersecurity

La normativa toccherà soprattutto le pubbliche amministrazioni, poste al centro della normativa. Ad applicare le nuove norme saranno dunque le PA centrali, le regioni, le province autonome di Trento e Bolzano, le città metropolitane, i comuni con un numero maggiore di 100.000 abitanti e alcune imprese deputate al servizio di trasporto pubblico, in ambito sanitario locale e a livello informatico.

Sebbene azzerare i rischi sia impossibile, gli enti dovranno conformarsi alla normativa adottando misure volte a garantire una copertura contro gli attacchi informatici. Per fare ciò, dovranno nominare un referente come responsabile per la transizione al digitale che dovrà sviluppare le politiche e le procedure di sicurezza, definire un documento per l’organizzazione del sistema, pianificare interventi di potenziamenti per gestire i rischi informatici, monitorare e valutare tutte le possibili minacce e vulnerabilità.

Il nominativo della persona, individuata sulla base delle sue competenze specifiche in materia, dovrà essere comunicato all’Agenzia per la Cybersicurezza Nazionale (ACN), in linea con quanto previsto dalla Direttiva NIS2 europea.

Oltre a prevedere nuove fattispecie di reato come l’estorsione cibernetica, la nuova legge introduce una serie di aggravanti. Tra questi l’accesso abusivo a sistemi informatici, la diffusione di malware e la truffa aggravata.

Una volta verificatisi gli incidenti, gli enti dovranno obbligatoriamente notificarli all’ACN entro un certo termine. La prima segnalazione dovrà avvenire entro un massimo di 24 ore, a partire dal momento in cui la PA è venuta a conoscenza dell’incidente. Dovrà poi seguire la notifica completa a distanza di non più di 72 ore.

Qualora vengano individuate specifiche vulnerabilità, gli enti dovranno procedere tempestivamente ad adottare interventi risolutivi, così come indicati dall’ACN. Se i provvedimenti non verranno applicati e le notifiche non verranno effettuate, l’Agenzia invierà alla pubblica amministrazione inadempiente una comunicazione con cui avviserà che la reiterazione di tali comportamenti nei cinque anni successivi comporterà l’applicazione di una sanzione amministrativa compresa tra i 25mila e i 125mila euro. In più, i funzionari e i dirigenti preposti potrebbero incorrere in ipotesi di responsabilità disciplinare e amministrativo-contabile.

Cybersecutity: una questione di necessità

L’intervento, necessario per tutelare le infrastrutture digitali italiane, offre validi strumenti per garantire una risposta più efficace contro attacchi informatici, ogni giorno sempre più frequenti.

Entro il 2026 l’Agenzia per la Cybersicurezza Nazionale (ACN) prevede il raggiungimento di 82 misure, utili per tutelare settori specifici come quello finanziario, sanitario ed energetico.