DIGITALIZZAZIONE DELLA PUBBLICA AMMINISTRAZIONE

 

Guida alle Nuove Disposizioni sulla Cybersicurezza: 

LA NUOVA LEGGE NR 90 DEL 28 giugno 2024

Il panorama della sicurezza informatica in Italia sta attraversando una fase di trasformazione con l’introduzione di nuove normative che mirano a rafforzare la protezione delle infrastrutture critiche e delle pubbliche amministrazioni contro le crescenti minacce cibernetiche.

Il Presidente della Repubblica ha infatti definitivamente promulgato la legge NR 90 DEL 28 giugno 2024, pubblicata in GAZZETTA UFFICIALE n.153 del 02-07-2024, che entrerà in vigore il prossimo 17 Luglio 2024, relativa appunto alle disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici.

Questa legge introduce una serie di articoli che definiscono nuove responsabilità, obblighi e strutture per migliorare la resilienza e la reattività del paese in materia di cybersicurezza.

Di seguito proponiamo una guida alle nuove disposizioni sulla cybersicurezza, con una panoramica dei punti chiave della legge al fine di rendere noti i provvedimenti in materia di digitalizzazione delle Pubbliche Amministrazioni, saranno ulteriormente sviluppati ed approfonditi nei successivi articoli del nostro blog.

  • Obblighi di Notifica degli Incidenti

Viene introdotto l’obbligo di notifica per gli incidenti informatici significativi. Infatti, la legge stabilisce all’ARTICOLO 1 che i soggetti pubblici e privati operanti in settori critici devono notificare senza ritardo e  comunque entro 24 ore qualsiasi incidente informatico significativo. La notifica completa deve essere inviata entro 72 ore. Questo obbligo mira a garantire una risposta tempestiva e coordinata agli incidenti, riducendo l’impatto delle minacce cibernetiche.

  • Adeguamento alle Segnalazioni dell’Agenzia per la Cybersicurezza Nazionale

Viene richiesto un intervento tempestivo in caso di incidente informatico.

I soggetti interessati devono adottare senza ritardo e comunque entro 15 giorni le misure risolutive indicate dall’Agenzia per la Cybersicurezza Nazionale (ACN) in caso di vulnerabilità specifiche, come indicato all’ARTICOLO 2 della Legge. La mancata o ritardata adozione delle misure può comportare sanzioni, salvo giustificate esigenze tecnico-organizzative comunicate tempestivamente all’ACN.

  • Raccordo con il Decreto-Legge 21 Settembre 2019, n. 105

La legge introduce oltre agli obblighi anche sanzioni in caso di mancato adempimento.

Le modifiche apportate a questo decreto-legge includono l’obbligo di notificare gli incidenti entro 24 ore e di effettuare la notifica completa entro 72 ore. Inoltre, nell’ARTICOLO 3 si dispone che in caso di reiterata inosservanza degli obblighi di notifica, è prevista una sanzione amministrativa pecuniaria da 25.000 a 125.000 euro.

  • Gestione dei Dati Relativi agli Incidenti Informatici

L’ARTICOLO 4 della legge stabilisce che l’ACN provvede alla raccolta, elaborazione e classificazione dei dati relativi agli incidenti informatici notificati. Questi dati saranno resi pubblici nella relazione annuale prevista dalla legge, fornendo un quadro ufficiale degli attacchi informatici subiti dai soggetti operanti nei settori rilevanti per la sicurezza nazionale.

Rafforzamento della Resilienza delle Pubbliche Amministrazioni

Viene richiesto alle pubbliche amministrazioni, come dettato all’ARTICOLO 8, di individuare una struttura interna dedicata alla sicurezza delle informazioni.

I compiti principali di questa struttura includono:

  1. Sviluppo di Politiche di Sicurezza: Creare e aggiornare politiche e procedure di sicurezza delle informazioni.
  2. Analisi e Gestione del Rischio: Sviluppare sistemi di analisi preventiva e piani di gestione del rischio informatico.
  3. Documentazione dei Ruoli: Definire chiaramente i ruoli e l’organizzazione del sistema di sicurezza.
  4. Piano Programmatico di Sicurezza: Mantenere un piano per la sicurezza di dati, sistemi e infrastrutture.
  5. Potenziamento delle Capacità di Gestione del Rischio: Implementare interventi per migliorare la gestione dei rischi informatici.
  6. Adozione delle Misure di Cybersicurezza: Seguire le linee guida dell’ACN.
  7. Monitoraggio Continuo: Valutare costantemente le minacce e le vulnerabilità.

La legge impone un referente per la cybersicurezza che deve essere designato all’interno di questa struttura, fungendo da punto di contatto unico con l’ACN e coordinando le attività di cybersicurezza.

Queste nuove disposizioni rappresentano un avanzamento significativo verso una maggiore sicurezza informatica in Italia. La nuova normativa, infatti, enfatizza l’importanza della tempestività nella risposta agli incidenti, la collaborazione tra le varie entità e l’adozione di misure preventive e reattive per mitigare le minacce cibernetiche.

Nel nostro blog seguiranno approfondimenti settimanali che esploreranno dettagliatamente ciascuno di questi punti chiave. Forniremo linee guida pratiche e approfondimenti per aiutare le organizzazioni a conformarsi alle nuove normative e a proteggere efficacemente le loro risorse digitali.

La nostra azienda, con comprovate competenze e precedenti incarichi presso le pubbliche amministrazioni, è pronta a offrire consulenza specializzata per supportare le PA nel percorso di adeguamento e rafforzamento della loro sicurezza informatica.

Per scoprire come possiamo aiutare a migliorare la resilienza delle PA contro le minacce cibernetiche siamo a disposizione, ecco i nostri contatti:

E-MAIL info@bismatica.it | TEL. 097285664 | www.bismatica.it/contatti

digitalizzazione pubblica amministazione