Il panorama della sicurezza informatica in Italia sta attraversando una fase di trasformazione con l’introduzione di nuove normative che mirano a rafforzare la protezione delle infrastrutture critiche e delle pubbliche amministrazioni contro le crescenti minacce cibernetiche.
Il Presidente della Repubblica ha infatti definitivamente promulgato la legge NR 90 DEL 28 giugno 2024, pubblicata in GAZZETTA UFFICIALE n.153 del 02-07-2024, che entrerà in vigore il prossimo 17 Luglio 2024, relativa appunto alle disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici.
Questa legge introduce una serie di articoli che definiscono nuove responsabilità, obblighi e strutture per migliorare la resilienza e la reattività del paese in materia di cybersicurezza.
Di seguito proponiamo una guida alle nuove disposizioni sulla cybersicurezza, con una panoramica dei punti chiave della legge al fine di rendere noti i provvedimenti in materia di digitalizzazione delle Pubbliche Amministrazioni, saranno ulteriormente sviluppati ed approfonditi nei successivi articoli del nostro blog.
Viene introdotto l’obbligo di notifica per gli incidenti informatici significativi. Infatti, la legge stabilisce all’ARTICOLO 1 che i soggetti pubblici e privati operanti in settori critici devono notificare senza ritardo e comunque entro 24 ore qualsiasi incidente informatico significativo. La notifica completa deve essere inviata entro 72 ore. Questo obbligo mira a garantire una risposta tempestiva e coordinata agli incidenti, riducendo l’impatto delle minacce cibernetiche.
Viene richiesto un intervento tempestivo in caso di incidente informatico.
I soggetti interessati devono adottare senza ritardo e comunque entro 15 giorni le misure risolutive indicate dall’Agenzia per la Cybersicurezza Nazionale (ACN) in caso di vulnerabilità specifiche, come indicato all’ARTICOLO 2 della Legge. La mancata o ritardata adozione delle misure può comportare sanzioni, salvo giustificate esigenze tecnico-organizzative comunicate tempestivamente all’ACN.
La legge introduce oltre agli obblighi anche sanzioni in caso di mancato adempimento.
Le modifiche apportate a questo decreto-legge includono l’obbligo di notificare gli incidenti entro 24 ore e di effettuare la notifica completa entro 72 ore. Inoltre, nell’ARTICOLO 3 si dispone che in caso di reiterata inosservanza degli obblighi di notifica, è prevista una sanzione amministrativa pecuniaria da 25.000 a 125.000 euro.
L’ARTICOLO 4 della legge stabilisce che l’ACN provvede alla raccolta, elaborazione e classificazione dei dati relativi agli incidenti informatici notificati. Questi dati saranno resi pubblici nella relazione annuale prevista dalla legge, fornendo un quadro ufficiale degli attacchi informatici subiti dai soggetti operanti nei settori rilevanti per la sicurezza nazionale.
Viene richiesto alle pubbliche amministrazioni, come dettato all’ARTICOLO 8, di individuare una struttura interna dedicata alla sicurezza delle informazioni.
I compiti principali di questa struttura includono:
La legge impone un referente per la cybersicurezza che deve essere designato all’interno di questa struttura, fungendo da punto di contatto unico con l’ACN e coordinando le attività di cybersicurezza.
Queste nuove disposizioni rappresentano un avanzamento significativo verso una maggiore sicurezza informatica in Italia. La nuova normativa, infatti, enfatizza l’importanza della tempestività nella risposta agli incidenti, la collaborazione tra le varie entità e l’adozione di misure preventive e reattive per mitigare le minacce cibernetiche.
Nel nostro blog seguiranno approfondimenti settimanali che esploreranno dettagliatamente ciascuno di questi punti chiave. Forniremo linee guida pratiche e approfondimenti per aiutare le organizzazioni a conformarsi alle nuove normative e a proteggere efficacemente le loro risorse digitali.
La nostra azienda, con comprovate competenze e precedenti incarichi presso le pubbliche amministrazioni, è pronta a offrire consulenza specializzata per supportare le PA nel percorso di adeguamento e rafforzamento della loro sicurezza informatica.
Per scoprire come possiamo aiutare a migliorare la resilienza delle PA contro le minacce cibernetiche siamo a disposizione, ecco i nostri contatti:
E-MAIL info@bismatica.it | TEL. 097285664 | www.bismatica.it/contatti