NUOVI OBBLIGHI DI NOTIFICA DI INCIDENTI NELLE PUBBLICHE AMMINISTRAZIONI

 

Analisi Dell’articolo 1 Della Legge N. 90 Del 28/06/2024

La legge n. 90 del 28/06/2024, recentemente promulgata, introduce una serie di disposizioni significative volte a migliorare la sicurezza informatica nelle pubbliche amministrazioni e in altri enti rilevanti. Questo articolo si propone di analizzare nel dettaglio le disposizioni contenute nell’Articolo 1 della legge, fornendo un quadro chiaro degli obblighi di notifica di incidenti di sicurezza informatica che tali enti devono rispettare.

Soggetti Coinvolti

L’Articolo 1 della legge n. 90 del 28/06/2024 si applica a una vasta gamma di soggetti, tra cui:

 Pubbliche amministrazioni centrali

–  Regioni e province autonome di Trento e Bolzano

–  Città metropolitane, comuni con popolazione superiore a 100.000 abitanti e comuni capoluoghi di regione

–  Società di trasporto pubblico urbano ed extraurbano con bacino di utenza non inferiore a 100.000 abitanti

–  Aziende sanitarie locali

–  Società in house che forniscono servizi informatici e servizi di trasporto, raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali, e gestione dei rifiuti

Questi soggetti devono adottare misure rigorose per garantire la Sicurezza dei Dati e la continuità operativa, in conformità con le nuove disposizioni di legge.

Obblighi di Notifica di Incidenti

L’Articolo 1 stabilisce obblighi chiari e stringenti per la segnalazione e la notifica di incidenti di sicurezza informatica:

1. Segnalazione di Incidenti :

Secondo l’articolo 1 della nuova legge, gli incidenti di sicurezza devono essere segnalati senza ritardo e comunque entro ventiquattro ore dalla loro scoperta. Questa misura è fondamentale per diversi motivi:

  • Rapida Identificazione delle Minacce:

Segnalare immediatamente un incidente permette alle autorità competenti e agli specialisti di sicurezza di identificare rapidamente la natura e l’entità della minaccia. Questo tempismo è essenziale per contenere e mitigare i danni, prevenendo la diffusione dell’attacco e proteggendo i dati sensibili.

  • Trasparenza Digitale:

La tempestiva segnalazione degli incidenti favorisce la Trasparenza Digitale, assicurando che tutte le parti interessate siano informate in modo adeguato e tempestivo. Questo approccio non solo costruisce fiducia tra le istituzioni e il pubblico, ma garantisce anche che le misure di risposta siano coordinate in modo efficace.

  • Miglioramento della Sicurezza Complessiva:

La raccolta tempestiva delle informazioni sugli incidenti consente una migliore analisi delle vulnerabilità e delle minacce emergenti. Condividere queste informazioni tra le varie entità coinvolte aiuta a migliorare le strategie di difesa e a rafforzare la  Sicurezza dei Dati a livello nazionale.

2. Notifica Completa degli Incidenti:

L’articolo 1 della nuova legge impone che la notifica completa degli incidenti di sicurezza sia effettuata entro settantadue ore dalla loro scoperta. Ecco perché questa disposizione è essenziale:

  • Valutazione Tempestiva e Approfondita:

Notificare un incidente entro settantadue ore consente una rapida valutazione della sua gravità e delle sue implicazioni. Questo intervallo di tempo permette agli esperti di raccogliere tutte le informazioni necessarie per comprendere l’incidente in modo completo e dettagliato.

  • Risposta Efficace e Coordinata:

Una notifica tempestiva facilita una risposta immediata e coordinata tra tutte le entità coinvolte, inclusi i team di sicurezza interni e le agenzie di cybersecurity nazionali. La cooperazione tra diversi attori è fondamentale per contenere e mitigare l’impatto dell’incidente, proteggendo così i dati sensibili e le infrastrutture critiche.

3. Procedure di Notifica:

La legge impone che tutte le segnalazioni e notifiche di incidenti di sicurezza siano effettuate utilizzando le procedure disponibili sul sito dell’Agenzia per la Cybersicurezza Nazionale.

Questa disposizione offre diversi vantaggi chiave:

  • Standardizzazione del Processo:

Utilizzare un’unica piattaforma per la notifica degli incidenti garantisce che il processo sia uniforme per tutte le pubbliche amministrazioni. Questa standardizzazione facilita la raccolta di dati comparabili e accurati, migliorando l’efficacia della risposta agli incidenti.

  • Coerenza delle Informazioni:

Le procedure stabilite dall’Agenzia assicurano che tutte le informazioni rilevanti siano comunicate in modo coerente e strutturato. Questo include dettagli sull’incidente, l’entità del danno, le misure di mitigazione intraprese e altri dati cruciali. Una comunicazione coerente è essenziale per una rapida comprensione e gestione delle minacce.

  • Efficienza nella  TrasparenzaDigitale:

Un processo di notifica standardizzato e centralizzato supporta la  TrasparenzaDigitale. Le amministrazioni pubbliche possono dimostrare la loro aderenza a protocolli rigorosi e trasparenti, rafforzando la fiducia del pubblico e degli stakeholder nella gestione della sicurezza informatica.

  • Facilitazione della Coordinazione:

La centralizzazione delle notifiche tramite l’Agenzia per la Cybersicurezza Nazionale facilita la coordinazione tra diverse entità governative e agenzie di sicurezza. Questo coordinamento è cruciale per una risposta tempestiva e concertata agli incidenti di sicurezza informatica.

  • Miglioramento della Sicurezza dei Dati:

La raccolta centralizzata delle notifiche permette di identificare rapidamente pattern e tendenze nei tentativi di attacco, migliorando la Sicurezza dei Dati complessiva. Le informazioni raccolte possono essere utilizzate per aggiornare le pratiche di sicurezza e prevenire futuri incidenti.

  • Supporto alla Digitalizzazione e  Efficienza Amministrativa:

La digitalizzazione delle procedure di notifica contribuisce all’efficienza amministrativa. Le amministrazioni possono beneficiare di un processo più snello e meno soggetto a errori manuali, migliorando la tempestività e l’accuratezza delle loro risposte.

Applicazione Progressiva

 

Per garantire un adeguato periodo di transizione, l’Articolo 1 prevede che per alcuni soggetti, come i comuni con popolazione superiore a 100.000 abitanti e le società di trasporto pubblico, gli obblighi si applichino a partire dal centottantesimo giorno successivo all’entrata in vigore della legge. Questo approccio graduale permette agli enti di adeguare le proprie infrastrutture e procedure in maniera ordinata, migliorando dell’ Efficienza Amministrativa.

Sanzioni

 

La legge prevede sanzioni pecuniarie per la mancata osservanza degli obblighi di notifica. Le sanzioni variano da 25.000 a 125.000 euro, a seconda della gravità della violazione. Questo rafforza l’importanza della conformità normativa e della Digitalizzazione dei processi di sicurezza.

 

 

 In conclusione nell’Articolo 1 della legge n. 90 del 28/06/2024 rappresenta un passo cruciale verso il rafforzamento della sicurezza informatica nelle pubbliche amministrazioni e in altri enti rilevanti. L’adozione di queste misure non solo migliora la capacità di risposta agli incidenti, ma promuove anche una cultura di Sicurezza dei Dati e di  Trasparenza Digitale.

Per garantire la conformità alla nuova legge e proteggere i sistemi da vulnerabilità critiche, la nostra azienda, esperta in  Consulenza per le PA, offre soluzioni di sicurezza informatica personalizzate per aiutare i soggetti coinvolti dalla nuova normativa a rispettare gli obblighi di legge e a rafforzare la resilienza cibernetica.

                                                    info@bismatica.it | TEL. 097285664 | www.bismatica.it/contatti

Obbligo di notifica di incidenti