La legge n. 90 del 28/06/2024, recentemente promulgata, introduce una serie di disposizioni significative volte a migliorare la sicurezza informatica nelle pubbliche amministrazioni e in altri enti rilevanti. Questo articolo si propone di analizzare nel dettaglio le disposizioni contenute nell’Articolo 1 della legge, fornendo un quadro chiaro degli obblighi di notifica di incidenti di sicurezza informatica che tali enti devono rispettare.
L’Articolo 1 della legge n. 90 del 28/06/2024 si applica a una vasta gamma di soggetti, tra cui:
– Pubbliche amministrazioni centrali
– Regioni e province autonome di Trento e Bolzano
– Città metropolitane, comuni con popolazione superiore a 100.000 abitanti e comuni capoluoghi di regione
– Società di trasporto pubblico urbano ed extraurbano con bacino di utenza non inferiore a 100.000 abitanti
– Aziende sanitarie locali
– Società in house che forniscono servizi informatici e servizi di trasporto, raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali, e gestione dei rifiuti
Questi soggetti devono adottare misure rigorose per garantire la Sicurezza dei Dati e la continuità operativa, in conformità con le nuove disposizioni di legge.
L’Articolo 1 stabilisce obblighi chiari e stringenti per la segnalazione e la notifica di incidenti di sicurezza informatica:
Secondo l’articolo 1 della nuova legge, gli incidenti di sicurezza devono essere segnalati senza ritardo e comunque entro ventiquattro ore dalla loro scoperta. Questa misura è fondamentale per diversi motivi:
Segnalare immediatamente un incidente permette alle autorità competenti e agli specialisti di sicurezza di identificare rapidamente la natura e l’entità della minaccia. Questo tempismo è essenziale per contenere e mitigare i danni, prevenendo la diffusione dell’attacco e proteggendo i dati sensibili.
La tempestiva segnalazione degli incidenti favorisce la Trasparenza Digitale, assicurando che tutte le parti interessate siano informate in modo adeguato e tempestivo. Questo approccio non solo costruisce fiducia tra le istituzioni e il pubblico, ma garantisce anche che le misure di risposta siano coordinate in modo efficace.
La raccolta tempestiva delle informazioni sugli incidenti consente una migliore analisi delle vulnerabilità e delle minacce emergenti. Condividere queste informazioni tra le varie entità coinvolte aiuta a migliorare le strategie di difesa e a rafforzare la Sicurezza dei Dati a livello nazionale.
L’articolo 1 della nuova legge impone che la notifica completa degli incidenti di sicurezza sia effettuata entro settantadue ore dalla loro scoperta. Ecco perché questa disposizione è essenziale:
Notificare un incidente entro settantadue ore consente una rapida valutazione della sua gravità e delle sue implicazioni. Questo intervallo di tempo permette agli esperti di raccogliere tutte le informazioni necessarie per comprendere l’incidente in modo completo e dettagliato.
Una notifica tempestiva facilita una risposta immediata e coordinata tra tutte le entità coinvolte, inclusi i team di sicurezza interni e le agenzie di cybersecurity nazionali. La cooperazione tra diversi attori è fondamentale per contenere e mitigare l’impatto dell’incidente, proteggendo così i dati sensibili e le infrastrutture critiche.
La legge impone che tutte le segnalazioni e notifiche di incidenti di sicurezza siano effettuate utilizzando le procedure disponibili sul sito dell’Agenzia per la Cybersicurezza Nazionale.
Questa disposizione offre diversi vantaggi chiave:
Utilizzare un’unica piattaforma per la notifica degli incidenti garantisce che il processo sia uniforme per tutte le pubbliche amministrazioni. Questa standardizzazione facilita la raccolta di dati comparabili e accurati, migliorando l’efficacia della risposta agli incidenti.
Le procedure stabilite dall’Agenzia assicurano che tutte le informazioni rilevanti siano comunicate in modo coerente e strutturato. Questo include dettagli sull’incidente, l’entità del danno, le misure di mitigazione intraprese e altri dati cruciali. Una comunicazione coerente è essenziale per una rapida comprensione e gestione delle minacce.
Un processo di notifica standardizzato e centralizzato supporta la TrasparenzaDigitale. Le amministrazioni pubbliche possono dimostrare la loro aderenza a protocolli rigorosi e trasparenti, rafforzando la fiducia del pubblico e degli stakeholder nella gestione della sicurezza informatica.
La centralizzazione delle notifiche tramite l’Agenzia per la Cybersicurezza Nazionale facilita la coordinazione tra diverse entità governative e agenzie di sicurezza. Questo coordinamento è cruciale per una risposta tempestiva e concertata agli incidenti di sicurezza informatica.
La raccolta centralizzata delle notifiche permette di identificare rapidamente pattern e tendenze nei tentativi di attacco, migliorando la Sicurezza dei Dati complessiva. Le informazioni raccolte possono essere utilizzate per aggiornare le pratiche di sicurezza e prevenire futuri incidenti.
La digitalizzazione delle procedure di notifica contribuisce all’efficienza amministrativa. Le amministrazioni possono beneficiare di un processo più snello e meno soggetto a errori manuali, migliorando la tempestività e l’accuratezza delle loro risposte.
Per garantire un adeguato periodo di transizione, l’Articolo 1 prevede che per alcuni soggetti, come i comuni con popolazione superiore a 100.000 abitanti e le società di trasporto pubblico, gli obblighi si applichino a partire dal centottantesimo giorno successivo all’entrata in vigore della legge. Questo approccio graduale permette agli enti di adeguare le proprie infrastrutture e procedure in maniera ordinata, migliorando dell’ Efficienza Amministrativa.
La legge prevede sanzioni pecuniarie per la mancata osservanza degli obblighi di notifica. Le sanzioni variano da 25.000 a 125.000 euro, a seconda della gravità della violazione. Questo rafforza l’importanza della conformità normativa e della Digitalizzazione dei processi di sicurezza.
In conclusione nell’Articolo 1 della legge n. 90 del 28/06/2024 rappresenta un passo cruciale verso il rafforzamento della sicurezza informatica nelle pubbliche amministrazioni e in altri enti rilevanti. L’adozione di queste misure non solo migliora la capacità di risposta agli incidenti, ma promuove anche una cultura di Sicurezza dei Dati e di Trasparenza Digitale.
Per garantire la conformità alla nuova legge e proteggere i sistemi da vulnerabilità critiche, la nostra azienda, esperta in Consulenza per le PA, offre soluzioni di sicurezza informatica personalizzate per aiutare i soggetti coinvolti dalla nuova normativa a rispettare gli obblighi di legge e a rafforzare la resilienza cibernetica.
info@bismatica.it | TEL. 097285664 | www.bismatica.it/contatti