Pubblicata la legge sulla Cybersecurity: la Pubblica Amministrazione al centro della strategia di difesa

È stata pubblicata sulla Gazzetta Ufficiale la Legge n. 90 del 28 giugno 2024, conosciuta anche come “Legge sulla Cybersecurity”. Un provvedimento importante che introduce numerose misure per la tutela della sicurezza informatica in Italia.

La Legge si applica a un’ampia gamma di soggetti, tra cui:

• Pubbliche amministrazioni (centrali, locali, sanitarie, università, enti di ricerca);
• Soggetti Perimetro di Sicurezza Nazionale Cibernetica (PSNC);
• Operatori di servizi essenziali e infrastrutture critiche (energia, trasporti, finanza, telecomunicazioni, sanità, acqua);
• Imprese di telecomunicazioni.

Tra i principali obiettivi della Legge:

• rafforzare la governance della cybersecurity a livello nazionale;
• introdurre obblighi di notifica degli incidenti informatici;
• definire requisiti di sicurezza per i contratti pubblici in ambito informatico;
• contrastare la pirateria informatica e i reati online.

La Legge 90/2024 rappresenta un passo avanti significativo per la sicurezza digitale in Italia.

L’introduzione di nuove norme e l’ampliamento del perimetro di applicazione consentiranno di:

• prevenire e contrastare in modo più efficace le minacce informatiche;
• proteggere i dati sensibili dei cittadini e delle imprese;
• garantire la continuità operativa dei servizi essenziali.

In particolare, sono state introdotte molteplici misure che dovranno essere messe in atto dalle Pubbliche Amministrazioni:

• struttura per la cybersecurity: ogni amministrazione deve istituire una struttura per la cybersecurity con compiti di:
  • sviluppo di politiche e procedure di sicurezza delle informazioni;
  • produzione e aggiornamento del piano per il rischio informatico;
  • produzione e aggiornamento del documento sui ruoli e l’organizzazione del sistema per la sicurezza delle informazioni;
  • pianificazione e attuazione di interventi per potenziare le capacità di gestione dei rischi informatici;
  • pianificazione e attuazione delle misure previste dalle linee guida emanate dall’ACN;
  • monitoraggio e valutazione continua delle minacce alla sicurezza e alla vulnerabilità dei sistemi;
• referente per la cybersecurity: ogni amministrazione deve individuare un referente per la cybersecurity con compiti di:
  • punto di contatto con l’ACN;
  • segnalazione degli incidenti di sicurezza;
  • adozione degli interventi risolutivi indicati dall’ACN;
• segnalazione degli incidenti: le pubbliche amministrazioni devono segnalare gli incidenti di sicurezza all’ACN entro 24-72 ore dalla conoscenza;
• adozione degli interventi risolutivi: le pubbliche amministrazioni devono adottare gli interventi risolutivi indicati dall’ACN entro 15 giorni dalla loro segnalazione.