Pubblicata in Gazzetta Ufficiale la l. 28 giugno 2024, numero 90, nota come “Legge sulla Cybersicurezza”. Tale normativa introduce un quadro organico e dettagliato di misure destinate a rafforzare la sicurezza informatica su tutto il territorio nazionale. La legge ha l’obiettivo di disciplinare vari aspetti della cybersicurezza, dalla governance agli obblighi di notifica degli incidenti, dai requisiti per i contratti pubblici alle preclusioni per l’assunzione di alcune tipologie di professionisti.
Un'introduzione alla legge sulla cybersicurezza La Legge sulla Cybersicurezza ha come obiettivo l'introduzione e armonizzazione di un ventaglio ampio e variegato di temi legati al mondo della cybersecurity dalla governance agli obblighi di notifica degli incidenti, dai requisiti di cybersicurezza nei contratti pubblici alle preclusioni per l'assunzione di alcune tipologie di professionalità provenienti dal mondo della cybersecurity pubblica e della sicurezza nazionale, fino alla normativa 231. Al fine di fornire una panoramica completa della normativa in questione, in riferimento alla novella sui reati informatici, la stessa introduce i seguenti aspetti sanzioni ridotte per chi collabora con la giustizia, anche se è un recidivo le pene per i crimini informatici sono rese più rigide, con l'introduzione di nuove forme di estorsione e truffa cyber la diminuzione delle pene per i crimini informatici di minore entità misure per garantire la sicurezza negli accessi alle banche dati nei tribunali durante le ispezioni del Ministro della Giustizia chi collabora con la giustizia riceverà attenuanti speciali l'aumento delle pene e delle circostanze aggravanti per i crimini informatici. Ambito di applicazione della norma La l. 90/2024 si caratterizza per un ambito di applicazione molto ampio da alcune tipologie di pubbliche amministrazioni individuate puntualmente dalla norma, fino ai soggetti ricompresi nel Perimetro di Sicurezza Nazionale Cibernetica e a quelli sottoposti al dettato della Direttiva NIS e in futuro della Direttiva NIS2 , passando per gli organi dello Stato considerati ormai come centrali nel settore della cybersicurezza i.e., il Comitato Interministeriale per la Sicurezza della Repubblica CISR , gli Organismi di Informazione per la Sicurezza, l'Agenzia per la Cybersicurezza Nazionale ACN e il suo Nucleo per la Cybersicurezza . Partendo dal mondo della pubblica amministrazione, occorre preliminarmente evidenziare come gli attori pubblici che dovranno applicare quanto previsto dal legislatore siano esclusivamente le pubbliche amministrazioni centrali incluse nell'elenco annuale ISTAT delle pubbliche amministrazioni previsto dall'articolo 1, comma 3, della legge di contabilità e finanza pubblica legge numero 196 del 2009 le regioni e le province autonome di Trento e di Bolzano le città metropolitane e quindi, Torino, Milano, Venezia, Genova, Bologna, Firenze, Bari, Napoli, Reggio Calabria, a cui si deve aggiungere Roma Capitale e, per le regioni a statuto speciale, Cagliari, Sassari, Catania, Messina e Palermo, oltre all'ente della città metropolitana del Friuli-Venezia Giulia i comuni con popolazione superiore a 100.000 abitanti i comuni capoluoghi di regione le società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti le società di trasporto pubblico extraurbano operanti nell'ambito delle città metropolitane le aziende sanitarie locali le società in house degli enti fin qui richiamati, qualora siano fornitrici di servizi informatici, dei servizi di trasporto sopra indicati, dei servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali, ovvero servizi di gestione dei rifiuti. Di seguito verranno descritti gli adempimenti previsti dalla nuova Legge sulla Cybersicurezza relativamente alle pubbliche amministrazioni e ai soggetti privati. Gli adempimenti richiesti ai soggetti in perimetro Ai predetti soggetti il legislatore chiede, anzitutto, di rafforzare la resilienza in materia di cybersicurezza. Tale obiettivo deve essere raggiunto – almeno per il momento – attraverso 4 adempimenti, ovvero 1. dotarsi, ove non sia già presente, di una struttura per la cybersicurezza, anche fra quelle già esistenti, nell'ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente. Tale struttura, che può essere individuata anche in quella dell'ufficio del responsabile per la transizione al digitale, deve provvedere a a. lo sviluppo di politiche e procedure di sicurezza delle informazioni b. la produzione e l'aggiornamento di un piano per il rischio informatico, nonché di sistemi di analisi preventiva di rilevamento del rischio informatico c. la produzione e l'aggiornamento di un documento che definisca i ruoli e l'organizzazione del sistema per la sicurezza delle informazioni dell'amministrazione d. la pianificazione e l'attuazione di interventi di potenziamento delle capacità per la gestione dei rischi informatici, a partire dalla produzione dei piani precedentemente elencati e. la pianificazione e l'attuazione dell'adozione delle misure previste dalle linee guida per la cybersicurezza emanate dall'Agenzia per la Cybersicurezza Nazionale f. il monitoraggio e la valutazione continua delle minacce alla sicurezza e alla vulnerabilità dei sistemi per il loro pronto aggiornamento di sicurezza. Tale struttura, inoltre, ha anche il preciso obbligo di verificare che i programmi e le applicazioni informatiche e di comunicazione elettronica in uso presso la pubblica amministrazione, che impieghino soluzioni crittografiche, rispettino le linee guida sulla crittografia e quelle sulla conservazione delle password adottate dall'Agenzia per la Cybersicurezza Nazionale e dall'Autorità Garante per la Protezione dei Dati Personali. Per di più, al fine di non rendere disponibili e intellegibili a terzi i dati cifrati, la struttura per la cybersicurezza ha anche il compito di verificare che le applicazioni e i programmi poc'anzi menzionati non presentino vulnerabilità note. 2. Istituire la figura del referente per la cybersicurezza, il quale deve essere individuato in ragione delle sue specifiche professionalità e competenze possedute nella materia della cybersicurezza. Tale soggetto, il cui nominativo deve essere obbligatoriamente comunicato all'Agenzia per la Cybersicurezza Nazionale, svolge anzitutto la funzione di punto di contatto unico dell'amministrazione con tale autorità in merito a quanto previsto dalla legge e dalle normative settoriali in materia di cybersicurezza. Tuttavia, il legislatore, al fine di “semplificare” questo adempimento, precisa che a. tale soggetto può essere individuato anche nella figura del responsabile per la transizione al digitale b. qualora la pubblica amministrazione non abbia al proprio interno un dipendente con tali requisiti, essa può incaricare il dipendente di un'altra pubblica amministrazione, previa autorizzazione da parte della pubblica amministrazione di appartenenza e nell'ambito delle risorse disponibili a legislazione vigente senza determinare nuovi o maggiori oneri per la finanza pubblica. Infine, si evidenzia come anche i compiti del referente per la cybersicurezza possano essere esercitati in forma associata, così come previsto dall'articolo 17, commi 1-sexies e 1-septies, del decreto legislativo numero 82 del 2005. 3. Segnalare gli incidenti indicati nella tassonomia di cui all'articolo 1, comma 3-bis, del decreto-legge numero 105 del 2019, così come convertito con modificazioni dalla legge numero 133 del 2019 il “Decreto Perimetro” . Tale disposizione richiama, in particolare, la tassonomia contenuta nella Determina del Direttore generale dell'Agenzia per la Cybersicurezza Nazionale del 3 gennaio 2023. In particolare, il legislatore italiano prevede che le pubbliche amministrazioni poc'anzi richiamate debbano notificare tali incidenti utilizzando le procedure disponibili sul sito internet dell'Agenzia per la Cybersicurezza Nazionale e osservando i seguenti termini a. massimo 24 ore, calcolate dal momento in cui la pubblica amministrazione sia venuta a conoscenza dell'incidente, per svolgere una prima segnalazione b. massimo 72 ore, calcolate dal momento in cui la pubblica amministrazione sia venuta a conoscenza dell'incidente, per svolgere la notifica completa, comunicando tutti gli elementi informativi disponibili. Peraltro, i suddetti obblighi di notifica si applicheranno immediatamente e, quindi, a decorrere dalla data di entrata in vigore della Legge sulla Cybersicurezza per le pubbliche amministrazioni centrali incluse nell'elenco annuale ISTAT delle pubbliche amministrazioni previsto dall'articolo 1, comma 3, della legge di contabilità e finanza pubblica legge numero 196 del 2009 le regioni e province autonome di Trento e di Bolzano le città metropolitane quindi, Torino, Milano, Venezia, Genova, Bologna, Firenze, Bari, Napoli, Reggio Calabria, a cui si deve aggiungere Roma Capitale e, per le regioni a statuto speciale, Cagliari, Sassari, Catania, Messina e Palermo, oltre all'ente della città metropolitana del Friuli-Venezia Giulia . Mentre, i medesimi obblighi di notifica si applicheranno dal 180º giorno dalla data di entrata in vigore della Legge sulla Cybersicurezza per i comuni con popolazione superiore a 100.000 abitanti i comuni capoluoghi di regione le società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti le società di trasporto pubblico extraurbano operanti nell'ambito delle città metropolitane le aziende sanitarie locali le società in house degli enti fin qui richiamati, qualora siano fornitrici di servizi informatici, dei servizi di trasporto sopra indicati, dei servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali, ovvero servizi di gestione dei rifiuti. In caso di inosservanza di tale obbligo, l'Agenzia per la Cybersicurezza Nazionale invierà una comunicazione all'operatore, avvisando che il reiterato inadempimento nell'arco di 5 anni comporterà l'applicazione della sanzione amministrativa pecuniaria da un minimo di 25.000euro a un massimo di 125.000 euro. Tale violazione, inoltre, può anche costituire causa di responsabilità disciplinare e amministrativo-contabile nei confronti dei funzionari e dei dirigenti responsabili. Anche in questo caso, si può fin da ora sottolineare come le modalità e i tempi di notifica di tali incidenti abbiano come scopo “secondario”, in realtà, quello di allineare i soggetti coinvolti dalla novella della Legge sulla Cybersicurezza ad alcune delle previsioni normative che – molto presto – saranno previste all'interno del decreto legislativo di recepimento a livello nazionale della Direttiva NIS2. 4. Provvedere tempestivamente all'adozione degli interventi risolutivi indicati dall'Agenzia per la Cybersicurezza Nazionale, nel caso in cui essa segnali specifiche vulnerabilità cui le pubbliche amministrazioni interessate dalla legge in commento risultino potenzialmente esposte. I destinatari di tali segnalazioni devono provvedere senza ritardo – e comunque non oltre 15 giorni dalla ricezione della comunicazione – all'adozione di tali interventi. In caso di mancata o ritardata adozione, anche in questo caso l'Agenzia per la Cybersicurezza Nazionale invierà una comunicazione alla pubblica amministrazione inadempiente, avvisandola che la reiterazione di tale omissione nell'arco di 5 anni comporterà l'applicazione della sanzione amministrativa pecuniaria da un minimo di 25.000euro a un massimo di 125.000 euro. Tuttavia, specifica il legislatore, la sanzione può non essere applicata nel caso in cui vengano tempestivamente comunicate all'Agenzia per la Cybersicurezza Nazionale le motivate esigenze di natura tecnico-organizzativa che impediscano l'adozione degli interventi risolutivi indicati o ne comportino il differimento oltre il termine di 15 giorni. Gli obblighi della normativa rivolti alle aziende private Anche le aziende private sono soggette a una serie di obblighi previsti dalla normativa in oggetto. Questi comprendono Implementazione di misure di sicurezza le aziende devono adottare misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio. Questo include la protezione dei dati personali e delle informazioni aziendali critiche. Le misure devono essere proporzionate alla natura dei dati trattati e alle minacce potenziali. Formazione e consapevolezza le aziende devono investire nella formazione del proprio personale in materia di sicurezza informatica. La consapevolezza dei rischi cibernetici e la capacità di affrontarli sono elementi fondamentali per prevenire incidenti di sicurezza. I programmi di formazione devono essere periodici e aggiornati in base alle nuove minacce e tecnologie. Valutazione e gestione del rischio le aziende devono effettuare regolarmente valutazioni del rischio per identificare e mitigare le vulnerabilità nelle loro infrastrutture IT. Tale processo include l'analisi delle minacce, la valutazione delle vulnerabilità e l'implementazione di misure di mitigazione. Le valutazioni devono essere documentate e riesaminate periodicamente. Conformità alle normative le aziende devono garantire la conformità alle normative vigenti, inclusa la nuova Legge sulla Cybersicurezza, per evitare sanzioni e responsabilità legali. Questo implica l'adozione di politiche e procedure che assicurino il rispetto delle disposizioni legislative e la capacità di dimostrare la conformità in caso di audit o ispezioni. Conclusioni La l. 28 giugno 2024, numero 90 rappresenta un'importante evoluzione nella normativa italiana sulla cybersicurezza, imponendo un quadro di adempimenti che richiede una pronta attuazione da parte di aziende e PA. Le misure introdotte hanno l'obiettivo di rafforzare la resilienza del nostro paese di fronte alle minacce cibernetiche sempre più sofisticate e frequenti. Per le pubbliche amministrazioni, l'implementazione di tali obblighi rappresenta altresì una responsabilità verso i cittadini e la sicurezza nazionale. Le aziende, dal canto loro, devono vedere i predetti adempimenti come un'opportunità per migliorare la propria sicurezza e proteggere le proprie risorse critiche. L'adeguamento alla nuova normativa richiederà investimenti in tecnologia, formazione e processi, ma rappresenta un passo necessario per costruire un ecosistema digitale sicuro e affidabile. La collaborazione tra il settore pubblico e quello privato sarà essenziale per affrontare le sfide poste dalla cybersicurezza in modo efficace e coordinato. In definitiva, la nuova legge sulla cybersicurezza stabilisce un nuovo standard di protezione che, se implementato in modo adeguato, contribuirà a rafforzare la fiducia nelle infrastrutture digitali del nostro paese e a garantire una difesa robusta contro le minacce cibernetiche future.