Legge sulla cybersicurezza: obblighi e adempimenti per PA e aziende

Scarica PDF Stampa

Pubblicata martedì 2 luglio in Gazzetta Ufficiale la L. 28 giugno 2024, n. 90, nota come “Legge sulla Cybersicurezza”. Questa nuova normativa introduce un quadro organico e dettagliato di misure destinate a rafforzare la sicurezza informatica su tutto il territorio nazionale. La legge mira a disciplinare vari aspetti della cybersicurezza, dalla governance agli obblighi di notifica degli incidenti, dai requisiti per i contratti pubblici alle preclusioni per l’assunzione di alcune tipologie di professionisti. Vediamo in dettaglio le implicazioni e gli adempimenti previsti per le pubbliche amministrazioni e le aziende.
Per una panoramica su tutte le disposizioni della nuova legge, leggi l’articolo dedicato.

Indice

1. Ambito di applicazione della Legge sulla Cybersicurezza


La Legge sulla Cybersicurezza si caratterizza per un ambito di applicazione molto ampio. Essa si applica a diverse tipologie di soggetti, tra cui:
 
1.   Pubbliche Amministrazioni: individuate puntualmente dalla norma, queste includono una vasta gamma di enti che devono implementare misure di sicurezza cibernetica conformi ai nuovi requisiti.
2.   Soggetti nel perimetro di sicurezza nazionale cibernetica: entità che operano in settori critici per la sicurezza nazionale e che sono pertanto soggette a stringenti obblighi di sicurezza.
3.   Soggetti sottoposti alla Direttiva NIS e NIS2: organizzazioni che devono conformarsi agli standard europei di sicurezza delle reti e dei sistemi informativi.
4.   Organi dello Stato essenziali per la cybersicurezza: tra cui il Comitato Interministeriale per la Sicurezza della Repubblica (CISR), gli Organismi di informazione per la Sicurezza e l’Agenzia per la Cybersicurezza Nazionale (ACN) con il suo Nucleo per la Cybersicurezza.

2. Obblighi per le Pubbliche Amministrazioni


Le pubbliche amministrazioni sono uno dei principali destinatari della nuova normativa. Gli obblighi che ne derivano includono:
 
1.   Obblighi di notifica degli incidenti: le pubbliche amministrazioni devono notificare tempestivamente eventuali incidenti di sicurezza che potrebbero compromettere la sicurezza delle informazioni e delle reti. Questo obbligo mira a garantire una rapida risposta e mitigazione degli effetti negativi di eventuali attacchi cibernetici. La notifica deve includere dettagli sull’incidente, le misure adottate per contenerlo e le azioni intraprese per prevenirne il ripetersi.
2.   Requisiti di cybersicurezza nei contratti pubblici: la legge impone che nei contratti pubblici vengano inseriti specifici requisiti di sicurezza informatica. Questo per assicurare che i fornitori e i partner commerciali delle amministrazioni pubbliche rispettino gli standard di sicurezza richiesti. In particolare, i contratti devono prevedere clausole che obbligano i fornitori a implementare misure di sicurezza adeguate e a notificare eventuali incidenti di sicurezza.
3.   Preclusioni per l’assunzione di professionisti: vengono introdotte preclusioni per l’assunzione di alcune tipologie di professionisti che non rispettano determinati requisiti di cybersicurezza. Questo per garantire che solo personale qualificato e conforme agli standard di sicurezza possa operare all’interno delle amministrazioni pubbliche. Ad esempio, i professionisti devono possedere certificazioni specifiche e dimostrare competenze aggiornate nel campo della sicurezza informatica.
4.   Cybersicurezza pubblica e sicurezza nazionale: la legge estende le disposizioni del Decreto Legislativo 231/2001 ai reati informatici, aumentando le responsabilità degli enti pubblici e delle aziende riguardo alla sicurezza cibernetica. Questo implica l’adozione di modelli di organizzazione, gestione e controllo che includano misure specifiche per prevenire e rilevare reati informatici.

3. Adempimenti per le Aziende


Anche le aziende private sono soggette a una serie di obblighi previsti dalla nuova normativa. Questi includono:
 
1.   Implementazione di misure di sicurezza: le aziende devono adottare misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio. Questo include la protezione dei dati personali e delle informazioni aziendali critiche. Le misure devono essere proporzionate alla natura dei dati trattati e alle minacce potenziali.
2.   Formazione e consapevolezza: le aziende devono investire nella formazione del proprio personale in materia di sicurezza informatica. La consapevolezza dei rischi cibernetici e la capacità di affrontarli sono elementi fondamentali per prevenire incidenti di sicurezza. I programmi di formazione devono essere periodici e aggiornati in base alle nuove minacce e tecnologie.
3.   Valutazione e gestione del rischio: le aziende devono effettuare regolarmente valutazioni del rischio per identificare e mitigare le vulnerabilità nelle loro infrastrutture IT. Questo processo include l’analisi delle minacce, la valutazione delle vulnerabilità e l’implementazione di misure di mitigazione. Le valutazioni devono essere documentate e riesaminate periodicamente.
4.   Conformità alle normative: le aziende devono garantire la conformità alle normative vigenti, inclusa la nuova Legge sulla Cybersicurezza, per evitare sanzioni e responsabilità legali. Questo implica l’adozione di politiche e procedure che assicurino il rispetto delle disposizioni legislative e la capacità di dimostrare la conformità in caso di audit o ispezioni.

5. Conclusioni


La L. 28 giugno 2024, n. 90 rappresenta un’importante evoluzione nella normativa italiana sulla cybersicurezza, imponendo un quadro di adempimenti che richiede un’attenta e rapida attuazione da parte di pubbliche amministrazioni e aziende. Le misure introdotte mirano a rafforzare la resilienza del nostro paese di fronte alle minacce cibernetiche sempre più sofisticate e frequenti.
Per le pubbliche amministrazioni, l’implementazione di questi obblighi rappresenta non solo un dovere legale, ma anche una responsabilità verso i cittadini e la sicurezza nazionale. Le aziende, dal canto loro, devono vedere questi adempimenti come un’opportunità per migliorare la propria postura di sicurezza e proteggere le proprie risorse critiche.
L’adeguamento alla nuova normativa richiederà investimenti in tecnologia, formazione e processi, ma rappresenta un passo necessario per costruire un ecosistema digitale sicuro e affidabile. La collaborazione tra il settore pubblico e quello privato sarà essenziale per affrontare le sfide poste dalla cybersicurezza in modo efficace e coordinato.
In definitiva, la nuova legge sulla cybersicurezza stabilisce un nuovo standard di protezione che, se adeguatamente implementato, contribuirà a rafforzare la fiducia nelle infrastrutture digitali del nostro paese e a garantire una difesa robusta contro le minacce cibernetiche future.

Vuoi ricevere aggiornamenti costanti?


Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!

Avv. Luisa Di Giacomo

Scrivi un commento

Accedi per poter inserire un commento