La Legge n. 90 del 28 giugno 2024, conosciuta come “Legge sulla Cybersicurezza”, è stata appena pubblicata in Gazzetta Ufficiale. Questa normativa mira a introdurre nuove regole in materia di cybersecurity e ad armonizzare alcune parti della disciplina vigente.
Indice dei contenuti
Ambito di applicazione della legge sulla Cybersicurezza
Le disposizioni della Legge sulla Cybersicurezza si applicano a:
- Specifiche tipologie di pubbliche amministrazioni e organi dello Stato.
- Soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica (PSNC).
- Enti soggetti alla Direttiva NIS e, a breve, anche alla Direttiva NIS2.
Governance della Cybersicurezza
La legge introduce nuove norme sulla governance della cybersicurezza, stabilendo preclusioni per l’assunzione di alcune figure professionali provenienti dal mondo della cybersecurity e della sicurezza nazionale.
Reati informatici
Vengono introdotte nuove fattispecie di reati informatici e apportate modifiche alla normativa 231. Una delle novità più rilevanti è l’inclusione di requisiti di cybersicurezza nei contratti pubblici, che saranno dettagliati in un prossimo D.P.C.M. Questi requisiti dovranno essere rispettati da:
- Soggetti pubblici.
- Gestori di servizi pubblici.
- Società a controllo pubblico o sottoposte al Perimetro di Sicurezza Nazionale Cibernetica.
Rafforzamento della resilienza Cyber
Le pubbliche amministrazioni identificate dalla legge sono tenute a rafforzare la propria resilienza cyber. Questo include:
- Dotarsi di una struttura per la cybersicurezza, eventualmente riconducibile all’ufficio del responsabile per la transizione al digitale.
- Nominare un referente per la cybersicurezza, che fungerà da punto di contatto unico con l’ACN.
Obblighi di notifica degli incidenti
Le pubbliche amministrazioni devono notificare gli incidenti al CSIRT Italia entro 24 o 72 ore dall’avvenuta conoscenza dell’evento, seguendo la tassonomia prevista dall’art. 1, comma 3-bis, del D.L. 105/2019. Inoltre, sono obbligate ad adottare tempestivamente gli interventi risolutivi indicati dall’ACN per specifiche vulnerabilità.
Obblighi per i soggetti del PSNC e della direttiva NIS
Anche i soggetti inclusi nel PSNC, quelli sottoposti alla Direttiva NIS e i soggetti Tel.Co. devono rispettare specifici obblighi riguardanti:
- Notifica degli incidenti.
- Adozione e verifica di soluzioni crittografiche e conservazione delle password conformi alle linee guida.
- Monitoraggio delle vulnerabilità note.
- Implementazione delle misure correttive indicate dall’ACN.
Modifiche al codice penale: estorsione informatica
Tra le modifiche al Codice penale spicca l’introduzione del reato di estorsione informatica. Questa norma è volta a contrastare le richieste di pagamento di riscatti in seguito ad attacchi ransomware.
La nuova Legge sulla Cybersicurezza rappresenta un passo importante per rafforzare la sicurezza informatica in Italia. Le pubbliche amministrazioni e le imprese soggette alla normativa dovranno adeguarsi ai nuovi requisiti, adottando misure proattive per prevenire e gestire gli incidenti informatici.
Per ulteriori dettagli sulla Legge sulla Cybersicurezza, consulta il testo ufficiale pubblicato in Gazzetta Ufficiale e tieniti aggiornato sulle prossime disposizioni attuative che verranno emanate tramite D.P.C.M.
