Nuova legge sulla Cybersicurezza: cosa cambia per le pubbliche amministrazioni e le imprese

Nuova Legge sulla Cybersicurezza 2024: regole aggiornate per PA e imprese, obblighi di notifica e requisiti di sicurezza nei contratti.

La Legge n. 90 del 28 giugno 2024, conosciuta come “Legge sulla Cybersicurezza”, è stata appena pubblicata in Gazzetta Ufficiale. Questa normativa mira a introdurre nuove regole in materia di cybersecurity e ad armonizzare alcune parti della disciplina vigente.

Ambito di applicazione della legge sulla Cybersicurezza

Le disposizioni della Legge sulla Cybersicurezza si applicano a:

  • Specifiche tipologie di pubbliche amministrazioni e organi dello Stato.
  • Soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica (PSNC).
  • Enti soggetti alla Direttiva NIS e, a breve, anche alla Direttiva NIS2.

Governance della Cybersicurezza

La legge introduce nuove norme sulla governance della cybersicurezza, stabilendo preclusioni per l’assunzione di alcune figure professionali provenienti dal mondo della cybersecurity e della sicurezza nazionale.

Reati informatici

Vengono introdotte nuove fattispecie di reati informatici e apportate modifiche alla normativa 231. Una delle novità più rilevanti è l’inclusione di requisiti di cybersicurezza nei contratti pubblici, che saranno dettagliati in un prossimo D.P.C.M. Questi requisiti dovranno essere rispettati da:

  • Soggetti pubblici.
  • Gestori di servizi pubblici.
  • Società a controllo pubblico o sottoposte al Perimetro di Sicurezza Nazionale Cibernetica.

Rafforzamento della resilienza Cyber

Le pubbliche amministrazioni identificate dalla legge sono tenute a rafforzare la propria resilienza cyber. Questo include:

  • Dotarsi di una struttura per la cybersicurezza, eventualmente riconducibile all’ufficio del responsabile per la transizione al digitale.
  • Nominare un referente per la cybersicurezza, che fungerà da punto di contatto unico con l’ACN.

Obblighi di notifica degli incidenti

Le pubbliche amministrazioni devono notificare gli incidenti al CSIRT Italia entro 24 o 72 ore dall’avvenuta conoscenza dell’evento, seguendo la tassonomia prevista dall’art. 1, comma 3-bis, del D.L. 105/2019. Inoltre, sono obbligate ad adottare tempestivamente gli interventi risolutivi indicati dall’ACN per specifiche vulnerabilità.

Obblighi per i soggetti del PSNC e della direttiva NIS

Anche i soggetti inclusi nel PSNC, quelli sottoposti alla Direttiva NIS e i soggetti Tel.Co. devono rispettare specifici obblighi riguardanti:

  • Notifica degli incidenti.
  • Adozione e verifica di soluzioni crittografiche e conservazione delle password conformi alle linee guida.
  • Monitoraggio delle vulnerabilità note.
  • Implementazione delle misure correttive indicate dall’ACN.

Modifiche al codice penale: estorsione informatica

Tra le modifiche al Codice penale spicca l’introduzione del reato di estorsione informatica. Questa norma è volta a contrastare le richieste di pagamento di riscatti in seguito ad attacchi ransomware.

La nuova Legge sulla Cybersicurezza rappresenta un passo importante per rafforzare la sicurezza informatica in Italia. Le pubbliche amministrazioni e le imprese soggette alla normativa dovranno adeguarsi ai nuovi requisiti, adottando misure proattive per prevenire e gestire gli incidenti informatici.

Per ulteriori dettagli sulla Legge sulla Cybersicurezza, consulta il testo ufficiale pubblicato in Gazzetta Ufficiale e tieniti aggiornato sulle prossime disposizioni attuative che verranno emanate tramite D.P.C.M.

Leggi anche...

Le Fonti TOP 50 2023-2024

I più recenti

Sentenza della Cassazione n. 21006/2024: se il vicino di casa ti mette ansia è stalking

ls lexjus sinacta

Taglio compensi avvocato del 70%: ecco cosa dice la sentenza della Corte di Cassazione

Legittimo Impedimento: la commissione giustizia approva il DDL

Niente cancellazione dall’albo per gli avvocati inadempienti alla formazione: il decreto attuativo è ancora mancante

Newsletter

Iscriviti ora per rimanere aggiornato su tutti i temi inerenti l’ambito legale.