Attraverso la nuova legge in tema di rafforzamento della cybersicurezza nazionale e di reati informatici (legge 8 giugno 2024, n. 90 recante “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici” pubblicata in Gazzetta Ufficiale questa settimana) vengono introdotte nuove disposizioni a cui anche i Comuni con popolazione superiore a 100mila abitanti o comunque capoluogo di Regione e alcune tipologie di loro in-house dovranno attenersi per potenziare la resilienza cibernetica delle loro infrastrutture e sistemi informatici.
Legge sulla cybersecurity: le norme di rilievo
Tra le varie disposizioni in essa contenute, è previsto l’obbligo, per i Comuni con popolazione superiore a 100mila abitanti e, comunque, per i Comuni capoluoghi di regione, di effettuare specifiche notifiche in caso di incidenti informatici come identificati dalla normativa, nonché di individuare una apposita struttura di riferimento e un “referente per la cybersicurezza” (che possono essere individuati, rispettivamente, nell’ufficio e nel responsabile per la transizione al digitale); i medesimi obblighi riguardano anche le rispettive società in house che offrono specifici servizi indicati nella norma, quali i servizi informatici o quelli di gestione dei rifiuti.
La nota sintetica dell’ANCI
A tal proposito, l’ANCI (Associazione dei Comuni) ha predisposto una nota sintetica relativa agli adempimenti di impatto diretto sui Comuni, per agevolarne la lettura da parte degli interessati.
La sintetizziamo di seguito in questo elenco di punti rilevanti.
Obblighi di notifica degli incidenti. La legge impone ai comuni con oltre 100mila abitanti e ai capoluoghi di regione, tra altri enti, l’obbligo di notificare all’Agenzia per la Cybersicurezza Nazionale (ACN) gli incidenti informatici entro 24 ore dalla scoperta e una notifica completa entro 72 ore. Questo include anche le società in-house e i servizi pubblici rilevanti.
Sanzioni per inadempimenti. La mancata segnalazione e notifica degli incidenti può comportare sanzioni amministrative da 25mila a 125mila euro e può determinare responsabilità disciplinare per i funzionari responsabili. L’ACN può disporre ispezioni entro 12 mesi dall’accertamento del ritardo o dell’inosservanza.
Adeguamenti obbligatori alle segnalazioni dell’Agenzia. Gli enti devono rispondere alle segnalazioni dell’Agenzia circa vulnerabilità specifiche entro 15 giorni. La mancata adozione di interventi risolutivi comporta le sanzioni previste, salvo esigenze tecnico-organizzative comunicate tempestivamente all’Agenzia.
Rafforzamento delle strutture di cybersicurezza. Gli enti devono istituire o designare una struttura dedicata allo sviluppo delle politiche di sicurezza, gestione del rischio informatico, e monitoraggio continuo delle minacce.
Un referente per la cybersicurezza sarà il punto unico di contatto con l’Agenzia per la Cybersicurezza Nazionale.
Crittografia e sicurezza dei dati. Le strutture devono garantire che programmi e applicazioni utilizzino soluzioni crittografiche conformi alle linee guida dell’Agenzia per la Cybersicurezza e del Garante per la protezione dei dati personali, prevenendo l’accesso non autorizzato ai dati cifrati.
Disciplina dei contratti pubblici. Entro 120 giorni, un decreto del Presidente del Consiglio stabilirà gli elementi essenziali di cybersicurezza per l’approvvigionamento di beni e servizi informatici strategici. Le stazioni appaltanti devono includere questi elementi nei requisiti di offerta e prevedere criteri di premialità per tecnologie di cybersicurezza italiane, EU, NATO o di Paesi Terzi con accordi di collaborazione.
Scrivi un commento
Accedi per poter inserire un commento