L’impegno delle autorità sul fronte della sicurezza informatica non si ferma e nella Gazzetta Ufficiale del 28 giugno vede la luce la Legge recante “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, con piena applicabilità dal prossimo 17 luglio.
I 24 articoli della versione finale del testo contengono una serie di misure destinate al «rafforzamento della cybersicurezza nazionale, resilienza delle pubbliche amministrazioni, personale e funzionamento dell’Agenzia per la cybersicurezza nazionale, nonché di contratti pubblici di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici», inserendosi in un contesto europeo di grande fermento sul fronte della sicurezza cibernetica.
L’ambito di applicazione della L.90/2024 è piuttosto ampio e spazia dalle pubbliche amministrazioni individuate dalla norma, ai soggetti considerati nel Perimetro di Sicurezza Nazionale Cibernetica, fino a quelli sottoposti alla Direttiva NIS2, passando per le autorità più significative del settore della cybersicurezza, quali il CISR, gli Organismi di Informazione per la Sicurezza, l’ACN e il suo Nucleo per la Cybersicurezza.
Tra i soggetti pubblici destinatari, a titolo esemplificativo sono ricomprese:
- le pubbliche amministrazioni centrali incluse nell’elenco annuale ISTAT delle pubbliche amministrazioni previsto dall’articolo 1, comma 3, della legge di contabilità e finanza pubblica (legge n. 196 del 2009);
- le regioni e le province autonome di Trento e di Bolzano;
- le città metropolitane;
- i comuni con popolazione superiore a 100.000 abitanti;
- i comuni capoluoghi di regione;
- le società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti;
- le società di trasporto pubblico extraurbano operanti nell’ambito delle città metropolitane;
- le aziende sanitarie locali;
- le società in house degli enti fin qui richiamati, qualora siano fornitrici di servizi informatici, dei servizi di trasporto sopra indicati, dei servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali, ovvero servizi di gestione dei rifiuti.
Affiancandosi di fatto alla NIS2 di prossima applicazione, anche questa legge mira a rafforzare la capacità di prevenire e rispondere alle minacce e ad innalzare il livello di protezione dei sistemi informativi delle organizzazioni – soprattutto pubbliche – attive nel mercato tecnologico e digitale.
La nuova cornice normativa si muove in varie direzioni, prevedendo l’introduzione di nuovi reati, un impianto sanzionatorio significativo, un focus specifico sul tema dei contratti pubblici di beni e servizi informatici e importanti prescrizioni per i soggetti pubblici quali principali destinatari delle disposizioni, tra cui l’introduzione – per i soggetti previsti – del Referente per la cibersicurezza.
Ma quale sarà il suo impatto pratico? E come deve essere letta rispetto alla direzione tracciata da precedenti normative di matrice europea in materia di protezione dei dati e cybersicurezza, NIS2 in primis?
Le principali tematiche oggetto del webinar:
- Perimetro di applicazione: i destinatari
- Quale interazione con le normative europee e nazionali in tema di Cybersecurity
- Obiettivo resilienza: gli adempimenti espliciti e irrinunciabili
- La Cybersecurity protagonista nei contratti di approvvigionamento
- Impianto sanzionatorio e responsabilità amministrativa degli enti
Relatrice: Avv. Valentina Frediani, Founder e CEO Colin & Partners