È stata pubblicata nella Gazzetta Ufficiale la nuova legge sulla cybersicurezza nazionale e sui reati informatici: una nota dell’Anci riepiloga le misure di interesse per i Comuni.
Si tratta di un passo avanti nella protezione dei dati e delle infrastrutture informatiche a livello nazionale. I Comuni e gli altri enti interessati dovranno pertanto attivarsi per adeguarsi alle nuove disposizioni, pur affrontando le sfide legate alla mancanza di risorse e competenze specialistiche.
In Gazzetta Ufficiale la Legge sulla Cybersicurezza: le novità per i Comuni
La legge, denominata “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici” (Legge 28 giugno 2024, n. 90), è stata pubblicata il 2 luglio 2024 nella Gazzetta Ufficiale SG n. 153.
La sicurezza informatica è diventata una priorità imprescindibile per tutte le Pubbliche Amministrazioni. L’aumento degli attacchi informatici, finalizzati a compromettere i sistemi informativi o a sottrarre dati, rende necessario un rafforzamento delle difese cibernetiche sia a livello regolamentare che operativo. Questo bisogno è particolarmente sentito dai Comuni, che gestiscono dati considerati “ordinari” ma che sono sempre più spesso bersaglio di cyberattacchi che possono paralizzare l’erogazione dei servizi pubblici.
Con l’entrata in vigore di questa normativa, i Comuni con una popolazione superiore a 100.000 abitanti, i capoluoghi di Regione e alcune tipologie di aziende in-house dovranno adeguarsi a nuove disposizioni mirate a potenziare la resilienza cibernetica delle loro infrastrutture e sistemi informatici.
Obblighi e sanzioni
Art. 1: Obblighi di Notifica di Incidenti
- Ambito di Applicazione: Comuni con popolazione superiore a 100.000 abitanti, capoluoghi di Regione, società di trasporto pubblico con bacino di utenza significativo, aziende sanitarie locali e loro in-house.
- Obbligo di Notifica: Incidente segnalato all’Agenzia per la Cybersicurezza Nazionale entro 24 ore dalla conoscenza e notifica completa entro 72 ore.
- Termini di Applicazione: Gli obblighi iniziano a decorrere dal 180° giorno successivo all’entrata in vigore della legge.
- Sanzioni: La mancata segnalazione reiterata può comportare sanzioni amministrative da 25.000 a 125.000 euro e responsabilità disciplinare per i dirigenti.
Art. 2: Adeguamento a Segnalazioni
- Interventi Risolutivi: Entro 15 giorni dalla segnalazione di specifiche vulnerabilità da parte dell’Agenzia.
- Sanzioni per Ritardo: Applicabili se non si interviene tempestivamente, salvo giustificazioni tecnico-organizzative.
Art. 8: Rafforzamento della Resilienza
- Struttura Dedicata: Creazione di una struttura per lo sviluppo di politiche di sicurezza, gestione del rischio informatico e monitoraggio continuo delle minacce.
- Referente per la Cybersicurezza: Nomina di un referente con competenze specifiche, che fungerà da contatto con l’Agenzia per la Cybersicurezza Nazionale.
Art. 9: Crittografia dei Dati
- Verifiche di Sicurezza: Verifica delle soluzioni crittografiche utilizzate per garantire che i dati cifrati non siano accessibili a terzi.
La legge introduce anche un procedimento amministrativo sanzionatorio per violazioni in materia di cybersicurezza, disciplinato da un regolamento che sarà emanato entro 90 giorni dall’entrata in vigore del decreto.
La nota di lettura dell’Anci
L’Associazione Nazionale Comuni Italiani (Anci) ha preparato una nota sintetica che descrive gli adempimenti diretti per i Comuni.