AMMINISTRAZIONE DIGITALE - Cybersicurezza: pubblicata la legge in Gazzetta Ufficiale

La nota sintetica dell'ANCI sugli adempimenti di impatto diretto sui Comuni in relazione alla legge 8 giugno 2024, n. 90 in tema di cybersicurezza nazionale e reati informatici

Con l’introduzione della nuova legge sulla cybersicurezza nazionale e i reati informatici (legge 8 giugno 2024, n. 90), vengono stabilite nuove disposizioni a cui dovranno attenersi i Comuni con popolazione superiore a 100.000 abitanti, i capoluoghi di Regione, e alcune loro in-house. Queste misure mirano a potenziare la resilienza cibernetica delle infrastrutture e dei sistemi informatici locali.

> Clicca qui per leggere: Linee guida per conservazione password

Per facilitare la comprensione degli adempimenti richiesti, l’ANCI ha preparato una nota sintetica che illustra le disposizioni di impatto diretto sui Comuni, rendendola facilmente accessibile agli interessati.

Le nuove disposizioni per il rafforzamento della cybersicurezza nei Comuni

Tra le varie disposizioni in essa contenute, è previsto l’obbligo, per i Comuni con popolazione superiore a 100mila abitanti e, comunque, per i Comuni capoluoghi di regione, di effettuare specifiche notifiche in caso di incidenti informatici come identificati dalla normativa, nonché di individuare una apposita struttura di riferimento e un “referente per la cybersicurezza” (che possono essere individuati, rispettivamente, nell’ufficio e nel responsabile per la transizione al digitale); i medesimi obblighi riguardano anche le rispettive società in house che offrono specifici servizi indicati nella norma, quali i servizi informatici o quelli di gestione dei rifiuti.

La nota sintetica dell’ANCI

A tal proposito, l’ANCI (Associazione dei Comuni) ha predisposto una nota sintetica relativa agli adempimenti di impatto diretto sui Comuni, per agevolarne la lettura da parte degli interessati.
La sintetizziamo di seguito in questo elenco di punti rilevanti.

Obblighi di notifica degli incidenti. La legge impone ai comuni con oltre 100mila abitanti e ai capoluoghi di regione, tra altri enti, l’obbligo di notificare all’Agenzia per la Cybersicurezza Nazionale (ACN) gli incidenti informatici entro 24 ore dalla scoperta e una notifica completa entro 72 ore. Questo include anche le società in-house e i servizi pubblici rilevanti.

Sanzioni per inadempimenti. La mancata segnalazione e notifica degli incidenti può comportare sanzioni amministrative da 25mila a 125mila euro e può determinare responsabilità disciplinare per i funzionari responsabili. L’ACN può disporre ispezioni entro 12 mesi dall’accertamento del ritardo o dell’inosservanza.

Adeguamenti obbligatori alle segnalazioni dell’Agenzia. Gli enti devono rispondere alle segnalazioni dell’Agenzia circa vulnerabilità specifiche entro 15 giorni. La mancata adozione di interventi risolutivi comporta le sanzioni previste, salvo esigenze tecnico-organizzative comunicate tempestivamente all’Agenzia.

Rafforzamento delle strutture di cybersicurezza. Gli enti devono istituire o designare una struttura dedicata allo sviluppo delle politiche di sicurezza, gestione del rischio informatico, e monitoraggio continuo delle minacce.
Un referente per la cybersicurezza sarà il punto unico di contatto con l’Agenzia per la Cybersicurezza Nazionale.

Crittografia e sicurezza dei dati. Le strutture devono garantire che programmi e applicazioni utilizzino soluzioni crittografiche conformi alle linee guida dell’Agenzia per la Cybersicurezza e del Garante per la protezione dei dati personali, prevenendo l’accesso non autorizzato ai dati cifrati.

Disciplina dei contratti pubblici. Entro 120 giorni, un decreto del Presidente del Consiglio stabilirà gli elementi essenziali di cybersicurezza per l’approvvigionamento di beni e servizi informatici strategici. Le stazioni appaltanti devono includere questi elementi nei requisiti di offerta e prevedere criteri di premialità per tecnologie di cybersicurezza italiane, EU, NATO o di Paesi Terzi con accordi di collaborazione.

>> IL TESTO INTEGRALE DELLA NOTA SINTETICA DELL’ANCI

 

Le novità sulla cybersicurezza:
gli obblighi per PA e imprese
previsti dalla legge 28 giugno 2024, n. 90

A cura di STEFANO MELE

Introduce Luisa Annamaria Di Giacomo

Giovedì 18 luglio 2024, ore 10.30-12.30

© RIPRODUZIONE RISERVATA

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *