In attesa di recepire la Direttiva NIS 2, sono in arrivo nuove norme in materia di cybersecurity

***

Il disegno di legge aggiunge disposizioni sull’obbligo di segnalazione all’Agenzia per la Cybersicurezza Nazionale (ACN) di alcune tipologie di incidenti che hanno un impatto sulle reti, sistemi informativi e servizi informatici.

Questo obbligo è in capo, inter alia, ad alcune pubbliche amministrazioni e alle aziende sanitarie locali nonché alle rispettive società in house che forniscono servizi informatici.

La segnalazione dell’incidente deve essere effettuata entro 24 ore dal momento in cui l’ente ne è venuto a conoscenza, mentre entro 72 ore deve essere effettuata la notifica completa di tutte le informazioni disponibili.

L’inosservanza di questo obbligo può portare all’applicazione di una sanzione amministrativa pecuniaria da Euro 25.000 a Euro 125.000, nonché causa di responsabilità disciplinare e amministrativo-contabile (la stessa sanzione si applica, salvo eccezioni, anche in caso di mancata o ritardata adozione degli interventi risolutivi a seguito di segnalazioni dell’ACN sulla presenza specifiche vulnerabilità).

In aggiunta a quanto sopra, i soggetti sopra indicati sono, tra gli altri, tenuti a:

• individuare una struttura interna (anche tra quelle esistenti) che si occupi, inter alia, dello sviluppo delle politiche e delle procedure di sicurezza delle informazioni;
• dotarsi di un referente per la cybersicurezza, che svolga anche la funzione di punto di contatto unico con l’ACN; 
• verificare che i programmi e le applicazioni informatiche e di comunicazione elettronica in uso, che utilizzano soluzioni crittografiche, rispettino la normativa applicabile. Proprio al fine di valorizzare la crittografia quale soluzione di difesa cibernetica, viene istituito, presso l’ACN, il c.d. Centro nazionale di crittografia.

Sono altresì previste nuove disposizioni sul Nucleo per la cybersicurezza (presso l'ACN), sul coordinamento operativo tra i servizi di informazione per la sicurezza e l’ACN, nonché sull’accesso alle banche dati delle pubbliche amministrazioni.

Vengono, infine, previste modifiche del codice penale e del codice di procedura penale, delle norme sulla responsabilità amministrativa degli enti e l'inasprimento delle relative pene.

***

Il disegno di legge è stato approvato dal Senato pochi giorni dopo l’approvazione dal Consiglio dei Ministeri in via preliminare dello schema di decreto legislativo di recepimento della Direttiva NIS 2 (Direttiva EU 2022/2055). Quest’ultima dovrà essere adottata dall’Italia entro il 17 ottobre 2024.

Nel frattempo, una volta completato l’iter legislativo, le norme del disegno di legge - ora approvate dal Senato - troveranno applicazione, fornendo maggiore tutela in materia di sicurezza informatica e più strumenti operativi per respingere attacchi cibernetici.

Occorre, dunque, aspettare la fine dell’anno per avere una visione organica e di insieme del nuovo quadro normativo in materia di cybersicurezza.

Il nostro team è a disposizione per fornirVi assistenza su questi temi.