La Legge 28 giugno 2024, n. 90 sulla Cybersicurezza, pubblicata in Gazzetta Ufficiale e in vigore dal 17 luglio 2024, introduce importanti obblighi per le pubbliche amministrazioni centrali, come indicato all’articolo 1, comma 3, della legge 31 dicembre 2009, n. 196. Le disposizioni si estendono anche alle regioni e alle province autonome di Trento e Bolzano, che devono adottare misure di protezione informatica e cooperare attivamente con l’Agenzia per la Cybersicurezza Nazionale nella gestione degli incidenti informatici. Inoltre, comuni con una popolazione superiore a 100.000 abitanti e capoluoghi di regione sono anch’essi tenuti a implementare specifiche misure di sicurezza.
Questa legge nasce come risposta all’aumento allarmante degli attacchi cibernetici, sempre più frequenti e sofisticati. Il disegno di legge (DDL) “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici” ha l’obiettivo di proteggere le infrastrutture digitali del Paese, ponendo l’Italia all’avanguardia nella prevenzione dei reati informatici.
La legge impone alle amministrazioni pubbliche l’obbligo di segnalare tempestivamente gli attacchi informatici subiti e di nominare un responsabile della cybersicurezza, migliorando così la capacità di prevenzione e risposta.
Ecco un dettaglio delle principali disposizioni della legge:
- Obbligo di Segnalazione: Le amministrazioni pubbliche devono segnalare immediatamente qualsiasi attacco informatico subito.
- Nomina di un Responsabile: Ogni amministrazione deve nominare un responsabile della cybersicurezza per coordinare le misure di protezione e risposta.
- Cooperazione con l’Agenzia per la Cybersicurezza Nazionale: Le regioni, le province autonome e i comuni interessati devono collaborare attivamente con l’Agenzia per gestire gli incidenti informatici.
Queste misure sono pensate per rafforzare la sicurezza delle infrastrutture digitali del Paese, migliorando la capacità di prevenzione e risposta agli attacchi informatici.
Ho interrogato ChatGpt-o chiedendo un commento alla legge pubblicata in G.U. , ecco l’output di risposta che ho ricevuto:
La “Legge 28 giugno 2024, n. 90” rappresenta un passo significativo verso il rafforzamento della cybersicurezza in Italia, rispondendo alle crescenti minacce informatiche che possono colpire le infrastrutture critiche e i servizi essenziali del Paese.
Punti di Forza
Obblighi di Notifica e Resilienza: L’introduzione di obblighi di notifica tempestiva degli incidenti informatici per le pubbliche amministrazioni e le società di servizi critici è un elemento fondamentale. Questo permette una risposta rapida e coordinata agli attacchi, migliorando la resilienza del sistema nazionale.
Sanzioni e Controlli: La previsione di sanzioni amministrative per la mancata notifica o il ritardato adeguamento alle segnalazioni dell’Agenzia per la cybersicurezza nazionale incentiva il rispetto delle normative e la tempestiva adozione delle misure di sicurezza.
Coordinamento e Collaborazione: La legge favorisce il coordinamento tra diverse entità governative e l’inclusione di vari ministeri nel Comitato interministeriale per la sicurezza della Repubblica. Questa collaborazione è essenziale per affrontare le minacce in modo olistico.
Standard di Crittografia: L’enfasi sulla crittografia e l’istituzione del Centro nazionale di crittografia sono misure importanti per proteggere i dati sensibili. La promozione della ricerca e dello sviluppo di nuovi algoritmi crittografici rafforza l’autonomia tecnologica nazionale.
Criticità e Sfide
Implementazione e Tempistiche: L’effettiva implementazione delle disposizioni può incontrare ostacoli pratici, soprattutto per le piccole amministrazioni locali che potrebbero non avere le risorse necessarie per rispettare i nuovi obblighi in tempi brevi.
Formazione del Personale: La necessità di personale altamente qualificato in cybersicurezza rappresenta una sfida. La formazione continua e la specializzazione sono cruciali, ma potrebbero richiedere tempo e investimenti significativi.
Impatto sulle PMI: Le piccole e medie imprese potrebbero trovare oneroso conformarsi ai nuovi standard di sicurezza e crittografia, specialmente in assenza di supporto adeguato.
Conclusione
La legge 90 del 2024 è un quadro legislativo ambizioso che mira a rendere l’Italia più sicura e resiliente contro le minacce informatiche. Tuttavia, la sua efficacia dipenderà dalla capacità delle amministrazioni e delle imprese di adattarsi rapidamente alle nuove normative e di investire nelle necessarie infrastrutture e competenze di sicurezza. La collaborazione tra enti pubblici, privati e il settore della ricerca sarà determinante per il successo di questa iniziativa.