E’ stato approvato in via definitiva il DDL di iniziativa governativa in materia di rafforzamento della cybersicurezza nazionale e di reati informatici. Tra le misure introdotte c’è l’inasprimento delle pene per i reati informatici e l’obbligo per le amministrazioni di segnalare, entro 24 ore, gli attacchi e di avere un responsabile per la cybersicurezza. Al centro delle nuove norme ci sono la resilienza delle pubbliche amministrazioni e del settore finanziario, i contratti pubblici di beni e servizi informatici impiegati a tutela degli interessi nazionali strategici, il contrasto ai reati informatici e la sicurezza delle banche dati degli uffici giudiziari.

Le principali novità previste dal disegno di legge

• L’obbligo di segnalazione entro 24 ore all’Agenzia per la Cybersicurezza nazionale (ACN)  degli incidenti di sicurezza che hanno impatto sulle reti. Nei casi di inosservanza, è prevista la sanzione amministrativa pecuniaria da euro 25.000 a euro 125.000 a carico degli Enti. La violazione può costituire causa di responsabilità disciplinare e amministrativo-contabile per i funzionari e i dirigenti responsabili.

• L’individuazione di un referente per la cybersicurezza con il compito di provvedere allo sviluppo delle politiche e delle procedure di sicurezza delle informazioni, nonché di fungere da punto di contatto unico dell'amministrazione con l’Agenzia per la cybersicurezza nazionale (ACN).

• La disciplina dei contratti pubblici di beni e servizi informatici individua gli elementi essenziali di cybersicurezza da tenere in considerazione nelle attività di approvvigionamento, prevedono criteri di premialità per le proposte o per le offerte che contemplino l'uso di tecnologie di cybersicurezza.

• Il procedimento sanzionatorio per l’accertamento e la contestazione delle violazioni in materia di cybersicurezza di competenza dell’Agenzia per la cybersicurezza nazionale (ACN).

• L’inasprimento delle pene previste per la commissione di reati informatici.

A chi si applica?

Tra i destinatari della norma, sono individuati:

• Pubbliche amministrazioni centrali

• Regioni e Province autonome di Trento e di Bolzano

• Città metropolitane

• Comuni con popolazione superiore a 100.000 abitanti

• Capoluoghi di Regione

• Società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti

• Società di trasporto pubblico extraurbano operanti nell’ambito delle città metropolitane

• Aziende Sanitarie Locali

Sono altresì comprese, per i soggetti elencati,  le rispettive società in house che forniscono servizi informatici, i servizi di trasporto ovvero servizi di raccolta,smaltimento o trattamento di acque reflue urbane, domestiche, industriali o di gestione dei rifiuti.

Piano Triennale per l’Informatica

Le disposizioni della nuova norma in materia di Cybersicurezza non modificano gli adempimenti previsti per le pubbliche amministrazioni dal Piano Triennale ICT.

Pertanto, tutte le amministrazioni sono obbligate al raggiungimento degli obiettivi nel rispetto del seguente calendario di attività:

Giugno

• Le PA definiscono e approvano i requisiti di sicurezza relativi al processo di approvvigionamento IT.

• Le PA definiscono i presidi per la gestione degli eventi di sicurezza, formalizzandone i processi e le procedure.

• Le PA promuovono l’accesso e l’utilizzo di attività strutturate di sensibilizzazione e formazione in ambito cybersicurezza.

Settembre

• Definire un modello unitario, assicurando un coordinamento centralizzato a livello dell’istituzione, di governance della cybersicurezza.

Ottobre

• Le PA dovranno usufruire degli strumenti per la gestione dei rischi cyber messi a disposizione dal CERT-AGID.

Dicembre

• Adottare un modello di governance della cybersicurezza.

• Nominare i Responsabili della cybersicurezza e delle loro strutture organizzative di supporto.

• Formalizzare i processi e le procedure inerenti alla gestione della cybersicurezza.

• Le PA definiscono e promuovono i processi di gestione del rischio sui fornitori e terze parti IT, la contrattualistica per i fornitori e le terze parti IT, comprensive dei requisiti di sicurezza da rispettare.

• Le PA formalizzano ruoli, responsabilità e processi, nonché le capacità tecnologiche a supporto della prevenzione e gestione degli incidenti informatici.

• Le PA definiscono le modalità di verifica dei Piani di risposta a seguito di incidenti informatici.

• Le PA definiscono e formalizzano il processo di cyber risk management e security by design, coerentemente con gli strumenti messi a disposizione da ACN.

• Le PA definiscono piani di formazione inerenti alla cybersecurity, diversificati per ruoli, posizioni organizzative e attività delle risorse dell’organizzazione.

Per ulteriori approfondimenti sulla normativa di settore, i nostri consulenti sono disponibili a fornire ogni informazione ai seguenti recapiti:

Mail: cyber33@pa33.it

Tel: 06.56547218