Il 17 luglio 2024 è entrata in vigore la legge 28 giugno 2024, n. 90 contenente disposizioni in materia di rafforzamento della cybersicurezza nazionale e di contrasto ai reati informatici. La ratio del legislatore è quella di creare un sistema più organizzato a contrastare le minacce informatiche, ponendo una particolare attenzione alla trasparenza e alla responsabilità nella gestione delle infrastrutture e delle informazioni sensibili.

In relazione ad alcune fattispecie criminali vengono inasprite una serie di sanzioni penali tra cui quelli di detenzione, diffusione e installazione abusiva di apparecchiature e di altri mezzi atti a intercettare, impedire o interrompere comunicazioni informatiche o telematiche, accesso abusivo a un sistema informatico o telematico, detenzione, diffusione e installazione abusiva di apparecchiature e di altri mezzi atti a intercettare, impedire o interrompere comunicazioni o conversazioni telegrafiche o telefoniche, diffusione e installazione abusiva di apparecchiature, codici e altri mezzi atti all’accesso a sistemi informatici o telematici, intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche, falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche.

A carico delle Pubbliche Amministrazioni e degli enti pubblici vengono posti una serie di oneri nonché obblighi di segnalazione di alcune tipologie di incidenti che hanno avuto impatto sulle reti, sui sistemi informativi e sui servizi informatici, imponendo che questi siano segnalati, tramite apposite procedure, entro e non oltre ventiquattro ore dal momento in cui si è verificato l’evento.

La legge 28 giugno 2024, n. 90 richiede altresì che ogni ente pubblico si fornisca di strutture dedicate alla cybersicurezza, responsabili della gestione dei rischi informatici e dell’aggiornamento continuo delle procedure di sicurezza. Tra gli oneri posti a carico degli enti pubblici vi sono quelli di:

1. Verificare che i programmi in uso impieghino strumenti crittografici e di conservazione delle password conformi alle indicazioni emanate dall’ACN e dal GPDP;

2. Monitorare e valutare l’esposizione in ciclo continuo alle vulnerabilità note e già registrate e auspicabilmente anche già risolte dalla comunità informatica;

3. Implementare e aggiornare periodicamente sistemi di analisi preventiva per il rilevamento delle minacce e degli incidenti informatici e un piano per la gestione del rischio informatico;

4. Tenere e aggiornare una policy documentale che definisca l’organigramma del sistema interno all’ente per la sicurezza delle informazioni;

5. Pianificare ed attuare interventi di potenziamento delle capacità di gestione dei rischi informatici, rispetto ed in continuità migliorativa con i sistemi, le procedure e le misure di cui sopra;

6. Pianificare ed attuare le misure previste dalle linee guida che verranno via via emanate dall’ACN.

La nuova normativa prevede altresì che l’Agenzia per la cybersicurezza nazionale, in caso d’inosservanza dell’obbligo di tempestiva segnalazione e notifica, invierà una comunicazione all’ente avvisandolo che il reiterato inadempimento comporterà l’applicazione a suo carico di una sanzione amministrativa da 25.000 a 125.000 €. Peraltro, la violazione potrebbe costituire causa di responsabilità disciplinare e amministrativo-contabile per i funzionari ed i dirigenti responsabili della superiore inosservanza.

Una delle innovazioni più significative della legge è la creazione presso l’ACN del Centro Nazionale di Crittografia, il cui funzionamento sarà disciplinato con provvedimento del Direttore Generale dell’Agenzia per la cybersicurezza nazionale.

Al fine di garantire una risposta efficace agli incidenti informatici, la legge 28 giugno 2024, n. 90, stabilisce anche un coordinamento operativo tra i Servizi di informazione per la sicurezza nazionale e l’Agenzia per la Cybersicurezza Nazionale. Presso l’Agenzia per la Cybersicurezza Nazionale è istituito il Nucleo per la Cybersicurezza (NCS), a supporto del Presidente del Consiglio dei ministri.

Il Nucleo per la cybersicurezza è presieduto dal Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale, o dal Vice Direttore Generale, ed è composto dal Consigliere militare del Presidente del Consiglio dei ministri, nonché da un rappresentante del Dipartimento delle informazioni per la sicurezza (DIS), dell’Agenzia informazioni e sicurezza esterna (AISE), dell’Agenzia informazioni e sicurezza interna (AISI), del Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei ministri, del Ministero degli esteri e della cooperazione internazionale, del Ministero dell’interno, del Ministero della giustizia, del Ministero della difesa, del Ministero dell’economia e delle finanze, del Ministero delle imprese e del made in Italy, del Ministero dell’ambiente e della sicurezza energetica, del Ministero dell’università e della ricerca, del Ministero delle infrastrutture e dei trasporti e del Dipartimento della protezione civile.

In base agli argomenti possono anche essere chiamati a partecipare alle riunioni anche rappresentanti di altre amministrazioni pubbliche, di università o di enti ed istituti di ricerca, nonché ulteriori operatori privati interessati alla materia della cybersicurezza.