Sicurezza Informatica

Approvato il DDL sulla Cybersicurezza: nuove misure e normative

da Livio Varriale
scritto da Livio Varriale 0 commenti 5 minuti leggi
Italy under attack

Il Senato italiano ha approvato in via definitiva il Disegno di Legge (DDL) sulla Cybersicurezza, trasformandolo in legge. Questo provvedimento, che introduce nuove misure per rafforzare la sicurezza informatica delle Pubbliche Amministrazioni e degli istituti finanziari, rappresenta un passo significativo nella lotta contro i cyber attacchi e nella protezione delle infrastrutture critiche del paese.

Principali novità del DDL Cybersicurezza

Rafforzamento della Sicurezza Nazionale

Il nuovo DDL prevede l’implementazione di una governance centralizzata degli aspetti di sicurezza informatica, migliorando la capacità di prevenzione, monitoraggio, rilevamento e risposta agli incidenti di sicurezza informatica. La legge rafforza le funzioni dell’Agenzia per la Cybersicurezza Nazionale (ACN) e prevede un maggiore coordinamento con l’autorità giudiziaria.

Obbligo di segnalazione degli incidenti

Uno dei punti chiave della nuova legge è l’obbligo di segnalazione entro 24 ore all’ACN di incidenti che hanno un impatto significativo sulle reti. Questo obbligo si applica a operatori che svolgono funzioni istituzionali o essenziali per gli interessi dello Stato.

Strutture per la Cybersicurezza nelle PA

Il DDL prevede che tutte le Pubbliche Amministrazioni che ancora non l’hanno fatto istituiscano una struttura dedicata alla cybersicurezza con un referente unico per l’ACN. Inoltre, verrà istituito il Centro Nazionale di Crittografia all’interno dell’ACN.

Adempimenti per le Pubbliche Amministrazioni al DDL Cybersicurezza

Soggetti interessati

Le pubbliche amministrazioni obbligate a conformarsi alla legge includono:

  • Pubbliche amministrazioni centrali incluse nell’elenco annuale ISTAT.
  • Regioni e province autonome di Trento e Bolzano.
  • Città metropolitane.
  • Comuni con popolazione superiore a 100.000 abitanti.
  • Comuni capoluoghi di regione.
  • Società di trasporto pubblico urbano ed extraurbano con bacino di utenza significativo.
  • Aziende sanitarie locali.
  • Società in house che forniscono servizi informatici, di trasporto, gestione delle acque reflue e dei rifiuti.

Rafforzamento della resilienza in materia di Cybersicurezza

Le pubbliche amministrazioni devono dotarsi di una struttura per la cybersicurezza che preveda:

  • Sviluppo di politiche e procedure di sicurezza delle informazioni.
  • Produzione e aggiornamento di un piano per il rischio informatico.
  • Produzione e aggiornamento di un documento organizzativo per la sicurezza delle informazioni.
  • Pianificazione e attuazione di interventi di potenziamento delle capacità di gestione dei rischi informatici.
  • Adozione delle misure previste dalle linee guida dell’Agenzia per la Cybersicurezza Nazionale.
  • Monitoraggio e valutazione continua delle minacce alla sicurezza.

Segnalazione degli incidenti

Le pubbliche amministrazioni devono notificare gli incidenti informatici entro:

  • 24 ore per una prima segnalazione.
  • 72 ore per una notifica completa.

Le notifiche devono essere effettuate tramite le procedure disponibili sul sito dell’Agenzia per la Cybersicurezza Nazionale.

Adozione degli interventi risolutivi

In caso di specifiche vulnerabilità segnalate dall’Agenzia per la Cybersicurezza Nazionale, le pubbliche amministrazioni devono adottare gli interventi risolutivi entro 15 giorni. La mancata adozione può comportare sanzioni amministrative pecuniarie.

Adempimenti per le Società Private

Soggetti interessati

La legge si applica anche a soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica, soggetti sottoposti alla Direttiva NIS (e in futuro alla Direttiva NIS2) e in alcuni casi specifici, soggetti Tel.Co.

Obblighi di notifica

Le società private devono notificare gli incidenti informatici osservando i seguenti termini:

  • Massimo 24 ore per una prima segnalazione.
  • Massimo 72 ore per una notifica completa.

In caso di inosservanza, si applicano sanzioni amministrative pecuniarie.

Verifica delle applicazioni e programmi

Le società devono verificare che le applicazioni e i programmi informatici rispettino le linee guida sulla crittografia e non contengano vulnerabilità note.

Adozione degli interventi risolutivi

Le società devono adottare tempestivamente gli interventi risolutivi indicati dall’Agenzia per la Cybersicurezza Nazionale entro 15 giorni. La mancata adozione comporta sanzioni amministrative pecuniarie.

Novità nei contratti pubblici di Beni e Servizi Informatici

La legge introduce criteri di cybersecurity nei contratti pubblici di beni e servizi informatici per garantire la confidenzialità, l’integrità e la disponibilità dei dati. Un Decreto del Presidente del Consiglio dei Ministri definirà entro 120 giorni gli elementi essenziali di cybersicurezza da considerare nei contratti pubblici.

Responsabilità Amministrativa degli Enti

La legge modifica il Decreto Legislativo 231/2001, aumentando le sanzioni per i reati informatici e introducendo nuove fattispecie di reato legate all’estorsione informatica. Prevede anche sanzioni interdittive per gli enti in caso di condanna per reati informatici.

Annunci

Preclusioni all’Assunzione di Personale

La legge introduce preclusioni all’assunzione di personale che abbia ricoperto specifici ruoli presso pubbliche amministrazioni centrali o nell’intelligence, per un periodo di due anni successivi alla conclusione di percorsi formativi di specializzazione in cybersicurezza.

Inasprimento delle Sanzioni

Il disegno di legge introduce nuove fattispecie di reati informatici e inasprisce le pene per reati esistenti. Ad esempio, l’accesso abusivo a un sistema informatico ora prevede pene più severe, specialmente se commesso da un pubblico ufficiale. Inoltre, il DDL prevede sanzioni per il delitto di estorsione mediante reati informatici, mirate a contrastare il fenomeno crescente dei ransomware.

Nuove circostanze attenuanti

Il DDL introduce nuove circostanze attenuanti per i reati informatici, consentendo una riduzione delle pene nei casi di lieve entità o quando l’autore del reato collabora con le autorità per prevenire ulteriori danni.

Impatto sulla Responsabilità degli Enti

La legge modifica il Decreto Legislativo 231/2001, ampliando la responsabilità amministrativa degli enti per reati informatici. Le modifiche prevedono un innalzamento delle sanzioni pecuniarie per gli enti coinvolti in reati informatici e introducono la possibilità di applicare sanzioni interdittive.

Prospettive Future

Il DDL rappresenta il primo di tre passaggi parlamentari destinati a cambiare la sicurezza informatica in Italia. I prossimi passaggi includono il Decreto Sicurezza, che prevede una strategia nazionale contro gli attacchi ransomware, e il recepimento delle direttive europee Nis 2 e Cer, che mirano a migliorare la resilienza dei soggetti critici.

Leggi il testo completo sulla Gazzetta Ufficiale

Potreste Essere Interessati

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il suo motto è “Coerenza, Costanza, CoScienza”.

Si può anche come

Rayhunter: strumento open-source dell’EFF per rilevare la sorveglianza...

Morto Carmine Gallo, ex superpoliziotto ai domiciliari per...

Apple: novità in arrivo con visionOS 3, iOS...

EncryptHub: nuova minaccia malware multi-stadio che colpisce utenti...

Matrice Digitale colpisce ancora: ACN sotto i riflettori,...

SilentCryptoMiner: la nuova minaccia diffusa su YouTube

Logo Matrice Digitale, sicurezza, informatica, mondo digitale, confronto smartphones

Matrice Digitale è un media INDIPENDENTE sul mondo della tecnologia. Specializzato in Guerra Cibernetica, Cybersecurity e Cybercrime, Matrice Digitale realizza inchieste ed analisi OSINT esclusive.  

Leggi la trasparenza

Iscriviti alla Newsletter

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Facebook Twitter Instagram Youtube Rss Envelope

Developed with love by Giuseppe Ferrara