Legge 90/2024: cyber sicurezza, reati informatici e resilienza

Legal Tech Italy

Lo scorso 17 luglio è entrata in vigore la legge n. 90/2024, che reca disposizioni in materia di rafforzamento della cyber sicurezza nazionale e di contrasto ai reati informatici. Questa legge è estremamente innovativa e porta con sé enormi modifiche concernenti il mondo dei reati informatici, e non solo.

Obbligo di notifica di incidenti da parte della PA

La legge sulla cyber sicurezza è emanata principalmente a beneficio della pubblica amministrazione, come si evince dalla rubrica del Capo I che mira a introdurre disposizioni in materia di resilienza delle pubbliche amministrazioni. L’articolo uno della legge introduce l’obbligo di notifica degli incidenti per pubbliche amministrazioni ed enti strategici, dove il termine “incidente” si riferisce a quelle situazioni di alterazione e intromissione che impattano su reti, sistemi informativi e servizi informatici.

Tale legge detta l’iter cui le pubbliche amministrazioni devono attenersi per poter adoperare un’adeguata ed efficiente risposta alle intromissioni informatiche; nello specifico, questa procedura è dettata dal legislatore nazionale in ossequio alle numerose direttive di matrice europea in materia e si compone di due obblighi: i) segnalazione di qualunque incidente, senza ritardo, entro le ventiquattro ore dal momento in cui ne si è venuti a conoscenza, ii) notifica completa di tutti gli elementi informativi disponibili entro le settantadue ore a decorrere dallo stesso momento.

Lo stesso articolo uno, inoltre, stabilisce le sanzioni amministrative applicabili ai soggetti che omettono di notificare l’avvenuto incidente; in questo frangente assume un ruolo cardine l’Agenzia per la cyber sicurezza nazionale (ACN). Questa comunica all’interessato che la reiterazione dell’inosservanza dell’obbligo di notifica, nell’arco di cinque anni, comporterà l’applicazione della sanzione amministrativa da 25.000 euro a 125.000 euro, e può implicare l’accertamento e l’ispezione da parte dell’Agenzia per verificare che siano attuati tutti gli interventi di rafforzamento dei sistemi informatici consigliati e previsti da quest’ultima.


In aggiunta, la stessa sanzione è applicata anche ai soggetti di cui all’articolo uno, i quali in caso di segnalazioni puntuali dell’Agenzia risultino potenzialmente esposti a gravi vulnerabilità. Questa previsione è sancita dall’articolo due della L. 90/2024 e non è di scarsa importanza: essa stabilisce un autonomo potere di controllo dell’Agenzia per la cyber sicurezza sull’operato e sulle infrastrutture delle pubbliche amministrazioni, al fine di provarne la conformità.

Adeguate strutture per il rafforzamento della resilienza della PA

L’articolo otto della legge 90/2024 descrive le strutture idonee di cui dovrebbero dotarsi le PA al fine di scongiurare e limitare al massimo il pericolo di incidenti informatici. In particolare, tali strutture provvedono – tra le altre cose – allo sviluppo delle politiche e procedure di sicurezza delle informazioni; alla predisposizione di un piano per la gestione del rischio informatico; alla produzione e aggiornamento di un documento che definisca i ruoli e l’organizzazione del sistema per la sicurezza delle informazioni dell’amministrazione; alla pianificazione e attuazione di interventi di potenziamento delle capacità per la gestione dei rischi informatici; alla pianificazione e attuazione dell’adozione delle misure previste dalle linee guida per la cyber sicurezza emanate dall’ ACN; al monitoraggio e valutazione continua delle minacce alla sicurezza e delle vulnerabilità dei sistemi.

L’articolo otto della legge 90/2024 descrive le strutture idonee di cui dovrebbero dotarsi le PA al fine di scongiurare e limitare al massimo il pericolo di incidenti informatici. In particolare, tali strutture provvedono – tra le altre cose – allo sviluppo delle politiche e procedure di sicurezza delle informazioni; alla predisposizione di un piano per la gestione del rischio informatico; alla produzione e aggiornamento di un documento che definisca i ruoli e l’organizzazione del sistema per la sicurezza delle informazioni dell’amministrazione; alla pianificazione e attuazione di interventi di potenziamento delle capacità per la gestione dei rischi informatici; alla pianificazione e attuazione dell’adozione delle misure previste dalle linee guida per la cyber sicurezza emanate dall’ ACN; al monitoraggio e valutazione continua delle minacce alla sicurezza e delle vulnerabilità dei sistemi.

La stessa disposizione, inoltre, istituisce la figura del referente per la cyber sicurezza, come colui che opera da intermediario tra la pubblica amministrazione e l’Agenzia per la cyber sicurezza nazionale; il referente è colui che è ritenuto essere in possesso di tutte quelle conoscenze specifiche e comprovate in tema di sicurezza informatica.
Tale figura non è una novità nel panorama della cyber security, in quanto a livello europeo era già stata prevista con l’introduzione della direttiva NIS 2. L’articolo otto è strettamente correlato col suo successivo, il quale stabilisce la necessità che le strutture finora descritte adottino soluzioni crittografiche adeguate, rispettino le linee guida sulla crittografia e quelle riguardanti la corretta conservazione delle password, tutte istruzioni adottate dall’ ACN e dal Garante per la protezione dei dati personali. Inoltre, viene prevista l’istituzione di un centro nazionale di crittografia, la cui definizione delle funzioni è demandata al direttore generale dell’ ACN.

Disposizioni per prevenire e contrastare i reati informatici

La legge che stiamo esaminando, oltre ad avere un carattere rivoluzionario e innovativo in ambito di cyber sicurezza, sistemi informativi e crittografia, è portatrice di numerose modifiche al nostro codice penale, come – per esempio – l’aggravamento delle pene in merito ai reati di accesso abusivo e danneggiamento di sistemi informatici e l’introduzione di nuove fattispecie di reato. A titolo esemplificativo si può citare il nuovo articolo 635-quater.1 del codice penale, il quale disciplina la detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico.

Rapporto tra L.90/2024 e direttiva NIS 2

La Legge sulla cyber sicurezza si inserisce in un quadro normativo europeo già affermato e in continua evoluzione, e costituisce la traduzione italiana delle regole comunitarie raccolte dalla direttiva NIS 2.
La legge nazionale, dunque, si attiene a quanto previsto dall’articolo uno della direttiva europea, nel quale si legge: “[…] la presente direttiva stabilisce: a) obblighi che impongono agli Stati membri di adottare strategie nazionali in materia di cyber sicurezza e di designare o creare autorità nazionali competenti, autorità di gestione delle crisi informatiche, punti di contatto unici in materia di sicurezza (punti di contatto unici) e team di risposta agli incidenti di sicurezza informatica (CSIRT) […]”.
Per chiudere, riflettendo sullo sforzo legislativo che ha portato alla L. 90/2024 e guardando alla direttiva NIS 2 possiamo – per ora – ritenerci soddisfatti osservando come esse si muovono all’unisono su binari interscambiabili, affinché almeno a livello legislativo non vi siano antitesi.

Hai un articolo nel cassetto? Legal Tech Magazine è sempre alla ricerca di nuove voci attraverso cui raccontare l’evoluzione del settore. Puoi sottoporci la tua proposta attraverso il seguente form: avremo cura di leggerla e di valutarne la pubblicazione.

SCRIVI PER NOI

Non solo un Magazine, ma anche una Mappa, un Forum, un Report e un’Academy. Se ti interessano i progetti di Legal Tech Italy e desideri ricevere aggiornamenti sulle sue iniziative presenti e future, iscriviti alla newsletter e non perderti nessuna novità.

SEGUICI