Le novità introdotte dalla Legge sulla Cybersicurezza
di Stefano Mele*
È stata appena pubblicata in Gazzetta Ufficiale la Legge n. 90 del 28 giugno 2024, anche nota come “Legge sulla Cybersicurezza”, la quale ha come obiettivo quello di introdurre nuove norme in materia di cybersecurity e di armonizzare alcune parti della disciplina di settore già vigenti.
Tali disposizioni si applicano sia a specifiche tipologie di pubbliche amministrazioni e organi dello Stato, sia ai soggetti già ricompresi nel Perimetro di Sicurezza Nazionale Cibernetica (PSNC) o sottoposti alla Direttiva NIS (e, a breve, anche alla Direttiva NIS2).
In particolare, l’ampiezza del dettato normativo apportato dalla Legge sulla Cybersicurezza spazia dagli aspetti di governance in materia di cybersicurezza, passando per alcune preclusioni all’assunzione di talune figure professionali proventi dal mondo della cybersecurity e della sicurezza nazionale, fino ad introdurre nuove fattispecie di reati informatici e a ritoccare alcune parti della normativa 231. Di particolare interesse, inoltre, è anche l’inclusione nei contratti pubblici di requisiti di cybersicurezza, i quali, una volta dettagliati in un emanando D.P.C.M., dovranno essere tenuti in considerazione dai soggetti pubblici, dai gestori di servizi pubblici e dalle società a controllo pubblico o sottoposte al Perimetro di Sicurezza Nazionale Cibernetica.
Nel merito, le pubbliche amministrazioni individuate dalla Legge sono chiamate a rafforzare la propria resilienza cyber. Ciò, dovrà avvenire anzitutto dotandosi di una struttura per la cybersicurezza – eventualmente riconducibile anche all’ufficio del responsabile per la transizione al digitale – e individuando un referente per la cybersicurezza che funga da punto di contatto unico dell’amministrazione con l’ACN. A ciò si aggiungono gli obblighi di notifica degli incidenti al CSIRT Italia, da svolgersi entro 24 o 72 ore dall’avvenuta conoscenza dell’evento seguendo la tassonomia di cui all’art. 1, comma 3-bis, del D.L. 105/2019. Infine, le stesse saranno tenute ad adottare tempestivamente gli interventi risolutivi indicati dall’ACN in relazione a specifiche vulnerabilità a cui le pubbliche amministrazioni dovessero risultare esposte.
Similmente, anche per i soggetti già inclusi nel PSNC, per quelli sottoposti alla Direttiva NIS e per i soggetti Tel.Co. risultano modulati specifici obblighi in relazione alla notifica degli incidenti, all’adozione e alla verifica di soluzioni crittografiche e di conservazione delle password conformi con le linee guida applicabili, al monitoraggio delle vulnerabilità note e all’implementazione delle misure correttive indicate dall’ACN.
Da ultime, ma non per importanza, vanno segnalate le modifiche al Codice penale, tra cui spicca l’introduzione della fattispecie di estorsione informatica, volta a disincentivare le richieste di pagamento di un riscatto a seguito di attacchi ransomware.
*Socio di Gianni & Origoni e responsabile del Dipartimento Cybersecurity & Space Economy Law, co-responsabile del Dipartimento Privacy.
