Cybersecurity 2025: ecco in arrivo un anno decisivo per la cybersecurity in Italia, che segnerà il passaggio verso l’attuazione del quadro normativo nazionale ed europeo. Con l’entrata in vigore degli obblighi previsti dalla Legge n. 90/2024 e dal Decreto NIS 2, il legislatore intende rafforzare la resilienza delle pubbliche amministrazioni e delle imprese rispetto alle minacce informatiche.
Tali normative, infatti, stabiliscono un sistema integrato di misure volte a garantire un livello elevato di protezione per reti, sistemi informativi e dati critici, rispondendo alle crescenti sfide poste dalla digitalizzazione.
Gli obblighi derivano da una duplice esigenza: da un lato, adeguare il contesto nazionale alle direttive euro-unitarie per armonizzare la sicurezza informatica all’interno dell’Unione Europea; dall’altro, intervenire sulle vulnerabilità strutturali di enti pubblici e privati, promuovendo una cultura della sicurezza che privilegi la prevenzione e la gestione proattiva del rischio cyber. In questo contesto, il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN) diventa centrale, sia per la regolamentazione sia per il supporto operativo ai soggetti interessati.
Tra i principali adempimenti previsti, spiccano la registrazione obbligatoria sulla piattaforma digitale dell’ACN e l’introduzione di strutture interne dedicate alla sicurezza informatica nelle pubbliche amministrazioni. Tali profili sono approfonditi in un nostro articolo, redatto per Just4Cyber, di recente pubblicazione.
Cybersecurity 2025: obblighi di registrazione e governance per le pubbliche amministrazioni
La normativa citata introduce obblighi rilevanti per le pubbliche amministrazioni, che saranno chiamate a implementare misure concrete per adeguarsi alle nuove disposizioni normative. Tra queste, spicca la registrazione obbligatoria sulla piattaforma digitale predisposta dall’Agenzia per la Cybersicurezza Nazionale (ACN), accessibile dal 1 dicembre 2024.
Tale registrazione, da completare entro il 28 febbraio 2025, è finalizzata alla creazione dell’elenco dei soggetti essenziali e importanti, come previsto dall’articolo 7 del Decreto NIS 2. Questo processo rappresenta un passo fondamentale per garantire una mappatura precisa degli enti soggetti agli obblighi di sicurezza informatica.
Accanto agli obblighi di registrazione, la Legge n. 90/2024 impone alle pubbliche amministrazioni di adottare una governance interna specifica per la gestione del rischio cyber. In particolare, gli enti dovranno istituire strutture interne dedicate alla pianificazione, adozione e monitoraggio delle misure di sicurezza informatica.
Queste strutture dovranno operare nel rispetto dei principi di adeguatezza e proporzionalità, adattando le misure alle dimensioni e alla complessità dell’ente pubblico. Inoltre, sarà obbligatorio individuare un referente per la cybersicurezza, una figura chiave responsabile del dialogo con l’ACN e della supervisione delle attività di gestione del rischio informatico.
Cybersecurity 2025 e PA: le più recenti normative mirano non soltanto a rafforzare le capacità di prevenzione e risposta delle pubbliche amministrazioni, ma anche a creare un sistema uniforme e integrato di gestione della sicurezza informatica. Questo approccio, volto a garantire la coerenza tra le normative nazionali ed europee, consente di superare eventuali frammentazioni e di promuovere una maggiore consapevolezza dei rischi cyber a tutti i livelli dell’amministrazione pubblica. La capacità delle pubbliche amministrazioni di rispondere a tali obblighi non sarà solo una questione di conformità normativa, ma rappresenterà un elemento determinante per la tutela degli interessi strategici nazionali e per la resilienza complessiva del sistema paese.
Cybersecurity 2025: obblighi di notifica degli incidenti informatici
Tra le novità più importanti vi sono gli obblighi di notifica degli incidenti informatici, previsti sia dalla Legge n. 90/2024 sia dal Decreto NIS 2. Questi obblighi mirano a garantire una risposta tempestiva e coordinata agli eventi che potrebbero compromettere la sicurezza di reti, sistemi e dati, consentendo alle autorità competenti di intervenire rapidamente per mitigarne gli effetti.
Entrambe le normative richiedono una doppia notifica, da effettuarsi secondo tempistiche ben definite. In primo luogo, una notifica preliminare deve essere inviata entro le 24 ore dalla scoperta dell’incidente. Questa prima comunicazione ha il compito di segnalare l’evento e fornire una panoramica iniziale delle sue potenziali implicazioni. Successivamente, entro 72 ore dallo stesso momento, è prevista una notifica completa, che includa una ricostruzione dettagliata delle cause e degli effetti dell’incidente, nonché delle misure adottate per contenerlo.
Un elemento di divergenza tra le due discipline riguarda la nozione di incidente informatico e i criteri per la sua notifica. La Legge n. 90/2024 rinvia alla tassonomia definita per il Perimetro di Sicurezza Nazionale Cibernetica, richiamando parametri specifici per classificare gli eventi rilevanti. Il Decreto NIS 2, invece, definisce autonomamente il concetto di incidente, stabilendo soglie di gravità che determinano l’obbligo di segnalazione. Nonostante tali differenze, il decreto di recepimento della direttiva europea abroga alcune disposizioni precedenti, creando le basi per una maggiore uniformità tra le normative (ma sollevando anche alcuni dubbi!).
Inoltre, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha già pubblicato linee guida operative per la gestione delle notifiche relative agli incidenti disciplinati dalla Legge n. 90/2024. Si auspica che analoghe indicazioni vengano estese anche agli incidenti contemplati dal Decreto NIS 2, al fine di garantire una procedura uniforme e facilmente applicabile per tutti i soggetti interessati.
Cybersecurity 2025: gestione del rischio e compliance by design
Le normative in esame pongono al centro delle sue disposizioni l’importanza di una gestione proattiva e strutturata del rischio informatico, basata sui principi del by design. Questo approccio mira a integrare la sicurezza informatica nei processi organizzativi sin dalla loro progettazione, evitando interventi frammentari e promuovendo soluzioni proporzionate alle specificità di ogni ente pubblico o soggetto privato.
Sia la Legge n. 90/2024 sia il Decreto NIS 2 richiedono ai soggetti inclusi nei rispettivi perimetri di applicazione di adottare sistemi di gestione del rischio che non si limitino all’implementazione di misure minime, ma che siano caratterizzati da una pianificazione strategica. Tali sistemi devono includere la valutazione costante delle vulnerabilità e dei potenziali impatti, la definizione di misure tecniche e organizzative adeguate, nonché l’istituzione di meccanismi di monitoraggio e aggiornamento continuo delle politiche di sicurezza.
In particolare, la Legge n. 90/2024 stabilisce che le pubbliche amministrazioni identifichino strutture interne specificamente dedicate alla gestione del rischio cyber. Queste strutture, oltre a monitorare l’efficacia delle misure adottate, devono essere in grado di elaborare piani di risposta agli incidenti e garantire la resilienza dell’ente di fronte a eventuali minacce.
Al contempo, il Decreto NIS 2 estende la responsabilità della gestione del rischio agli organi direttivi delle organizzazioni, sottolineando la necessità di un coinvolgimento attivo del management nell’implementazione delle misure di sicurezza.
La reale efficacie delle citate normative dipenderà dalla capacità dei soggetti interessati di trasformare tali obblighi in un sistema di gestione integrato, che consideri il rischio informatico non solo come un problema tecnico, ma come una sfida organizzativa.
La compliance by design richiede infatti un impegno continuo per identificare, mitigare e monitorare i rischi, promuovendo una cultura della sicurezza che coinvolga tutti i livelli dell’organizzazione. Questo approccio strategico non solo garantisce la conformità normativa, ma rappresenta un valore aggiunto per la sostenibilità di imprese e pubbliche amministrazioni.
Cybersecurity 2025 e il procurement pubblico
Un aspetto cruciale riguarda l’attenzione alla sicurezza informatica nell’ambito del procurement pubblico, un settore strategico per la tutela degli interessi nazionali. La Legge n. 90/2024 dedica una specifica disciplina ai contratti pubblici relativi a beni e servizi informatici, stabilendo regole rigorose per garantire che i fornitori rispettino elevati standard di sicurezza.
Questa normativa prevede che le pubbliche amministrazioni, nell’affidamento di contratti riguardanti sistemi e servizi informatici, adottino criteri di valutazione che tengano conto del rischio cyber. Tale approccio si basa sul principio che la sicurezza delle reti e dei sistemi non possa essere disgiunta dalla sicurezza della catena di approvvigionamento, un aspetto particolarmente rilevante per le infrastrutture critiche e per i servizi essenziali.
La selezione dei fornitori dovrà quindi considerare non solo l’offerta economica, ma anche la capacità degli operatori economici di garantire la protezione dei dati e la resilienza delle soluzioni proposte.
Il Decreto NIS 2 rafforza questa impostazione, imponendo ai soggetti rientranti nel suo perimetro di applicazione l’adozione di misure per la gestione del rischio cyber lungo l’intera supply chain. Tale obbligo, che si estende anche ai rapporti con fornitori e subappaltatori, richiede un’analisi approfondita delle vulnerabilità e delle interdipendenze che possono compromettere la sicurezza dei servizi forniti.
L’obiettivo è chiaro: creare un ecosistema in cui la sicurezza informatica sia un elemento imprescindibile nelle procedure di approvvigionamento pubblico. Le pubbliche amministrazioni sono chiamate a sviluppare competenze specifiche per identificare i rischi connessi ai contratti di fornitura e a predisporre misure di mitigazione adeguate.
In quest’ottica, il procurement diventa non solo uno strumento per l’acquisizione di beni e servizi, ma anche un mezzo per promuovere una maggiore consapevolezza delle sfide legate alla sicurezza informatica e per stimolare il mercato a investire in soluzioni innovative e resilienti. La capacità di integrare la gestione del rischio cyber nei processi di procurement sarà determinante per garantire una protezione efficace delle infrastrutture e dei servizi strategici del paese.
Cybersecurity 2025: cosa ci aspetta?
La Legge 90/2024 e il Decreto NIS 2 sono testi normativi di centrale importanza per il rafforzamento della sicurezza informatica in Italia. Gli obblighi introdotti da queste normative non possono essere adempiuti in modo soltanto formale, ma richiedono un approccio strategico per migliorare la resilienza delle pubbliche amministrazioni e delle imprese, proteggendo le infrastrutture critiche e garantendo la continuità dei servizi essenziali.
Le sfide principali riguardano la capacità dei soggetti interessati di implementare soluzioni di governance adeguate, gestire il rischio informatico in modo proattivo e conformarsi ai requisiti di notifica degli incidenti secondo le procedure stabilite.
Cybersecurity 2025: lo Studio Legale D’Agostino è a disposizione di imprese e pubbliche amministrazioni per offrire supporto strategico nella gestione degli adempimenti previsti dalla normativa, garantendo un’assistenza personalizzata e conforme alle più recenti disposizioni normative.