La Legge n. 90/2024, anche nota come Legge sulla Cybersicurezza, introduce rilevanti novità in materia, imponendo una serie di obblighi in capo alle pubbliche amministrazioni e alle imprese che operano in settori strategici. Tale normativa si inserisce in un contesto giuridico che mira a rafforzare la resilienza cibernetica nazionale, e rappresenta uno dei tasselli di un mosaico complesso (specialmente a seguito dell’emanazione del D. Lgs. 138/2024).

La Legge in commento è strutturata in due capi. Per quel che qui interessa il Capo I introduce misure per il rafforzamento della cybersicurezza, imponendo obblighi specifici alle pubbliche amministrazioni, quali l’obbligo di notifica degli incidenti informatici e la nomina di un referente per la cybersicurezza. Queste disposizioni mirano a rendere più sicure le infrastrutture digitali critiche, aumentando la capacità di risposta e prevenzione agli attacchi cibernetici. Non tratteremo invece del Capo II che apporta modifiche significative al codice penale e al codice di procedura penale (sul punto di rinviamo al nostro precedente approfondimento).

L’articolo che segue intende analizzare le principali disposizioni della legge, evidenziando gli impatti operativi che questa comporta per le pubbliche amministrazioni e le imprese coinvolte, offrendo al contempo un quadro chiaro delle misure necessarie per assicurare la conformità alla normativa e prevenire possibili sanzioni.

Gli obblighi in capo alle P.A. e i compiti di ACN

Gli obblighi in capo alle P.A. sono radicalmente mutati a seguito della promulgazione della Legge n. 90 del 2024, che introduce obblighi specifici di notifica degli incidenti informatici.

Ai sensi dell’art. 1 della Legge, le pubbliche amministrazioni centrali, Regioni, Province autonome, Comuni con popolazione superiore a 100.000 abitanti, città metropolitane, società di trasporto pubblico urbano ed extraurbano con bacino superiore a 100.000 abitanti, aziende sanitarie locali e società di gestione delle acque reflue e dei rifiuti sono soggetti all’obbligo di notifica. Questi enti devono segnalare entro 24 ore dall’accertamento, tramite il sito dell’Agenzia per la Cybersicurezza Nazionale (ACN), ogni incidente che rientra nella tassonomia definita dal D.L. 105/2019; entro 72 ore dalla segnalazione, è richiesta una notifica completa di tutti gli elementi rilevanti dell’incidente stesso.

In caso di inosservanza, l’ACN può intervenire con un primo avviso, segnalando che la reiterazione del comportamento nell’arco di cinque anni comporterà ulteriori sanzioni, comprese ispezioni mirate per verificare l’attuazione delle misure correttive. Se le violazioni si ripetono, l’Agenzia può imporre sanzioni amministrative pecuniarie che variano tra 25.000 e 125.000 euro, oltre alla responsabilità disciplinare e amministrativo-contabile per i dirigenti e funzionari coinvolti.

Ai sensi dell’art. 2 della L. 90/2024 gli enti pubblici (e le società private ad essi equiparate) devono adottare, entro 15 giorni, gli interventi risolutivi richiesti dall’Agenzia per la Cybersicurezza Nazionale (ACN) nel caso in cui vengano segnalate vulnerabilità nei loro sistemi informatici. In pratica, l’Agenzia potrà segnalare la presenza di vulnerabilità nei sistemi di questi enti e inviare loro una segnalazione specifica; gli enti avranno quindi l’obbligo di adottare rapidamente le misure necessarie per risolvere la questione. In caso contrario l’ACN potrà applicare sanzioni amministrative entro i limiti edittali sopra indicati.

In tal modo il legislatore ha inteso assicurare una risposta rapida e coordinata per eliminare vulnerabilità, che potrebbero compromettere la sicurezza cibernetica dei sistemi utilizzati dalle PA e dai soggetti critici.

Infine, la  novella ha previsto l’istituzione, all’interno dell’organigramma delle P.A., di una struttura interna dedicata e la nomina di un referente per la cybersicurezza.

Più precisamente, le amministrazioni individuate all’articolo 1, comma 1, della Legge sono tenute a identificare una struttura, anche tra quelle già esistenti, all’interno delle risorse umane, strumentali e finanziarie disponibili. Questa struttura assume un ruolo centrale nello sviluppo di politiche e procedure volte a garantire la sicurezza delle informazioni. Tra i suoi compiti principali vi è la redazione e l’aggiornamento continuo di un sistema di analisi preventiva per il rilevamento delle minacce informatiche e di un piano di gestione dei rischi connessi.

Inoltre, la struttura è chiamata a produrre un documento che definisca i ruoli e l’organizzazione del sistema di sicurezza delle informazioni dell’amministrazione, assicurando così una chiara distribuzione delle responsabilità. È altresì prevista l’elaborazione di un piano programmatico per la protezione di dati, sistemi e infrastrutture informatiche.

A questo si affianca l’impegno a pianificare e attuare interventi mirati al potenziamento delle capacità di gestione dei rischi informatici, in coerenza con i piani precedentemente adottati. Un aspetto fondamentale è la necessità di conformarsi alle misure indicate nelle linee guida emanate dall’Agenzia per la Cybersicurezza Nazionale, garantendo un allineamento costante con gli standard nazionali di sicurezza. L’attività di monitoraggio continuo delle minacce e delle vulnerabilità riveste un ruolo cruciale, consentendo un aggiornamento tempestivo delle misure di sicurezza.

Presso questa struttura opera il referente per la cybersicurezza, una figura scelta sulla base di comprovate competenze e professionalità nel settore. Tale figura non solo è responsabile della sicurezza informatica all’interno dell’amministrazione, ma funge anche da punto di contatto unico con l’Agenzia per la Cybersicurezza Nazionale, garantendo così un dialogo costante e diretto con l’ente nazionale preposto alla gestione delle questioni di cybersicurezza.

Infine, la legge attribuisce all’Agenzia per la Cybersicurezza Nazionale il potere di individuare modalità di coordinamento e collaborazione tra le diverse amministrazioni e i referenti per la cybersicurezza, con l’obiettivo di rafforzare ulteriormente la resilienza del settore pubblico. Tuttavia, l’articolo esclude dall’applicazione delle sue disposizioni alcune categorie di soggetti, come gli enti già disciplinati dal D.L. 105/2019 e gli organi dello Stato preposti alla difesa, alla sicurezza militare, alla prevenzione e alla repressione dei reati, nonché gli organismi di informazione per la sicurezza.

Da quando decorre l’obbligo di notifica degli incidenti? Cosa notificare?

L’obbligo di notifica degli incidenti informatici, introdotto dall’art. 1 della Legge n. 90 del 2024, si estende agli incidenti, come definiti dall’art. 1, comma 3-bis del D.L. n. 105 del 2019, che, a sua volta, richiama la definizione contenuta nell’art. 1, comma 1, lett. h) del DPCM n. 81 del 2021.

Il combinato disposto di queste disposizioni impone ai destinatari della Legge n. 90 di notificare ogni evento che determini il malfunzionamento, l’interruzione, anche parziale, o l’utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici, sia esso di natura accidentale o intenzionale. Si tratta di una nozione di “incidente” particolarmente ampia, che copre una vasta gamma di eventi potenzialmente lesivi del corretto funzionamento delle infrastrutture informatiche.

Tale concetto di incidente, così come delineato dalla Legge n. 90 del 2024, si distingue dalla nozione di “incidente” contenuta nella direttiva NIS 2 e nel D. Lgs. n. 138 del 2024. Quest’ultimo, infatti, definisce l’incidente come “un evento che compromette la disponibilità, l’autenticità, l’integrità o la riservatezza di dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informativi e di rete o accessibili attraverso di essi”.

La differenza fondamentale tra le due definizioni risiede nell’ampiezza della nozione prevista dalla Legge n. 90, che include anche situazioni di utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici, ipotesi che, seppur non sempre riconducibili a veri e propri attacchi informatici, possono comunque determinare conseguenze rilevanti per il funzionamento delle infrastrutture critiche.

Tale differenza è di particolare rilievo, soprattutto in relazione al contesto delle pubbliche amministrazioni o degli enti soggetti all’applicazione della Legge n. 90 del 2024. Un esempio significativo di queste condotte improprie è rappresentato dall’accesso abusivo a un sistema informatico, disciplinato dall’art. 615-ter del codice penale, per il quale esiste un vasto filone giurisprudenziale. Anche una semplice anomalia o un utilizzo improprio delle risorse informatiche potrebbe far scattare l’obbligo di notifica per l’ente, rendendo necessaria una segnalazione tempestiva all’Agenzia per la Cybersicurezza Nazionale (ACN).

Un altro aspetto fondamentale da tenere in considerazione è l’approssimarsi del termine di efficacia delle disposizioni relative all’obbligo di notifica per alcune categorie specifiche di soggetti. In particolare, le disposizioni troveranno applicazione, a partire dal 13 gennaio 2025, per i comuni con popolazione superiore a 100.000 abitanti, i comuni capoluoghi di regione, le società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti, le società di trasporto pubblico extraurbano operanti nelle città metropolitane, le aziende sanitarie locali, nonché le società in house che forniscono servizi informatici o di trasporto.

Questi enti dovranno quindi predisporre tutte le misure necessarie per adempiere all’obbligo di notifica entro tale data, per evitare di incorrere nelle conseguenze sanzionatorie previste dalla legge. Per contro, l’obbligo di notifica degli incidenti è già attualmente efficace per le amministrazioni centrali dello Stato, le regioni, le province autonome e le città metropolitane.

Infine, occorre sottolineare che la Legge n. 90 del 2024 prevede, in caso di reiterata inosservanza dell’obbligo di notifica, l’applicazione di sanzioni pecuniarie nei confronti dell’ente inadempiente. Tuttavia, le conseguenze non si limitano all’aspetto economico. La reiterata inosservanza può infatti costituire anche una causa di responsabilità disciplinare e amministrativo-contabile in capo ai funzionari e ai dirigenti responsabili dell’omessa notifica, ampliando così il regime di responsabilità connesso alla gestione degli incidenti informatici all’interno delle pubbliche amministrazioni e delle società coinvolte. Questa previsione mira a garantire una maggiore diligenza nell’adempimento di un obbligo che riveste un ruolo cruciale per la tutela della cybersicurezza e del corretto funzionamento delle infrastrutture informatiche nazionali.

Conclusioni

In conclusione, la Legge n. 90 del 2024 segna un importante passo avanti nella tutela della cybersicurezza nazionale, introducendo un sistema di obblighi che coinvolge direttamente le pubbliche amministrazioni e le imprese operanti in settori strategici. L’obbligo di notifica degli incidenti informatici, unito alla previsione di sanzioni significative in caso di mancata conformità, è volto a garantire una risposta tempestiva ed efficace alle minacce cibernetiche. La definizione di “incidente” è stata ampliata rispetto a quella contenuta nella direttiva NIS 2, includendo anche l’utilizzo improprio dei sistemi informatici, evidenziando la necessità di un controllo più stringente e una superficie di situazioni da notificare davvero ampia.

Un altro elemento cruciale della normativa è l’obbligo di nomina di un referente per la cybersicurezza all’interno delle amministrazioni e delle imprese coinvolte. Tale figura riveste un ruolo centrale nell’assicurare la corretta attuazione delle politiche di sicurezza informatica e nel dialogo con l’Agenzia per la Cybersicurezza Nazionale, garantendo una gestione efficace degli incidenti e una conformità continua alle disposizioni normative.

La conformità a questi obblighi richiede un’attenta pianificazione e competenze specifiche, e rappresenta una sfida complessa per le realtà coinvolte. Lo Studio Legale D’Agostino è a disposizione per offrire supporto legale e consulenza specializzata nella delicata attività di compliance alla normativa, assistendo sia le pubbliche amministrazioni che le imprese nella gestione degli obblighi di notifica, nella nomina del referente per la cybersicurezza e nell’attuazione delle misure di sicurezza richieste.

Per aggiornamenti seguici anche su: https://www.linkedin.com/company/dagostinolex