La legge sulla cybersecurity (l. 90 del 2 luglio 2024, ‘Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici’) è stata pubblicata sulla Gazzetta Ufficiale del 2 luglio 2024.
L’ambito di applicazione è molto ampio, in un contesto in cui l’obbiettivo al quale mirano le norme è quello di introdurre misure diversificate legate al mondo della cybersecurity.
Il primo capo della legge è dedicato alle “Disposizioni in materia di rafforzamento della cybersicurezza nazionale, di resilienza delle pubbliche amministrazioni e del settore finanziario, di personale e funzionamento dell'agenzia per la cybersicurezza nazionale e degli organismi di informazione per la sicurezza nonché di contratti pubblici di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici”.
Il secondo capo, invece, alle “Disposizioni per la prevenzione e il contrasto dei reati informatici nonché in materia di coordinamento degli interventi in caso di attacchi a sistemi informatici o telematici e di sicurezza delle banche di dati in uso presso gli uffici giudiziari”.
I soggetti principali, sebbene non siano gli unici destinatari della legge, sono le pubbliche amministrazioni alle quali è chiesto di rafforzare la resilienza in materia di cybersicurezza.
In particolare, queste dovranno:
La legge prevede nuovi adempimenti anche per i soggetti ricompresi nel Perimetro di Sicurezza Nazionale Cibernetica, per quelli sottoposti alla Direttiva NIS e per quelli Tel.Co. (ovvero, le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico).
Anche questi soggetti avranno l’obbligo di svolgere la prima segnalazione dell’incidente entro termini stringenti (24 ore per la prima segnalazione, 72 per la notifica completa).
Gli stessi dovranno verificare che i programmi e le applicazioni informatiche e di comunicazione elettronica in uso, che impieghino soluzioni crittografiche, rispettino le linee guida sulla crittografia e quelle sulla conservazione delle password adottate dall’Agenzia per la Cybersicurezza Nazionale e dall’Autorità Garante per la Protezione dei Dati Personali.
Anche per i soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica, i soggetti sottoposti alla Direttiva NIS (in futuro, alla Direttiva NIS2) e i soggetti Tel.Co. viene disciplinato l’obbligo di provvedere tempestivamente all’adozione degli interventi risolutivi indicati dall’Agenzia per la Cybersicurezza Nazionale, nel caso in cui essa segnali specifiche vulnerabilità cui tali soggetti risultino potenzialmente esposti.
Sono introdotti alcune novità anche in tema di contratti pubblici. L’art. 14 definisce ‘elementi essenziali di cybersicurezza’ l'insieme di criteri e regole tecniche la conformità ai quali, da parte di beni e servizi informatici da acquisire, garantisce la confidenzialità, l'integrità e la disponibilità dei dati da trattare in misura corrispondente alle esigenze di tutela di cui al primo periodo. Tali criteri saranno precisati da un decreto del Presidente del Consiglio dei Ministri.
I soggetti che saranno tenuti a rispettare quanto previsto in questo ambito dalla Legge sulla Cybersicurezza sono le pubbliche amministrazioni, i gestori di servizi pubblici, le società a controllo pubblico, escluse le società quotate a meno che non gestiscano servizi di pubblico interesse, ed i soggetti privati rientranti nel Perimetro di Sicurezza Nazionale Cibernetica
Al fine di rafforzare la sicurezza, è istituito il Centro nazionale di crittografia presso l’Agenzia per la cybersicurezza nazionale.
Si segnala altresì che la legge ha inciso, inoltre, sul fronte della disciplina della responsabilità amministrativa degli enti ex D. Lgs. 231/01.
Nell’ambito del II capo sono apportate modifiche al codice penale, prevedenti, tra le altre, l’inasprimento di pene per i reati informatici, la creazione di nuove fattispecie delittuose (ad esempio, l’estorsione mediante reati informatici), e l’estensione dei benefici penitenziari agli autori di reati che collaborino con la giustizia.