In data 2 luglio 2024 è stata pubblicata in Gazzetta Ufficiale la Legge n. 90/2024, denominata “Legge sulla Cybersicurezza”. Questa recente normativa rappresenta un importante passaggio nell’implementazione delle misure di protezione delle infrastrutture digitali italiane.
La Legge sulla Cybersicurezza ha un ambito di applicazione molto ampio. Tra i soggetti pubblici coinvolti vi sono le Amministrazioni Centrali, le Regioni, le Province Autonome, le Città Metropolitane e i Comuni con popolazione superiore a 100.000 abitanti. Inoltre, sono incluse le Società di Trasporto Pubblico Urbano ed Extraurbano, le Aziende Sanitarie Locali e le Società in house che forniscono servizi informatici.
Le Pubbliche Amministrazioni, in particolare, sono chiamate a implementare una serie di misure per migliorare la loro resilienza informatica. Questi adempimenti includono:
– la creazione di una struttura per la cybersicurezza;
– la nomina di un referente per la cybersicurezza;
– l’immediata segnalazione di incidenti all’Agenzia per la Cybersicurezza Nazionale;
– l’adozione degli interventi risolutivi indicati dall’Agenzia per la Cybersicurezza Nazionale.
Inoltre, anche le Società private, in particolare quelle incluse nel Perimetro di Sicurezza Nazionale Cibernetica e quelle soggette alla Direttiva NIS (nel futuro prossimo NIS 2), devono rispettare una serie di obblighi:
– notifica degli incidenti informatici;
– verifica delle applicazioni informatiche;
– adozione degli interventi risolutivi dell’Agenzia per la Cybersicurezza Nazionale.
Peraltro, la Legge sulla Cybersicurezza è intervenuta anche sul Codice Penale e sul D.Lgs. 231/2001 in materia di responsabilità amministrativa da reato degli enti.
In particolare, il Legislatore:
– ha introdotto la nuova fattispecie delittuosa dell’estorsione commessa mediante la perpetrazione o la minaccia di perpetrazione di alcune specifiche fattispecie di reati informatici;
– ha abrogato l’art. 615 quinquies c.p. sostituendolo con il nuovo delitto di detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico di cui all’art. 635 quater.1 c.p.;
– ha aumentato le sanzioni pecuniarie inflitte agli Enti in relazione alla commissione, nel loro interesse o a loro vantaggio, di uno dei reati informatici previsti dal D.Lgs. 231/2001.
La disciplina in materia di cybersecurity verrà, poi, completata e ultimata con la normativa di recepimento interno della Direttiva (UE) 2022/2555 – Network and Information Security 2, c.d. NIS 2. Detta Direttiva dovrà, difatti, essere recepita dai singoli Stati membri entro il 17 ottobre 2024 e in Italia il 10 giugno 2024 il Consiglio dei Ministri ha approvato in via preliminare il relativo schema di recepimento.