CHI SONO I SOGGETTI INCLUSI NELLA LEGGE N. 90/2024
La legge n. 90/2024 “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, individua le misure di rafforzamento della cybersicurezza nazionale, la resilienza delle pubbliche amministrazioni e i contratti pubblici di beni e servizi informatici impiegati per le seguenti categorie:
• pubbliche amministrazioni centrali individuate ai sensi dell’articolo 1, comma 3, della legge 31 dicembre 2009, n. 196;
• regioni;
• province autonome di Trento e di Bolzano;
• città metropolitane;
• comuni con popolazione superiore a 100.000 abitanti;
• comuni capoluoghi di regione;
• società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti;
• società di trasporto pubblico extraurbano operanti nell’ambito delle città metropolitane;
• aziende sanitarie locali.
Tra i medesimi soggetti ricadono le società in house dei soggetti precedentemente elencati che forniscono i seguenti servizi:
• servizi informatici;
• servizi di trasporto di cui al precedente elenco;
• servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali, come definite ai sensi dell’articolo 2, punti 1), 2) e 3), della direttiva 91/271/CEE del Consiglio, del 21 maggio 1991;
• servizi di gestione dei rifiuti, come definita ai sensi dell’articolo 3, punto 9), della direttiva 2008/98/CE del Parlamento europeo e del Consiglio, del 19 novembre 2008.
QUALI SONO GLI OBBLIGHI PREVISTI DALLA LEGGE N. 90/2024
In particolare, la Legge:
· stabilisce che i soggetti indicati devono segnalare entro ventiquattro ore gli incidenti, e notificare entro settantadue ore tutti gli elementi informativi disponibili
· specifica gli obblighi in tema di rafforzamento della resilienza cyber mediante una struttura che deve provvedere:
a) allo sviluppo delle politiche e delle procedure di sicurezza delle informazioni;
b) alla produzione e all’aggiornamento di sistemi di analisi preventiva di rilevamento e di un piano per la gestione del rischio informatico;
c) alla produzione e all’aggiornamento di un documento che definisca i ruoli e l’organizzazione del sistema per la sicurezza delle informazioni dell’amministrazione;
d) alla produzione e all’aggiornamento di un piano programmatico per la sicurezza di dati, sistemi e infrastrutture dell’amministrazione;
e) alla pianificazione e all’attuazione di interventi di potenziamento delle capacità per la gestione dei rischi informatici, in coerenza con i piani di cui alle lettere b) e d);
f) alla pianificazione e all’attuazione dell’adozione delle misure previste dalle linee guida per la cybersicurezza emanate dall’Agenzia per la cybersicurezza nazionale;
g) al monitoraggio e alla valutazione continua delle minacce alla sicurezza e delle vulnerabilità dei sistemi per il loro pronto aggiornamento di sicurezza.
· prevede ’individuazione della figura del referente per la cybersicurezza.
· impone ’introduzione della crittografia.
Iscriviti al prossimo corso NIS2: Formazione cybersecurity obbligatoria per gli organi di amministrazione, organi direttivi, soggetti essenziali e importanti