A distanza di oltre un anno dall’entrata in vigore, la Legge 90/2024 sulla Cybersicurezza merita una nuova attenzione. Questa normativa rappresenta un pilastro per la protezione digitale del nostro Paese, con particolare riguardo alle Pubbliche Amministrazioni (PA), spesso bersaglio di attacchi informatici. L’obiettivo di questo articolo è fornire una panoramica chiara e semplificata delle disposizioni principali, aiutando gli enti pubblici a comprendere obblighi, scadenze e misure operative.

Perché questa legge è importante?

La trasformazione digitale ha reso le PA sempre più interconnesse e, di conseguenza, vulnerabili. La Legge 90/2024 nasce per rafforzare la resilienza delle strutture pubbliche, garantendo continuità dei servizi essenziali e protezione dei dati sensibili. Il legislatore ha voluto allineare l’Italia agli standard europei della Direttiva NIS2, introducendo regole uniformi e un sistema di governance chiaro.

Chi deve adeguarsi?

Gli obblighi riguardano un ampio spettro di soggetti pubblici: Regioni, Province autonome, Comuni con oltre 100.000 abitanti, Comuni capoluogo di Regione, Città metropolitane, Aziende Sanitarie Locali, società di trasporto pubblico urbano ed extraurbano e società in house che gestiscono servizi IT, trasporto, rifiuti e acque reflue. Questi enti sono chiamati a implementare misure di sicurezza e a segnalare tempestivamente eventuali incidenti informatici.

Obblighi di segnalazione

Uno degli aspetti più rilevanti è l’obbligo di segnalare gli incidenti di cybersicurezza: entro 24 ore dalla scoperta va inviata una segnalazione preliminare, mentre entro 72 ore deve essere trasmessa la notifica completa. Queste comunicazioni avvengono tramite le procedure dell’Agenzia per la Cybersicurezza Nazionale (ACN).

Organizzazione interna e governance

La legge impone la creazione di strutture interne dedicate alla cybersicurezza, responsabili di politiche, procedure e piani di gestione del rischio informatico. Ogni ente deve nominare un referente per la cybersicurezza, punto di contatto unico con l’ACN. Questo ruolo è cruciale per coordinare le attività e garantire la conformità alle linee guida nazionali.

Misure tecniche e crittografia

Le linee guida emanate dall’ACN e dal Garante per la protezione dei dati personali prevedono l’adozione di sistemi crittografici sicuri e la verifica delle applicazioni per evitare vulnerabilità. Queste misure non sono meri adempimenti tecnici, ma strumenti per tutelare la riservatezza e l’integrità dei dati gestiti dalle PA.

Sanzioni e responsabilità

La normativa prevede sanzioni pecuniarie da 25.000 a 125.000 euro in caso di reiterata inosservanza degli obblighi di notifica. Inoltre, la violazione può comportare responsabilità disciplinare e amministrativo-contabile per i dirigenti responsabili.

Conclusioni

La Legge 90/2024 non è solo un obbligo normativo, ma un’opportunità per le PA di rafforzare la propria sicurezza digitale. Rispolverare questa normativa significa investire nella protezione dei servizi pubblici e nella fiducia dei cittadini. È il momento di verificare l’attuazione delle misure e consolidare una cultura della cybersicurezza.