Rafforzare la sicurezza informatica della pubblica amministrazione e di altri soggetti specificamente individuati

Allineare le PA e le società in house alle previsioni della Direttiva NIS 2.

• Potenzia le funzioni dell’Agenzia per la cyber sicurezza Nazionale (ACN)
• Inasprisce le pene per i reati informatici e per la responsabilità amministrativa degli enti (reati presupposto) 
• Anticipa l’impatto più ampio della Direttiva NIS2
• Consolida la responsabilità all’interno delle PA
• Referente per la cyber sicurezza
• Obbligo di segnalazione e notifica per determinati soggetti pubblici. 
• Ritardi e omissioni daranno luogo a ispezioni e sanzioni da parte dell’ACN.

• Pubbliche amministrazioni centrali (ex Art. 1, comma 3, L. 196/2009)
• Regioni e Province autonome di Trento e Bolzano
• Città metropolitane 
• Comuni con una popolazione superiore ai 100.000 ab. e, comunque, comuni capoluoghi di regione
• Società di trasporto pubblico urbano con bacino di utenza non inferiore ai 100.000 ab. e società trasporto pubblico extraurbano delle città metropolitane
• ASL aziende sanitarie locali 
• Società in-house degli enti richiamati, attive in specifici settori (informatica, trasporti, raccolta – smaltimento - gestione acque reflue, gestione rifiuti).

I soggetti sottoposti ad altre normative più specifiche (operatori servizi essenziali e digitali, perimetro sicurezza cibernetica, Forze dell’Ordine, Servizi) sono esclusi.

• Notificare (preliminarmente entro 24 ore da consapevolezza e in dettaglio entro 72 ore) gli incidenti con impatto su reti, sistemi informativi e servizi informatici dell’ente. L’obbligo si estende agli incidenti al di fuori del perimetro.
• Eseguire tempestivamente gli interventi indicati in caso di segnalazione di vulnerabilità da parte dell’ACN (entro 15 gg).
• Istituire il referente per la cyber sicurezza, unico punto di contatto con ACN (può essere il Resp. Trans. Dig.).
• Adottare specifici sistemi di autenticazione (MFA) per l’accesso alle banche dati da parte di tecnici e utenti e di registrare gli accessi (adozione entro 12 mesi) in base alle linee guida ACN.
• Tenere in considerazione elementi essenziali di cyber sicurezza nelle attività di approvvigionamento di beni e servizi informatici (individuati in un nuovo DPCM).
• Dotarsi di una struttura per la cyber sicurezza, (anche fra le strutture esistenti, compreso il Resp. Trans. Dig.) che dovrà:

1. Sviluppare politiche e procedure di sicurezza delle informazioni.
2. Produrre ed aggiornare un piano per il rischio informatico nonché di sistemi di analisi preventiva del rilevamento del rischio informatico.
3. Produrre e aggiornare un documento che definisca i ruoli e l’organizzazione del sistema per la sicurezza delle informazioni dell’ente.
4. Pianificare e attuare l’adozione degli interventi di potenziamento della capacità di gestione dei rischi informatici (a partire dal piano).
5. Pianificare ed attuare l’adozione delle misure di sicurezza previste dalle linee guida dell’ACN.
6. Monitorare e valutare continuamente le minacce alla sicurezza e le vulnerabilità per un pronto aggiornamento.

Dopo un primo richiamo, in caso di reiterata inosservanza (ultimi 5 anni), le amministrazioni pubbliche coinvolte possono essere soggette a

• Ispezioni (entro 12 mesi)
• Sanzioni amministrative pecuniarie, con importi che variano da 25.000 a 125.000 €

La violazione di queste disposizioni può costituire causa di responsabilità disciplinare e amministrativo-contabile nei confronti dei funzionari e dirigenti responsabili