Segnalo la pubblicazione della Legge 90 del 2024 "Disposizioni in materia di rafforzamento della cybersicurezzanazionale e di reati informatici": https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:legge:2024-06-28;90!vig=2024-07-10.

Segnalo un articolo di analisi completa della norma (grazie a Luisa di Giacomo degli Idraulici della privacy): https://www.altalex.com/documents/2024/07/03/l-90-2024-cybersicurezza-g-u-adempimenti-p-a-societa-private.

Nel mio piccolo, segnalo alcune cose pensando alle aziende, non alle istituzioni come ACN.

Il primo punto riguarda l’ambito di applicabilità della notifica degli incidenti e, in generale, di tutta la Legge, visto che è dato dall'articolo 1 nei commi 1 e 3, non perfettamente allineati tra loro. La lettura è complicata per i tanti richiami ad altri dispositivi normativi. Riassumendo molto (e anche troppo), la norma è applicabile a pubblica amministrazione, società di trasporto pubblico, aziende sanitarie locali, società in house, società che erogano servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali o di gestione dei rifiuti.

Il secondo punto (articolo 1) riguarda, per le società in ambito, la procedura di gestione degli incidenti, che dovranno essere notificati ad ACN con prima notifica entro 24 ore e rapporto finale entro 72 ore dalla conoscenza dell'incidente. Gli incidenti dovranno essere segnalati alla pagina di ACN https://www.csirt.gov.it/segnalazione (che dovrà quindi essere aggiornata), usando la tassonomia, stabilita dalla Determina del 3 gennaio 2023 di ACN (https://www.gazzettaufficiale.it/atto/serie_generale/caricaDettaglioAtto/originario?atto.dataPubblicazioneGazzetta=2023-01-10&atto.codiceRedazionale=23A00114), che prevede 14 tipologie di incidente (ovviamente diverse dalle 25 previste dal DPCM 81 del 2021 per evitare di renderci la vita troppo facile).

Notare che i tempi sono disallineati rispetto a quelli previsti dal perimetro di sicurezza nazionale cibernetica (PSNC) di 6 ore, ma uguali a quelli della NIS 2.

Per alcune entità, la norma entrerà in vigore il 17 luglio, per altre, i tempi di adeguamento saranno di 6 mesi e un mio calcolo veloce e sicuramente inesatto dice da  gennaio 2025.

Il terzo punto (articolo 8) riguarda la necessità di stabilire una “struttura” (ossia un’unità organizzativa) che si occupi di sicurezza, dal punto di vista sia procedurale sia tecnico, e un “referente per la cybersicurezza” da segnalare ad ACN. E' richiesta professionalità e competenza, ma non mi sembra ci siano requisiti in merito all'indipendenza. Viene segnalato che l'incarico potrebbe essere ricoperto anche dal responsabile della transizione digitale. Da alcuni punti di vista, è positivo che non siano state imposte molte restrizioni in merito a questa figura, soprattutto in questa prima fase di attuazione.

L' articolo 9 richiede che venga verifica "che i programmi e le applicazioni informatiche e di comunicazione elettronica in uso, che utilizzano soluzioni crittografiche, rispettino le linee guida sulla crittografia nonché quelle sulla conservazione delle password adottate dall'Agenzia per la cybersicurezza nazionale e dal Garante per la protezione dei dati personali e non comportino vulnerabilità note, atte a rendere disponibili e intellegibili a terzi i dati cifrati". A questo obbligo sono tenute anche le organizzazioni nel PSNC. Ho qualche dubbio sulla correttezza nel citare un documento tecnico in una Legge. Il documento si può scarica da qui: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9962384.

L'articolo 14 prevede che venga emanato, entro fine 2024, un DPCM con i requisiti da tenere “in considerazione nelle attività di approvvigionamento di beni e servizi informatici”. Questo sarà da utilizzare per le organizzazioni in ambito, ma sarà importante anche per le organizzazioni che lavorano con la PA, visto che dovranno rispettarli. Da notare che questi requisiti saranno applicabili dove è in gioco “la tutela della sicurezza nazionale”. Prevedo però che molti li richiederanno a tutti, visto che sarà più semplice. Sarà importante che le offerte per i soggetti in ambito comincino già a riportare considerazioni di sicurezza informatica.

Segnalo poi che l'articolo 24 bis introduce nuovi reati nel D. Lgs. 231 del 2001.

Mia considerazione finale riguarda l'opportunità di questa Legge. Infatti, per ovvi motivi complica il quadro di riferimento al posto di semplificarlo e questo non è un bene. Mi spiego: adesso è in vigore la NIS, deve essere ancora recepita la NIS 2 e devono ancora essere pubblicati gli implementing acts; è in vigore anche il PSNC con i suoi 4 DPCM e altri atti correlati, come dimostrato dai link qui sopra; entreranno in vigore anche altre normative come la CER. Penso che sarebbe stato meglio pubblicare un atto come questo dopo la messa a punto degli altri dispositivi, in modo da cogliere l'occasione per un raccordo tra tutti. Invece è stato pubbicato prima e, ovviamente, un numero maggiore di elementi è sempre potenzialmente più confuso di uno minore.

Come sempre, sono consapevole che questa è una mia prima analisi. Invito tutti a segnalarmi se ci sono errori o se non concordano.