Il 18 ottobre 2024 è entrato in vigore il Decreto Legislativo n. 138/2024, relativo al recepimento della Direttiva UE 2555/2022 riferita a misure per un livello comune elevato di cybersicurezza nell’Unione Europea.
Il decreto stabilisce misure specifiche che hanno la finalità di garantire un elevato livello di sicurezza informatica nazionale; a tal fine si prevedono:
a) l’assunzione di una strategia nazionale di cybersicurezza;
b) l’integrazione del quadro di gestione delle crisi informatiche;
c) la conferma dell’Agenzia per la cybersicurezza nazionale quale Autorità̀ nazionale competente, punto di contatto unico e gruppo di intervento nazionale per la sicurezza informatica in caso di incidente in ambito nazionale;
d) la designazione dell’Agenzia per la cybersicurezza nazionale e del Ministero della difesa quali Autorità̀ nazionali di gestione delle crisi informatiche su vasta scala;
e) l’individuazione di Autorità̀ di settore che collaborano con l’Agenzia per la cybersicurezza nazionale;
f) l’indicazione dei criteri per l’individuazione dei soggetti a cui si applica il presente decreto e la definizione dei relativi obblighi in materia di misure di gestione dei rischi per la sicurezza informatica e di notifica di incidente;
g) l’adozione di misure in materia di cooperazione e di condivisione delle informazioni ai fini dell’applicazione del presente decreto.
Le misure si applicano alle imprese dei settori energia, acque e rifiuti, attività ritenute strategiche per la nazione. Le imprese sono tenute a proteggersi e rispondere ad attacchi informatici, oltre che a informare l’Autorità competente in caso di incidente.
Sono escluse dall’applicazione di questo decreto le piccole imprese, a meno che si tratti di aziende che gestiscono infrastrutture “critiche” secondo la definizione della normativa.
Le imprese devono iscriversi alla piattaforma predisposta dall’Autorità ogni anno, a partire dal 2025, nel periodo 1 gennaio – 28 febbraio.
I vertici delle imprese sono responsabili della mancata iscrizione alla piattaforma e rispondono anche degli obblighi di gestione del rischio. Sono previste sanzioni amministrative pecuniarie, calcolate nell’ordine di 7-10 milioni di euro o come percentuale del fatturato di impresa.