Il 18 ottobre 2024 è entrato in vigore il Decreto Legislativo n. 138/2024, relativo al recepimento della Direttiva UE 2555/2022 riferita a misure per un livello comune elevato di cybersicurezza nell’Unione Europea.

Il decreto stabilisce misure specifiche che hanno la finalità di garantire un elevato livello di sicurezza informatica nazionale; a tal fine si prevedono:

a) l’assunzione di una strategia nazionale di cybersicurezza;

b) l’integrazione del quadro di gestione delle crisi informatiche;

c) la conferma dell’Agenzia per la cybersicurezza nazionale quale Autorità̀ nazionale competente, punto di contatto unico e gruppo di intervento nazionale per la sicurezza informatica in caso di incidente in ambito nazionale;

d) la designazione dell’Agenzia per la cybersicurezza nazionale e del Ministero della difesa quali Autorità̀ nazionali di gestione delle crisi informatiche su vasta scala;

e) l’individuazione di Autorità̀ di settore che collaborano con l’Agenzia per la cybersicurezza nazionale;

f) l’indicazione dei criteri per l’individuazione dei soggetti a cui si applica il presente decreto e la definizione dei relativi obblighi in materia di misure di gestione dei rischi per la sicurezza informatica e di notifica di incidente;

g) l’adozione di misure in materia di cooperazione e di condivisione delle informazioni ai fini dell’applicazione del presente decreto.

Le misure si applicano alle imprese dei settori energia, acque e rifiuti, attività ritenute strategiche per la nazione. Le imprese sono tenute a proteggersi e rispondere ad attacchi informatici, oltre che a informare l’Autorità competente in caso di incidente.

Sono escluse dall’applicazione di questo decreto le piccole imprese, a meno che si tratti di aziende che gestiscono infrastrutture “critiche” secondo la definizione della normativa.

Le imprese devono iscriversi alla piattaforma predisposta dall’Autorità ogni anno, a partire dal 2025, nel periodo 1 gennaio – 28 febbraio.

I vertici delle imprese sono responsabili della mancata iscrizione alla piattaforma e rispondono anche degli obblighi di gestione del rischio. Sono previste sanzioni amministrative pecuniarie, calcolate nell’ordine di 7-10 milioni di euro o come percentuale del fatturato di impresa.

DL 138/2024

Articoli simili