La digitalizzazione della Pubblica Amministrazione comporta sfide complesse in materia di sicurezza informatica. Con il d.lgs. 138 del 4 settembre 2024, (c.d. NIS2), con cui viene recepita la direttiva europea NIS 2 e il Regolamento UE 2024/2690, le PA sono chiamate a implementare misure preventive e di protezione dei dati, mentre dirigenti e vertici assumono responsabilità dirette sulla governance dei sistemi informativi. La mancata conformità comporta sanzioni severe, fino alla sospensione dei servizi, e impone un salto di qualità nella gestione del rischio cyber.
Sul punto veda la registrazione del corso gratuito, condotto da Corrado Giustozzi, esperto super-senior di sicurezza cibernetica presso il CERT-AGID: ”Direttiva Nis 2 e minaccia cibernetica: responsabilità e obblighi nella PA”. Il corso si pone l’obiettivo di fornire un quadro ampio, dalle origini normative alla minaccia cibernetica.
Indice
L’iter normativo: cosa è cambiato
L’Europa ha dapprima concepito la Direttiva NIS del 2016, la quale ha poi subito una significativa modifica. Difatti, rispetto alla prima versione del 2016, che si focalizzava su un numero limitato di grandi operatori di servizi essenziali e fornitori di servizi digitali (rispettivamente: energia, trasporti, sanità, banche, infrastrutture digitali, acqua e rifiuti, enti pubblici strategici e cloud provider, data center, fornitori di servizi digitali, produttori hardware/software, logistica, settore spaziale), la Direttiva (UE) 2022/2555, nota come NIS2, rappresenta un salto di qualità. In Italia, è entrata in vigore il 16 ottobre 2024, con il d.lgs. 4 settembre 2024, n. 138, e ha ampliato in modo evidente il suo raggio d’azione.
La normativa ora si rivolge a un numero superiore di settori e aziende, rimodulando le categorie in “soggetti essenziali” e “soggetti importanti”. L’obbligo di adeguamento riguarda poi, tutte le entità di media e ampia grandezza con almeno 50 dipendenti o un fatturato annuo superiore a 10 milioni di euro.
Obblighi, controlli e responsabilità per le PA
Secondo le indicazioni operative di Assonime. (cd. Associazione fra le società italiane per azioni), le misure previste dal d.lgs. 138 del 4 settembre 2024(c.d. NIS2), impongono tre adempimenti fondamentali alle PA: iscrizione negli elenchi ACN; pianificazione e gestione dei rischi informatici e notifica tempestiva di incidenti significativi. La direttiva distingue poi tra soggetti “essenziali” e “importanti”, con differenze su obblighi e sanzioni.
Le PA devono:
–Identificazione dei servizi critici. Le PA devono individuare con precisione quali servizi digitali sono essenziali per il funzionamento dell’ente e della società.
-Valutazione e gestione dei rischi. È obbligatoria una valutazione approfondita dei rischi informatici che minacciano i servizi essenziali, con conseguente adozione di misure tecniche e organizzative adeguate (es. crittografia, gestione degli accessi, backup, formazione del personale).
-Notifica degli incidenti. Gli obblighi di segnalazione degli incidenti informatici sono rafforzati. Gli incidenti “significativi” devono essere notificati tempestivamente all’Agenzia per la Cybersicurezza Nazionale (ACN), con tempistiche stringenti (entro 24 o 72 ore a seconda della gravità), seguendo una procedura in due fasi: allerta rapida ed eventuale report dettagliato.
-Responsabilità e governance. Il rischio cyber non è più solo una questione tecnica: il management e i vertici delle PA sono direttamente responsabili della supervisione e del controllo delle misure adottate, con obblighi precisi di governance.
-Registrazione presso ACN. Entro il 28 febbraio 2025, tutte le PA dovranno registrarsi sulla piattaforma digitale dell’ACN, dichiarando i servizi essenziali e le misure adottate.
-Collaborazione con ACN. Le PA devono collaborare attivamente con l’ACN per la gestione degli incidenti e per le attività di analisi e risposta.
-Nomina di un responsabile della sicurezza. È raccomandata la nomina di un referente interno per la sicurezza (es. CISO), responsabile del coordinamento delle attività di cybersecurity.
A livello operativo, è prevista:
-La revisione dei processi interni. Le PA devono aggiornare processi, piani di risposta agli incidenti e protocolli di gestione del rischio, assicurando la continuità operativa anche in caso di attacchi.
-La gestione della supply chain. Cresce l’attenzione sulla sicurezza dei fornitori e dei subappaltatori; le PA devono verificare che anche la catena di fornitura rispetti standard adeguati.
-La formazione e consapevolezza. La direttiva promuove una cultura diffusa della cybersicurezza, con formazione continua e simulazioni di incidenti per tutto il personale.
-L’aggiornamento tecnologico. Molte PA dovranno investire nell’aggiornamento delle infrastrutture, adottando tecnologie di monitoraggio avanzate e sistemi di autenticazione forte.
-Le azioni per mancato adeguamento. Fino al 2% del fatturato per le entità essenziali, con possibilità di sospensione dei servizi e obblighi correttivi imposti dalle autorità. L’ACN effettuerà ispezioni e controlli per verificare il rispetto degli obblighi.
Le sanzioni
Il d.lgs. 138 del 4 settembre 2024 prevede un sistema di sanzioni pecuniarie e amministrative differenziate: per i soggetti essenziali fino al 2% del fatturato; per i soggetti importanti fino all’1,4%, mentre per le PA le violazioni possono arrivare a 125.000 euro. Le imprese rischiano anche la sospensione delle attività, mentre i dirigenti possono incorrere in responsabilità disciplinari, amministrative e dirigenziali.
La formazione come leva strategica
La complessità del nuovo quadro normativo richiede non solo competenze tecniche, ma anche consapevolezza diffusa a livello organizzativo. In quest’ottica, Maggioli Editore propone un corso di formazione dedicato: “La sicurezza informatica nelle Pubbliche Amministrazioni” – in programma il 23 settembre, online dalle ore 9.00-13.00 e 14.00-16.00.
L’iniziativa fornirà un inquadramento operativo delle misure richieste e strumenti pratici per dirigenti e funzionari. Il percorso si inserisce in una più ampia strategia di sensibilizzazione e aggiornamento professionale, fondamentale per affrontare le sfide imposte dalla NIS 2 e dal Regolamento 2024/2690.
Corso formativo
La sicurezza informatica nelle Pubbliche Amministrazioni
Dopo la Legge n. 90/2024 e il D. Lgs. 4 settembre 2024, n. 138 (Direttiva NIS2)
23 Set 2025 ore 9.00-13.00 e 14.00-16.00
Scrivi un commento
Accedi per poter inserire un commento