La cybersecurity non è più un’opzione: per le Pubbliche Amministrazioni (PA), è diventato un imperativo categorico. Il 7 agosto 2024, il Consiglio dei Ministri ha approvato il Decreto Legislativo n. 138, pubblicato il 1° ottobre 2024, per recepire la Direttiva NIS2 dell’Unione Europea.
Con l’introduzione di questo decreto, le PA si trovano a dover affrontare un panorama normativo sempre più complesso, dove la protezione delle infrastrutture e dei dati sensibili è fondamentale.
La cybersicurezza è ormai un pilastro imprescindibile per garantire il funzionamento e la sicurezza dei servizi pubblici.
Una doppia scadenza da segnare sul calendario
Le PA devono segnare due date sul loro calendario. La prima è il 13 gennaio 2025, giorno in cui gli adempimenti previsti dalla Direttiva NIS2 entreranno in vigore per tutti i soggetti pubblici coinvolti. La seconda scadenza riguarda il periodo compreso tra il 1° dicembre 2024 e il 28 febbraio 2025, durante il quale i soggetti pubblici e privati inclusi nell’elenco della NIS2 dovranno registrarsi sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN).
Decreto Legislativo 138/2024: cosa prevede?
Il Decreto Legislativo 138/2024 offre alle PA l’opportunità di migliorare la propria sicurezza e preparazione contro i cyber attacchi. La PA dovranno dotarsi di strumenti adeguati, rivedere i processi interni e, in alcuni casi, investire in figure specializzate, come i responsabili della sicurezza IT.
Tra le misure da adottare, figurano la valutazione periodica dei rischi informatici, la predisposizione di piani di continuità operativa e di gestione delle crisi, e l’adozione delle misure minime di sicurezza informatica indicate dall’ACN. Queste misure garantiranno che i servizi pubblici possano rimanere attivi anche in caso di attacco.
Inoltre, il Decreto 138/2024 non riguarda solo le PA, ma anche i privati che gestiscono servizi essenziali, come energia, trasporti, sanità e finanza, che sono tenuti a rispettare gli stessi standard di sicurezza.
NIS2: la cybersecurity come responsabilità condivisa
La Direttiva Network and Information Systems (NIS2), che uniforma gli standard di sicurezza informatica in tutta l’Unione Europea rappresenta un ulteriore passo verso la protezione delle infrastrutture digitali.
Un aspetto centrale della Direttiva è la responsabilità degli Stati Membri di creare e mantenere un elenco aggiornato di “soggetti essenziali e importanti”. Entro il 17 aprile 2025, questo elenco dovrà essere definito e successivamente aggiornato almeno ogni due anni. I soggetti inclusi dovranno registrarsi sulla piattaforma dell’ACN entro le scadenze previste, per facilitare il monitoraggio e il coordinamento degli interventi in caso di incidenti di cybersicurezza.
Come prepararsi?
Adattarsi a queste nuove normative può sembrare complesso, ma esistono delle linee guida per iniziare gradualmente e senza correre il rischio di commettere errori:
- mappare i propri sistemi e processi per capire quali potrebbero essere i punti critici”;
- formare un team che si occupi solo della cybersecurity, con a capo un responsabile della sicurezza informatica che lavori con personale su come riconoscere e rispondere alle minacce;
- collaborare con l’ACN, seguire le linee guida dell’Agenzia per la Cybersicurezza Nazionale e sfruttarne le risorse.
Perché è importante?
Una PA sicura è una PA affidabile. In un’epoca in cui i cyber attacchi possono paralizzare interi settori, il rispetto delle normative non è solo un obbligo legale, ma anche un investimento nella fiducia dei cittadini.
L’Italia sta facendo un passo significativo verso un sistema digitale più sicuro. Sebbene questo percorso rappresenti una sfida, è anche un’opportunità unica per le PA italiane di innovare, crescere e rispondere alle necessità di un mondo sempre più digitale e interconnesse.
Le PA italiane saranno pronte per affrontare questa sfida?