Tratto da: Lavori Pubblici.it

Pubblicata nella Gazzetta Ufficiale n. 153 del 2 luglio 2024 la L. 28 giugno 2024, n. 90 con “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici” (per semplificare, “Legge sulla Cybersicurezza”), che ha come obiettivoquello di introdurre e armonizzare un ventaglio molto ampio e variegato di temi legati al mondo della cybersecurity: dalla governance agli obblighi di notifica degli incidenti, dai
requisiti di cybersicurezza nei contratti pubblici alle preclusioni per l’assunzione di alcune tipologie di professionalità provenienti dal mondo della cybersecurity pubblica e della sicurezza nazionale, dalla normativa 231 fino all’ampia novella sui reati informatici. La L. 90/2024 si caratterizza anche per un ambito di applicazione molto ampio: da alcune tipologie di pubbliche amministrazioni individuate puntualmente dalla norma,fino ai soggetti ricompresi nel Perimetro di Sicurezza Nazionale Cibernetica e a quelli sottoposti al dettato della Direttiva NIS (e in futuro della Direttiva NIS2), passando per gli organi dello Stato considerati ormai come centrali nel settore della cybersicurezza (i.e., il Comitato Interministeriale per la Sicurezza della Repubblica (CISR), gli Organismi di Informazione per la Sicurezza, l’Agenzia per la Cybersicurezza Nazionale (ACN) e il suo Nucleo per la Cybersicurezza). Con riferimento alle Pubbliche Amministrazioni, la legge è applicabile a :

  -alle P.A. centrali incluse nell’elenco annuale ISTAT delle pubbliche amministrazioni previsto dall’articolo 1, comma 3, della legge di contabilità e finanza pubblica (legge n. 196 del 2009);
– alle regioni e le province autonome di Trento e di Bolzano;
– alle città metropolitane (e quindi, Torino, Milano, Venezia, Genova, Bologna, Firenze, Bari, Napoli, Reggio Calabria, a cui si deve aggiungere Roma Capitale e, per le regioni a statuto speciale, Cagliari, Sassari, Catania, Messina e Palermo,oltre all’ente della città metropolitana del Friuli-Venezia Giulia);
-ai comuni con popolazione superiore a 100.000 abitanti;
– ai comuni capoluoghi di regione;
– alle società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti;
– alle società di trasporto pubblico extraurbano operanti nell’ambito delle città metropolitane;
– alle aziende sanitarie locali;
– alle società in house degli enti fin qui richiamati, qualora siano fornitrici di servizi informatici, dei servizi di trasporto sopra indicati, dei servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali, ovvero servizi di gestione dei rifiuti. 

A tali soggetti, il legislatore chiede anzitutto di rafforzare la resilienza in materia di cybersicurezza. Tale obiettivo deve essere raggiunto – almeno per il momento – attraverso 4 specifici adempimenti, ovvero:
1- Dotarsi, ove non sia già presente, di una struttura per la cybersicurezza, anche fra quelle già esistenti, nell’ambito delle risorse umane, strumentali e finanziarie disponibili
a legislazione vigente. Tale struttura, che può essere individuata anche in quella dell’ufficio del responsabile per la transizione al digitale, deve provvedere a:
a. lo sviluppo di politiche e procedure di sicurezza delle informazioni;
b. la produzione e l’aggiornamento di un piano per il rischio informatico, nonché di sistemi di analisi preventiva di rilevamento del rischio informatico;
c. la produzione e l’aggiornamento di un documento che definisca i ruoli el’organizzazione del sistema per la sicurezza delle informazioni dell’amministrazione;
d. la pianificazione e l’attuazione di interventi di potenziamento delle capacità per la gestione dei rischi informatici, a partire dalla produzione dei piani precedentemente
elencati;
e. la pianificazione e l’attuazione dell’adozione delle misure previste dalle linee guida per la cybersicurezza emanate dall’Agenzia per la Cybersicurezza Nazionale;
f. il monitoraggio e la valutazione continua delle minacce alla sicurezza e allavulnerabilità dei sistemi per il loro pronto aggiornamento di sicurezza.

La legge 28 giugno 2024, n. 90 è così strutturata:

    • Art. 1. Obblighi di notifica di incidenti
    • Art. 2. Mancato o ritardato adeguamento a segnalazioni dell’Agenzia per la cybersicurezza nazionale
    • Art. 3. Norme di raccordo con le disposizioni del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133
    • Art. 4. Disposizioni in materia di dati relativi a incidenti informatici
    • Art. 5. Disposizioni in materia di Nucleo per la cybersicurezza
    • Art. 6. Disposizioni in materia di coordinamento operativo tra i servizi di informazione per la sicurezza e l’Agenzia per la cybersicurezza nazionale
    • Art. 7. Composizione del Comitato interministeriale per la sicurezza della Repubblica
    • Art. 8. Rafforzamento della resilienza delle pubbliche amministrazioni e referente per la cybersicurezza
    • Art. 9. Rafforzamento delle misure di sicurezza dei dati attraverso la crittografia
    • Art. 10. Funzioni dell’Agenzia per la cybersicurezza nazionale in materia di crittografia
    • Art. 11. Procedimento amministrativo sanzionatorio per l’accertamento e la contestazione delle violazioni in materia di cybersicurezza di competenza dell’Agenzia per la cybersicurezza nazionale
    • Art. 12. Disposizioni in materia di personale dell’Agenzia per la cybersicurezza nazionale
    • Art. 13. Disposizioni in materia di personale degli organismi di informazione per la sicurezza
    • Art. 14. Disciplina dei contratti pubblici di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici e disposizioni di raccordo con il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133
    • Art. 15. Modifica all’articolo 16 della legge 21 febbraio 2024, n. 15
  • Capo II – Disposizioni per la prevenzione e il contrasto dei reati informatici nonché in materia di coordinamento degli interventi in caso di attacchi a sistemi informatici o telematici e di sicurezza delle banche di dati in uso presso gli uffici giudiziari
    • Art. 16. Modifiche al codice penale
    • Art. 17. Modifiche al codice di procedura penale
    • Art. 18. Modifiche al decreto-legge 15 gennaio 1991, n. 8, convertito, con modificazioni, dalla legge 15 marzo 1991, n. 82
    • Art. 19. Modifica al decreto-legge 13 maggio 1991, n. 152, convertito, con modificazioni, dalla legge 12 luglio 1991, n. 203
    • Art. 20. Modifiche al decreto legislativo 8 giugno 2001, n. 231
    • Art. 21. Modifica alla legge 11 gennaio 2018, n. 6
    • Art. 22. Modifiche al decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109
    • Art. 23. Modifiche all’articolo 7 della legge 12 agosto 1962, n. 1311
    • Art. 24. Disposizioni finanziarie

La legge in questione introduce anche  novità sui contratti pubblici di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici.

L’art. 14 della Legge, nello specifico, disciplina i contratti pubblici di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici e contiene anche disposizioni di raccordo con il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133.

In particolare si dispone che entro 120 giorni dall’entrata in vigore della Legge (prevista per il 17 luglio 2024), dovrà essere adottato un DPCM nel quale sono individuati, per specifiche categorie tecnologiche di beni e servizi informatici, gli elementi essenziali di cybersicurezza che i soggetti di cui all’articolo 2, comma 2, del codice dell’amministrazione digitale, (d.Lgs. n. 82/2005) devono tenere in considerazione:

  • nelle attività di approvvigionamento di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici;
  • nei casi in cui, per la tutela della sicurezza nazionale, devono essere previsti criteri di premialità per le proposte o per le offerte che contemplino l’uso di tecnologie di cybersicurezza italiane o di Paesi appartenenti all’Unione europea o di Paesi aderenti all’Alleanza atlantica (NATO) o di Paesi terzi (individuati dallo stesso decreto) tra quelli che sono parte di accordi di collaborazione con l’Unione europea o con la NATO in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione.

Per «elementi essenziali di cybersicurezza» si intende l’insieme di criteri e regole tecniche a cui i beni e servizi informatici da acquisire devono essere conformi per garantire che il livello di confidenzialità, integrità e disponibilità dei dati da trattare corrisponda alle esigenze di tutela espresse dal provvedimento.

A questo scopo e stazioni appaltanti, comprese le centrali di committenza:

  • a) possono esercitare la facoltà di cui agli articoli 107, comma 2, e 108, comma 10, del d.Lgs. n. 36/2023 (Codice dei contratti pubblici), se accertano che l’offerta non tiene in considerazione gli elementi essenziali di cybersicurezza individuati nel Dpcm;
  • b) tengono sempre in considerazione gli elementi essenziali di cybersicurezza nella valutazione dell’elemento qualitativo, ai fini dell’individuazione del miglior rapporto qualità/prezzo per l’aggiudicazione; c) nel caso in cui sia utilizzato il criterio del minor prezzo, ai sensi dell’articolo 108, comma 3, del d.Lgs. n. 36/2023, inseriscono gli elementi di cybersicurezza tra i requisiti minimi dell’offerta;
  • d) nel caso in cui sia utilizzato il criterio dell’offerta economicamente più vantaggiosa, ai sensi dell’articolo 108, comma 4, del codice dei Contratti, nella valutazione dell’elemento qualitativo ai fini dell’individuazione del migliore rapporto qualità/prezzo, stabiliscono un tetto massimo per il punteggio economico entro il limite del 10%;
  • e) prevedono criteri di premialità per le proposte o per le offerte che contemplino l’uso di tecnologie di cybersicurezza italiane o di Paesi appartenenti all’Unione europea o di Paesi aderenti alla NATO o di Paesi terzi individuati con il decreto tra quelli che sono parte di accordi di collaborazione con l’Unione europea o con la NATO in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione, al fine di tutelare la sicurezza nazionale e di conseguire l’autonomia tecnologica e strategica nell’ambito della cybersicurezza.

Le disposizioni si applicano anche ai soggetti privati non compresi tra quelli elencati nel CAD ma che sono inseriti nell’elenco previsto dal comma 2-bis dell’articolo 1, comma 2 -bis, del D.L. n. 205/2019, convertito con modificazioni dalla legge n. 133/2019 (recante Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica).

Inoltre rimangono vigenti le disposizioni dell’art. 1 dello stesso D.L. n. 105/2019 per i casi relativi all’approvvigionamento di beni, sistemi e servizi di information and communication technology destinati ad essere impiegati nelle reti e nei sistemi informativi, oltre che per l’espletamento dei servizi informatici di cui alla lettera b) del comma 2 dello stesso articolo 1.

Print Friendly, PDF & Email
Torna in alto