1. Introduzione

Con la costante digitalizzazione dei servizi pubblici e l’adozione dell’identità digitale in maniera massiva nelle pubbliche amministrazioni (PA), la sicurezza informatica è diventata una sfida costante per proteggere i dati dei cittadini e salvaguardare le infrastrutture critiche. Infatti, negli ultimi anni, il numero di incidenti gravi o significativi (ovvero incidenti che possano causare l’esfiltrazione di dati particolari di persone fisiche ovvero mettere a rischio la salute e la sicurezza dei cittadini) occorsi alle PA hanno subito un’allarmante accelerazione, come confermano i dati del Rapporto Clusit 2024 (report PA).

 

 

L’adozione di specifiche misure a supporto della cybersecurity non è una novità nel panorama normativo europeo ed italiano e la PA è sempre stata particolare oggetto di attenzione. Infatti, partendo dall’art. 51 del Codice dell’Amministrazione Digitale (d. lgs n.82/2005), che nella sua originaria formulazione stabiliva l’obbligo per le PA di garantire l'esattezza, la disponibilità, l'accessibilità, l'integrità e la riservatezza dei dati, per poi man mano introdurre norma sempre più puntuali: dalla continuità operativa dei servizi della PA (art. 50bis del CAD, ora soppresso) alla formulazione vigente dell’art. 51, che rimanda a specifiche linee guida per garantire la protezione, la disponibilità, l'accessibilità, l'integrità e la riservatezza dei dati e la continuità operativa dei sistemi e delle infrastrutture.

Anche l’Unione Europea ha definito nel tempo specifiche Direttive e Regolamenti che impattano sulle PA, al fine di definire un livello comune elevato di cibersicurezza nell’Unione (Vedi Direttive NIS e NIS2, ma anche il Regolamento GDPR e eIDAS per le parti relative ai servizi digitali e alle relative misure di sicurezza).

1. La legge n. 90/2024 e gli impatti sulle PA

Oggetto di questo approfondimento è la Legge n. 90/2024 (di seguito Norma), in particolare le disposizioni previste per aumentare il livello di sicurezza delle PA. Vediamo i principali punti.

L’art. 8 denominato “Rafforzamento della resilienza delle pubbliche amministrazioni e referente per la cybersicurezza”, prevede che la PA identifichi una struttura, anche tra quelle esistenti, finalizzata a:

1. Definire un framework di gestione del rischio informativo comprensivo di organizzazione, policy e procedure;
2. Definire apposite procedure e strumenti per il monitoraggio e la valutazione continua delle minacce alla sicurezza e delle vulnerabilità dei sistemi per il loro pronto aggiornamento di sicurezza;
3. Definire appositi piani e procedure per la gestione degli incidenti e della continuità operativa dei servizi;
4. identificare un referente della cybersecurity, con specifiche competenze e conoscenze, in ambito sistemi informativi, sicurezza informatica e protezione dei dati, a cui assegnare il coordinamento delle attività di gestione della cybersecurity;
5. Cooperare in maniera fattiva con l’Agenzia per la cybersicurezza nazionale (ACN).

Partiamo dall’organizzazione della cybersecurity. Individuare una struttura all’interno delle PA a cui affidare la gestione dei rischi cyber, la gestione degli incidenti e alla definizione dei piani di continuità operativa potrebbe non essere un compito semplice, in particolar modo per le PA locali. A tal fine la norma rimanda a quanto previsto dal Codice dell’Amministrazione Digitale, che individua nell’Ufficio a supporto del Responsabile alla Transizione al Digitale (RTD) (art. 17) la competenza relativa a “indirizzo, pianificazione, coordinamento e monitoraggio della sicurezza informatica relativamente ai dati, ai sistemi e alle infrastrutture anche in relazione al sistema pubblico di connettività, nel rispetto delle regole tecniche di cui all'articolo 51, comma 1”.

Quindi, per le Amministrazioni che non hanno grande dotazione organiche, è possibili assegnare tali compiti direttamente all’Ufficio per la Transizione al Digitale. Tuttavia, anche se la Norma lo prevede, non è consigliabile nominare Referente per la cybersicurezza lo stesso RTD, in quanto le attività previste per il Referente sono troppo specifiche e soprattutto necessitano di competenze e conoscenze specialistiche. A tal fine, per la formazione del Referente e del personale della Struttura, potrebbe essere utilizzato il bando FormezPA per i percorsi formativi professionalizzanti, a valere sui fondi PNRR,  https://www.formez.it/notizie/performa-pa-on-line-lavviso-percorsi-formativi-professionalizzanti-nelle-pa.

Un’altra possibilità, prevista dalla Norma, in assenza di competenze specifiche e per le PA più piccole, è quella di affidare ad un dipendente di altra Amministrazione, previa autorizzazione, la responsabilità di referente per la cybersecurity. È possibile, inoltre, gestire i compiti previste dall’art. 8 in forma associata secondo quanto previsto dall'articolo 17, commi 1-sexies e 1-septies, del codice di cui al decreto legislativo 7 marzo 2005, n. 82.

 Indipendentemente dalle modalità di scelta, la nomina del referente è obbligatoria e il nominativo deve essere comunicato all’ACN, per il quale costituirà il punto unico di contatto.

Nel prossimo blog approfondiremo i framework di cybersecurity applicabili.

Il testo della legge n.90/2024 è disponibile qui.