Linee guida per il rafforzamento della resilienza
ID 23006 | | Visite: 292 | Documenti riservati Full Plus | Permalink: https://www.certifico.com/id/23006 |
Linee guida per il rafforzamento della resilienza / ACN Novembre 2024
ID 23006 | 25.11.2024 / In allegato
Le presenti linee guida indirizzano i soggetti individuati dall’articolo 1, comma 1, della legge 28 giugno 2024, n. 90 verso il rafforzamento della propria resilienza in coerenza con quanto disposto dall’articolo 8 della legge.
Le linee guida sono articolate in due parti: la prima individua le misure di sicurezza che i soggetti adottano per il rafforzamento della resilienza, la seconda supporta e indirizza i soggetti nell’implementazione delle misure, descrivendone le modalità di implementazione raccomandate.
La legge 28 giugno 2024, n. 90 recante “disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici” mira a rafforzare la cybersicurezza nazionale e a contrastare i reati informatici, articolandosi in 24 articoli suddivisi in due Capi:
- Capo I (articoli 1-15): disposizioni in materia di rafforzamento della cybersicurezza nazionale, di resilienza delle pubbliche amministrazioni e del settore finanziario, di personale e funzionamento dell'Agenzia per la cybersicurezza nazionale e degli organismi di informazione per la sicurezza nonché di contratti pubblici di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici.
- Capo II (articoli 16-24): disposizioni per la prevenzione e il contrasto dei reati informatici nonché in materia di coordinamento degli interventi in caso di attacchi a sistemi informatici o telematici e di sicurezza delle banche di dati in uso presso gli uffici giudiziari.
Tra le varie disposizioni, la legge prevede degli obblighi specifici per i soggetti individuati dall’articolo 1 comma 1 ossia le pubbliche amministrazioni centrali individuate ai sensi dell'articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, le regioni e le province autonome di Trento e di Bolzano, le città metropolitane, i comuni con popolazione superiore a 100.000 abitanti e, comunque, i comuni capoluoghi di regione, nonché le società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti, le società di trasporto pubblico extraurbano operanti nell'ambito delle città metropolitane e le aziende sanitarie locali. Sono altresì comprese le rispettive società in house che forniscono servizi informatici, i servizi di trasporto di cui al precedente periodo ovvero servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali, come definite ai sensi dell'articolo 2, punti 1), 2) e 3), della direttiva 91/271/CEE del Consiglio, del 21 maggio 1991, o di gestione dei rifiuti, come definita ai sensi dell'articolo 3, punto 9), della direttiva 2008/98/CE del Parlamento europeo e del Consiglio, del 19 novembre 2008.
In particolare, per i soggetti sopra indicati la legge prevede:
- l’obbligo di segnalazione e notifica degli incidenti indicati nella tassonomia di cui all’articolo 1, comma 3-bis, del decreto-legge 21 settembre 2019, n. 105 aventi impatto su reti, sistemi informativi e servizi informatici;
- l’adozione tempestiva degli interventi risolutivi segnalati dall'Agenzia per la cybersicurezza nazionale circa specifiche vulnerabilità cui essi risultino potenzialmente esposti;
- l’individuazione di una struttura, anche tra quelle esistenti, nell'ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente, che provvede a quanto indicato all’articolo 8, comma 1, della legge.
Le presenti linee guida sono tese al rafforzamento della resilienza dei soggetti in coerenza con tali disposizioni, nonché con quanto previsto dalla Direttiva del Presidente del Consiglio dei ministri del 29 dicembre 2023.
...
Tutti i soggetti previsti dall’articolo 1, comma 1 della legge 28 giugno 2024, n. 90 “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, sono tenuti a comunicare all’Agenzia la nomina del Referente per la cybersicurezza.
La comunicazione ad ACN (art. 8, comma 2) avviene inviando una PEC, attraverso il proprio domicilio digitale, all’indirizzo di posta elettronica certificata di ACN (Questo indirizzo email è protetto dagli spambots. E' necessario abilitare JavaScript per vederlo. ) e deve contenere:
- la nomina del referente per la cybersicurezza (redatta in forma libera) firmata digitalmente dal rappresentante legale del soggetto, o da persona da lui delegata (in quest’ultimo caso allegare anche la delega);
- il modulo referente per la cybersicurezza, compilato e firmato dal referente per la cybersicurezza.
Fonte: Agenzia per la cybersicurezza nazionale
Collegati
Decreto-Legge 21 settembre 2019 n. 105
DPCM 14 aprile 2021 n. 81
D.P.R. 5 febbraio 2021 n. 54
Descrizione | Livello | Dimensione | Downloads | |
---|---|---|---|---|
Modulo Referente per la Cybersicurezza.docx |
30 kB | 0 | ||
Linee guida per il rafforzamento della resilienza.pdf ACN Novembre 2024 |
4141 kB | 0 |