Il 19 giugno 2024, il Senato della Repubblica ha approvato la nuova legge in materia di rafforzamento della cybersicurezza nazionale e di reati informatici il cui testo è di seguito scaricabile.
Ecco una sintesi dei punti salienti:
- Obblighi di Notifica di Incidenti: Le pubbliche amministrazioni e altre entità specifiche devono segnalare e notificare incidenti informatici entro 24 ore e fornire una notifica completa entro 72 ore. In caso di inosservanza, sono previste sanzioni amministrative pecuniarie.
- Adozione di Interventi Risolutivi: I soggetti segnalati dall’Agenzia per la cybersicurezza nazionale devono adottare interventi risolutivi entro 15 giorni. La mancata adozione comporta sanzioni.
- Modifiche al Codice Penale: Sono state inasprite le pene per vari reati informatici, inclusi accesso abusivo a sistemi informatici, detenzione e diffusione di codici di accesso e danneggiamento di sistemi informatici di pubblico interesse e sono state introdotte le fattispecie di detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 635-quater.1 c.p.) e danneggiamento di sistemi informatici o telematici di pubblico interesse (art. 635-quinquies c.p.).
- Coordinamento Operativo: È previsto un maggiore coordinamento tra i servizi di informazione per la sicurezza e l’Agenzia per la cybersicurezza nazionale, con possibilità di differimento di attività di resilienza in casi specifici.
- Personale Specializzato: Regole stringenti per il personale dell’Agenzia e degli organismi di informazione per la sicurezza che partecipano a percorsi formativi di specializzazione, con divieto di assumere incarichi presso soggetti privati per un determinato periodo.
- Contratti Pubblici: Nuove disposizioni per i contratti pubblici di beni e servizi informatici, con criteri di premialità per l’uso di tecnologie di cybersicurezza italiane o di Paesi UE/NATO.
Modifiche al D.Lgs. 231/01
La nuova legge apporta alcune modifiche al D.Lgs. 231/01 riguardano l’introduzione di nuove sanzioni e l’estensione delle responsabilità amministrative degli enti:
- Aumento delle Sanzioni Pecuniarie: Per reati informatici, le sanzioni pecuniarie sono aumentate da duecento a settecento quote. In caso di estorsione informatica, si applica una sanzione da trecento a ottocento quote.
- Reati Informatici Specifici: L’articolo 24-bis è stato modificato per includere nuovi reati informatici, come il danneggiamento di sistemi informatici di pubblico interesse, con sanzioni che vanno fino a quattrocento quote.
- Sanzioni Interdittive: In caso di condanna per estorsione informatica, sono previste sanzioni interdittive per una durata non inferiore a due anni.
- Responsabilità degli Enti: Gli enti possono essere ritenuti responsabili per una serie di nuovi reati informatici, aumentando così la necessità di adottare modelli organizzativi adeguati per prevenire tali reati.
Queste disposizioni mirano a rafforzare la sicurezza informatica del paese, aumentando le responsabilità e le sanzioni per le violazioni, e promuovendo una maggiore resilienza delle infrastrutture critiche.