Legge

Pubblicato: 02/07/2024 In vigore dal: 28/06/2024 Documento ufficiale

Spiegato da FiscoAI

La Legge 90/2024 introduce obblighi stringenti di notifica degli incidenti informatici per una vasta gamma di soggetti pubblici e privati. Si applica alle pubbliche amministrazioni centrali, regioni, province autonome, comuni con popolazione superiore a 100.000 abitanti, comuni capoluoghi di regione, società di trasporto pubblico urbano ed extraurbano, aziende sanitarie locali e relative società in house che forniscono servizi informatici, nonché gestori di servizi di raccolta e smaltimento rifiuti e acque reflue.

Gli obblighi pratici sono molto rigorosi: i soggetti interessati devono segnalare qualunque incidente informatico entro 24 ore dal momento in cui ne vengono a conoscenza, seguita da una notifica completa entro 72 ore. La segnalazione avviene tramite le procedure disponibili sul sito dell'Agenzia per la cybersicurezza nazionale, utilizzando una tassonomia tecnica specifica degli incidenti.

Per i comuni più piccoli, le società di trasporto e le aziende sanitarie, gli obblighi entrano in vigore 180 giorni dopo l'entrata in vigore della legge, concedendo un periodo di adeguamento. L'inosservanza comporta conseguenze significative: in caso di reiterata violazione nell'arco di 5 anni, sono previste sanzioni amministrative da 25.000 a 125.000 euro, oltre a possibili ispezioni dell'Agenzia e responsabilità disciplinare per i dirigenti responsabili.

LEGGE n. 90/2024 # LEGGE 28 giugno 2024, n. 90 ## Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici. (24G00108) La Camera dei deputati ed il Senato della Repubblica hanno approvato; IL PRESIDENTE DELLA REPUBBLICA Promulga la seguente legge: Art. 1 Obblighi di notifica di incidenti 1. Le pubbliche amministrazioni centrali individuate ai sensi dell' articolo 1, comma 3, della legge 31 dicembre 2009, n. 196 , le regioni e le province autonome di Trento e di Bolzano, le città metropolitane, i comuni con popolazione superiore a 100.000 abitanti e, comunque, i comuni capoluoghi di regione, nonchè le società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti, le società di trasporto pubblico extraurbano operanti nell'ambito delle città metropolitane e le aziende sanitarie locali segnalano e notificano, con le modalità e nei termini di cui al comma 2 del presente articolo, gli incidenti indicati nella tassonomia ((adottata con determinazione tecnica del direttore generale dell'Agenzia per la cybersicurezza nazionale)) , aventi impatto su reti, sistemi informativi e servizi informatici. Tra i soggetti di cui al presente comma sono altresì comprese le rispettive società in house che forniscono servizi informatici, i servizi di trasporto di cui al primo periodo del presente comma ovvero servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali, come definite ai sensi dell'articolo 2, punti 1), 2) e 3), della direttiva 91/271/CEE del Consiglio, del 21 maggio 1991 , o di gestione dei rifiuti, come definita ai sensi dell'articolo 3, punto 9), della direttiva 2008/98/CE del Parlamento europeo e del Consiglio, del 19 novembre 2008 . 2. I soggetti di cui al comma 1 segnalano, senza ritardo e comunque entro il termine massimo di ventiquattro ore dal momento in cui ne sono venuti a conoscenza a seguito delle evidenze comunque ottenute, qualunque incidente riconducibile a una delle tipologie individuate nella tassonomia di cui al comma 1 ed effettuano, entro settantadue ore a decorrere dal medesimo momento, la notifica completa di tutti gli elementi informativi disponibili. La segnalazione e la successiva notifica sono effettuate tramite le apposite procedure disponibili nel sito internet istituzionale dell'Agenzia per la cybersicurezza nazionale. 3. Per i comuni con popolazione superiore a 100.000 abitanti e i comuni capoluoghi di regione, per le società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti, per le società di trasporto pubblico extraurbano operanti nell'ambito delle città metropolitane, per le aziende sanitarie locali e per le società in house che forniscono servizi informatici, i servizi di trasporto di cui al presente comma ovvero servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali, come definite ai sensi dell'articolo 2, punti 1), 2) e 3), della direttiva 91/271/CEE del Consiglio, del 21 maggio 1991 , o di gestione dei rifiuti, come definita ai sensi dell'articolo 3, punto 9), della direttiva 2008/98/CE del Parlamento europeo e del Consiglio, del 19 novembre 2008 , gli obblighi di cui ai commi 1 e 2 del presente articolo si applicano a decorrere dal centottantesimo giorno successivo alla data di entrata in vigore della presente legge. 4. Qualora i soggetti di cui al comma 1 effettuino notifiche volontarie di incidenti al di fuori dei casi indicati nella tassonomia di cui al medesimo comma 1, si applicano le disposizioni dell' articolo 18, commi 3 , 4 e 5, del decreto legislativo 18 maggio 2018, n. 65 . 5. Nel caso di inosservanza dell'obbligo di notifica di cui ai commi 1 e 2, l'Agenzia per la cybersicurezza nazionale comunica all'interessato che la reiterazione dell'inosservanza, nell'arco di cinque anni, comporterà l'applicazione delle disposizioni di cui al comma 6 e può disporre, nei dodici mesi successivi all'accertamento del ritardo o dell'omissione, l'invio di ispezioni, anche al fine di verificare l'attuazione, da parte dei soggetti interessati dall'incidente, di interventi di rafforzamento della resilienza agli stessi, direttamente indicati dall'Agenzia per la cybersicurezza nazionale ovvero previsti da apposite linee guida adottate dalla medesima Agenzia. Le modalità di tali ispezioni sono disciplinate con determinazione del direttore generale dell'Agenzia per la cybersicurezza nazionale, pubblicata nella Gazzetta Ufficiale. 6. Nei casi di reiterata inosservanza, nell'arco di cinque anni, dell'obbligo di notifica di cui ai commi 1 e 2, l'Agenzia per la cybersicurezza nazionale applica altresì, nel rispetto delle disposizioni dell' articolo 17, comma 4-quater, del decreto-legge 14 giugno 2021, n. 82 , convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109 , introdotto dall'articolo 11 della presente legge, una sanzione amministrativa pecuniaria da euro 25.000 a euro 125.000 a carico dei soggetti di cui al comma 1 del presente articolo. La violazione delle disposizioni del comma 1 del presente articolo può costituire causa di responsabilità disciplinare e amministrativo-contabile per i funzionari e i dirigenti responsabili. 7. Fermi restando gli obblighi e le sanzioni, anche penali, previsti da altre norme di legge, le disposizioni del presente articolo non si applicano: a) ai soggetti di cui all' articolo 3, comma 1, lettere g) e i), del decreto legislativo 18 maggio 2018, n. 65 , e a quelli di cui all' articolo 1, comma 2-bis, del decreto-legge 21 settembre 2019, n. 105 , convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133 ; b) agli organi dello Stato preposti alla prevenzione, all'accertamento e alla repressione dei reati, alla tutela dell'ordine e della sicurezza pubblica e alla difesa e sicurezza militare dello Stato e agli organismi di informazione per la sicurezza di cui agli articoli 4 , 6 e 7 della legge 3 agosto 2007, n. 124 .

Provvedimento AdE 226940/2024

Selezione pubblica per l’assunzione a tempo indeterminato di 80 unità, aumentat…

Risoluzione AdE 9680915/2014

Istituzione del nuovo Comune denominato "Castegnero Nanto" mediante fusione dei…

Provvedimento AdE 407414/2024

Selezione pubblica di cui all’atto Prot. n. 407414/2024 per l’assunzione a temp…

Provvedimento AdE 246924/2025

Selezione pubblica per l’assunzione a tempo indeterminato di 250 unità per l’ar…

Provvedimento AdE 10/2014

Selezione pubblica per l’assunzione a tempo indeterminato di 50 unità per l’are…

Decisione UE 1083/2026

Decisione (PESC) 2026/1083 del Consiglio, dell’11 maggio 2026, che modifica la …

Concordato preventivo biennale – Provvigioni di ingresso riconosciute al consulente finan… Risoluzione AdE 13 Canone di abbonamento alla televisione per uso privato per l’anno 2024 – articolo 1, comm… Risoluzione AdE 213 Accertate le medie dei cambi delle valute estere del mese di giugno 2024 Provvedimento AdE 6241354 Integrazione della composizione della segreteria della Commissione di esperti per gli Ind… Provvedimento AdE 13 Articolo 2-bis del decreto-legge 9 agosto 2024, n. 113, convertito, con modificazioni, da… Circolare 113