Referente cybersicurezza nella PA: come comunicare la nomina all’ACN

Home PA Digitale Referente cybersicurezza nella PA: come comunicare la nomina all’ACN

La normativa in materia di rafforzamento della cybersicurezza nazionale e di reati informatici, entrata in vigore lo scorso luglio e in linea con la direttiva NIS 2, prevede l’obbligo per le pubbliche amministrazioni di segnalare e notificare ogni incidente cyber avente impatto su reti e sistemi informativi. L’obiettivo di rafforzare la resilienza delle PA passa attraverso il potenziamento delle strutture e l’individuazione di personale appositamente formato. L’ACN ha pubblicato le modalità con cui tutti i soggetti obbligati devono comunicare l’avvenuta nomina del Referente per la cybersicurezza

13 Settembre 2024

C

Patrizia Cardillo

Esperta di Protezione dati personali

Foto di Kayla Farmer su Unsplash - https://unsplash.com/it/foto/fotografia-selettiva-di-donna-che-tiene-un-binocolo-che-guarda-verso-lalto-allaperto-nhi3_11E6zM

La legge 28 giugno 2024, n. 90 “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, entrata in vigore lo scorso 17 luglio 2024, ha l’obiettivo di rafforzare i meccanismi di protezione contro le minacce cibernetiche e creare le premesse per adottare ed implementare le misure previste per l’attuazione della direttiva NIS 2. Disposizioni necessarie per dare una risposta concreta e reagire attivamente agli attacchi dei cyber criminali, in preoccupante ascesa negli ultimi anni non solo nel nostro paese. Attacchi che hanno trovato terreno fertile nella vorticosa digitalizzazione accompagnata, purtroppo, dalla imperante e generalizzata scarsa preparazione.

La segnalazione degli incidenti

L’obbligo di segnalare e notificare, posto a carico dei soggetti inclusi nel perimetro di sicurezza nazionale, qualunque incidente cyber, avente impatto su reti, sistemi informativi e servizi informatici, è al centro del provvedimento che contemporaneamente si preoccupa di creare l’ambiente e i presupposti perché si sviluppino competenze e capacità di individuare tali incidenti.

La tassonomia degli incidenti[1], è stata fissata con determina del Direttore Generale ACN del 3 gennaio 2023 che, nell’allegato A, oltre al rispettivo codice identificativo, riporta una descrizione di ciascuna tipologia di incidente. 

L’obiettivo di rafforzamento della resilienza delle pubbliche amministrazioni passa attraverso il potenziamento delle strutture e l’individuazione di personale appositamente formato che avrà il compito di:

  • sviluppare politiche e procedure di sicurezza delle informazioni con sistemi di analisi preventiva di rilevamento e di un piano per la gestione del rischio informatico;
  • definire i ruoli e l’organizzazione del sistema per la sicurezza delle informazioni delle singole amministrazioni;
  • predisporre e tenere aggiornato un piano programmatico per la sicurezza di dati, sistemi e infrastrutture dell’amministrazione che preveda interventi di potenziamento delle capacità per la gestione dei rischi informatici;
  • adottare le misure previste dalle linee guida per la cybersicurezza emanate dall’ACN;
  • monitorare costantemente le minacce alla sicurezza e la vulnerabilità dei sistemi.

L’ACN ha il compito di definire modalità e processi di coordinamento e di collaborazione tra le amministrazioni e tra i referenti per la cybersicurezza al fine di facilitare la resilienza delle amministrazioni pubbliche ma anche collaborare con Università e centri di formazione.

I tempi

Ogni incidente riconducibile alla suddetta tassonomia deve essere segnalato, senza ritardo e comunque entro il termine massimo di 24 ore dal momento in cui la pubblica amministrazione ne sia venuta a conoscenza; entro le 72 ore dalla conoscenza dell’incidente deve essere effettuata la notifica completa di tutti gli elementi informativi disponibili.

I casi di reiterata inosservanza dell’obbligo di notifica sono soggetti a sanzione amministrativa pecuniaria e possono configurare responsabilità disciplinare e amministrativo-contabile per i funzionari e i dirigenti responsabili.

La designazione dei Referenti per la Cybersicurezza

Con provvedimento del 14 agosto 2024, l’ACN ha pubblicato le modalità con cui tutti i soggetti obbligati[2] devono comunicare all’ACN l’avvenuta nomina del Referente per la cybersicurezza.

La comunicazione va inviata, via PEC, all’indirizzo di posta elettronica acn@pec.acn.gov.it, e dovrà contenere:

  • la nomina del referente per la cybersicurezza (redatta in forma libera) firmata digitalmente dal rappresentante legale del soggetto, o da persona da lui delegata;
  • il “modulo referente per la cybersicurezza”, scaricabile dal sito dell’Agenzia, compilato e firmato dal referente per la cybersicurezza.

Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA.


[1] Cfr. all’articolo 1, comma 3-bis, del decreto-legge 21 settembre 2019 n.105, convertito, con modificazioni, dalla legge 18 novembre 2019.

[2] Cfr. Patrizia Cardillo 

– Pubbliche amministrazioni centrali individuate ai sensi dell’articolo 1, comma 3, della l. 31 dicembre 2009, n. 196;

– Regioni e province autonome di Trento e Bolzano;

– Città metropolitane;

– Comuni con popolazione superiore a 100.000 abitanti;

– Comuni capoluoghi di regione;

– Società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti;

– Società di trasporto pubblico extraurbano operanti nell’ambito delle città metropolitane;

– Aziende sanitarie locali;

– Società in house che forniscono servizi informatici, servizi di trasporto, di raccolta e trattamento di acque reflue urbane, domestiche o industriali, gestione dei rifiuti.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Su questo argomento

NIS2, tecnologie e processi per adeguarsi: rivedi il webinar di FPA e Veeam