Sicurezza informatica nelle PA: obblighi stringenti e responsabilità dirette

La digitalizzazione della Pubblica Amministrazione comporta sfide complesse in materia di sicurezza informatica. Con il d.lgs. 138 del 4 settembre 2024, (c.d. NIS2), con cui viene recepita la direttiva europea NIS 2 e il Regolamento UE 2024/2690, le PA sono chiamate a implementare misure preventive e di protezione dei dati, mentre dirigenti e vertici assumono responsabilità dirette sulla governance dei sistemi informativi. La mancata conformità comporta sanzioni severe, fino alla sospensione dei servizi, e impone un salto di qualità nella gestione del rischio cyber. Sul punto veda la registrazione del corso gratuito, condotto da Corrado Giustozzi, esperto super-senior di sicurezza cibernetica presso il CERT-AGID: “Direttiva Nis 2 e minaccia cibernetica: responsabilità e obblighi nella PA“. Il corso si pone l’obiettivo di fornire un quadro ampio, dalle origini normative alla minaccia cibernetica.

L’iter normativo: cosa è cambiato

L’Europa ha dapprima concepito la Direttiva NIS del 2016, la quale ha poi subito una significativa modifica. Difatti, rispetto alla prima versione del 2016, che si focalizzava su un numero limitato di grandi operatori di servizi essenziali e fornitori di servizi digitali (rispettivamente: energia, trasporti, sanità, banche, infrastrutture digitali, acqua e rifiuti, Enti pubblici strategici e cloud provider, data center, fornitori di servizi digitali, produttori hardware/software, logistica, settore spaziale), la Direttiva (UE) 2022/2555, nota come NIS2, rappresenta un salto di qualità. In Italia, è entrata in vigore il 16 ottobre 2024, con il d.lgs. 4 settembre 2024, n. 138, e ha ampliato in modo evidente il suo raggio d’azione. La normativa ora si rivolge a un numero superiore di settori e aziende, rimodulando le categorie in “soggetti essenziali” e “soggetti importanti“. L’obbligo di adeguamento riguarda poi, tutte le entità di media e ampia grandezza con almeno 50 dipendenti o un fatturato annuo superiore a 10 milioni di euro. La distinzione tra soggetti “essenziali” e “importanti” comporta differenze su obblighi e sanzioni.

Obblighi, controlli e responsabilità per le PA

Secondo le indicazioni operative di Assonime. (cd. Associazione fra le società italiane per azioni), le misure previste dal d.lgs. 138 del 4 settembre 2024(c.d. NIS2), impongono tre adempimenti fondamentali alle PA: iscrizione negli elenchi ACN; pianificazione e gestione dei rischi informatici e notifica tempestiva di incidenti significativi.
Le PA devono:

A livello operativo, le PA devono…

Per la PA è prevista: La gestione della supply chain. 

• Revisione dei processi interni: aggiornare processi, piani di risposta agli incidenti e protocolli di gestione del rischio, assicurando la continuità operativa anche in caso di attacchi;
• Gestione della supply chain: cresce l’attenzione sulla sicurezza dei fornitori e dei
  subappaltatori, le PA devono verificare che anche la catena di fornitura rispetti standard adeguati;
• Formazione e consapevolezza: la direttiva promuove una cultura diffusa della cybersicurezza,
  con formazione continua e simulazioni di incidenti per tutto il personale;
• Aggiornamento tecnologico: molte PA dovranno investire nell’aggiornamento delle infrastrutture, adottando tecnologie di monitoraggio avanzate e sistemi di autenticazione forte;
• Azioni per mancato adeguamento: fino al 2% del fatturato per le entità essenziali, con possibilità di sospensione dei servizi e obblighi correttivi imposti dalle autorità. L’ACN effettuerà ispezioni e controlli per verificare il rispetto degli obblighi.

Le sanzioni

Il d.lgs. 138 del 4 settembre 2024 prevede un sistema di sanzioni pecuniarie e amministrative differenziate:

• Per i “soggetti essenziali” fino al 2% del fatturato;
• Per i “soggetti importanti” fino all’1,4%;
• Per le PA le violazioni possono arrivare a 125.000 euro;
• Le imprese rischiano anche la sospensione delle attività;
• I dirigenti possono incorrere in responsabilità disciplinari, amministrative e dirigenziali.

Formazione come leva strategica

La complessità del nuovo quadro normativo richiede non solo competenze tecniche, ma anche consapevolezza diffusa a livello organizzativo. In quest’ottica, Maggioli Editore propone un corso di formazione dedicato: “La sicurezza informatica nelle Pubbliche Amministrazioni” – in programma il 23 settembre, online dalle ore 9:00-13:00 e 14:00-16:00. L’iniziativa fornirà un inquadramento operativo delle misure richieste e strumenti pratici per dirigenti e funzionari. Il percorso si inserisce in una più ampia strategia di sensibilizzazione e aggiornamento professionale, fondamentale per affrontare le sfide imposte dalla NIS 2 e dal Regolamento 2024/2690.