Vai al contenuto
Home » Blog » Cybersecurity: una guida tra Legge 90 e NIS 2

Cybersecurity: una guida tra Legge 90 e NIS 2


Il 2025 segna un punto di svolta cruciale per le pubbliche amministrazioni italiane, chiamate ad adeguarsi alle nuove normative in materia di cybersecurity previste dalla Legge n. 90 del 2024 e dalla Direttiva europea NIS 2.

Il Quadro Normativo: Legge 90/2024 e NIS 2

La Legge n. 90 del 2024 introduce misure per rafforzare la sicurezza informatica delle pubbliche amministrazioni, imponendo obblighi volti a prevenire e gestire i rischi informatici su reti, sistemi informativi e servizi critici. Parallelamente, il decreto legislativo n. 138/24 recepisce la Direttiva europea NIS 2, stabilendo standard comuni per garantire un elevato livello di sicurezza informatica nell’Unione Europea.

Dal 13 gennaio 2025, le amministrazioni dovranno rispettare gli obblighi di cybersecurity previsti dalla Legge 90, mentre entro il 28 febbraio 2025, tutti i soggetti pubblici e privati inclusi nel perimetro NIS 2 dovranno registrarsi sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN).

Aree Comuni di Intervento

Nonostante le differenze, Legge 90 e NIS 2 convergono in diverse aree chiave:

Notifica degli Incidenti

Entrambe le normative prevedono un obbligo di notifica degli incidenti informatici. Gli eventi devono essere segnalati entro 24 ore dall’accaduto con una notifica preliminare, seguita da una relazione completa entro 72 ore. Tuttavia, le due normative differiscono nella definizione di “incidente informatico” e nei criteri per determinarne la rilevanza.

Gestione della Governance e del Rischio Cyber

Le pubbliche amministrazioni sono tenute a implementare sistemi di gestione del rischio cyber basati su criteri di proporzionalità e adeguatezza. La Legge 90 richiede la nomina di un referente per la cybersecurity e l’adozione di strutture dedicate alla gestione del rischio. La NIS 2, invece, introduce il concetto di “punto di contatto” tra enti pubblici e l’ACN, semplificando la gestione delle responsabilità.

Procurement e Supply Chain

Entrambe le normative pongono particolare attenzione alla sicurezza nel procurement, con misure stringenti per la selezione di fornitori e contratti relativi a beni e servizi informatici. La NIS 2 include anche requisiti per la sicurezza della catena di approvvigionamento, che si intrecciano con il recente Cyber Resilience Act europeo.

Un Modello di Compliance Comune

Le due normative evidenziano la necessità di un approccio sistemico e integrato alla compliance. Le amministrazioni devono progettare sistemi di sicurezza informatica basati sul principio del “by design”, che includano analisi preventive, pianificazione di misure proporzionate, monitoraggio continuo e gestione efficace degli incidenti.

L’ACN svolgerà un ruolo cruciale nel fornire linee guida operative e promuovere la collaborazione tra enti. Inoltre, la condivisione volontaria di informazioni su minacce, vulnerabilità e tecniche di mitigazione è auspicata per rafforzare la resilienza complessiva del sistema.

L’entrata in vigore della Legge 90 e della NIS 2 rappresenta una sfida significativa per le pubbliche amministrazioni italiane, ma anche un’opportunità per migliorare la propria sicurezza informatica.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *