La l. 28 giugno 2024, n. 90 ha introdotto nuove disposizioni in materia di rafforzamento della cybersicurezza nazionale.
Tra le diverse novità, sono previsti obblighi rivolti alle strutture deputate ad assicurare la corretta gestione dei profili di sicurezza informatica presso enti di natura privata rientranti nel “perimetro di sicurezza nazionale cibernetica” e pubbliche amministrazioni, riguardanti in particolare i software e gli strumenti che impiegano soluzioni di cifratura.
Tali strutture dovranno infatti verificare la conformità di queste tecnologie alle linee guida sulla crittografia, nonché a quelle sulla conservazione delle password adottate dall'Agenzia per la cybersicurezza nazionale e dal Garante privacy e, in aggiunta, l’eventuale presenza di vulnerabilità note, tali da rendere disponibili e comprensibili a terzi i dati cifrati.
Ulteriori novità riguardano gli obblighi di notifica degli incidenti di sicurezza e la nomina del “referente per la cybersicurezza”, da individuare in ragione di specifiche e comprovate professionalità e competenze in materia di cybersicurezza, all’interno di strutture alle quali occorre affidare specifiche competenze in materia di cybersecurity, tra cui lo sviluppo delle politiche e delle procedure di sicurezza delle informazioni, la produzione e all'aggiornamento di sistemi di analisi preventiva di rilevamento e di un piano per la gestione del rischio informatico, la produzione e l’aggiornamento di un piano programmatico per la sicurezza di dati, sistemi e infrastrutture dell'amministrazione e la pianificazione e l’attuazione di interventi di potenziamento delle capacità per la gestione dei rischi informatici.
