**”Cyber Sicurezza 2025: La Rivoluzione Normativa per le Pubbliche Amministrazioni Italiane”**

Dicembre 12, 2024 Certinews Magazine, E-Magazine, News
**"Cyber Sicurezza 2025: La Rivoluzione Normativa per le Pubbliche Amministrazioni Italiane"**

# La Cyber Sicurezza nel 2025: Un Nuovo Inizio per le Pubbliche Amministrazioni

Il 2025 rappresenta un anno cruciale per le pubbliche amministrazioni e per le organizzazioni private, in particolare per coloro che devono affrontare gli obblighi previsti dalle recenti normative italiane e europee in materia di cyber sicurezza. Con l’avvicinarsi di questa data, è fondamentale comprendere il contesto legislativo e le modalità attraverso cui le istituzioni devono adeguarsi per garantire un adeguato livello di protezione contro le minacce informatiche.

## Normative Chiave: Legge n. 90 del 2024 e Decreto Legislativo n. 138/24

Al centro di questo nuovo scenario normativo ci sono due strumenti fondamentali: la Legge n. 90 del 2024, che stabilisce disposizioni per rafforzare la cybersicurezza nazionale e affrontare i reati informatici, e il Decreto Legislativo n. 138/24, il quale recepisce la direttiva NIS 2, ideata per garantire un livello elevato di sicurezza informatica all’interno dell’Unione Europea. Queste normative non solo impongono obblighi specifici, ma mirano anche a promuovere una cultura della sicurezza e della protezione delle informazioni all’interno delle pubbliche amministrazioni.

### Obiettivi delle Normative

Il principale obiettivo di queste normative è rafforzare la capacità delle pubbliche amministrazioni nel prevenire, gestire e rispondere agli incidenti informatici. Ciò implica una gestione adeguata del rischio cyber e una preparazione costante alle minacce emergenti.

## Aree Comuni di Intervento

Sebbene i due testi normativi abbiano differenze nei dettagli, ci sono alcune aree comuni di intervento fondamentali che le amministrazioni devono considerare:

### Notifica degli Incidenti

Uno dei punti centrali è l’obbligo di notifica degli incidenti informatici. Sia la Legge n. 90 del 2024 che il Decreto Legislativo n. 138/24 richiedono una notifica iniziale degli incidenti entro 24 ore dalla loro identificazione, seguita da una relazione più dettagliata entro 72 ore. Questa tempistica è cruciale per garantire una risposta rapida e adeguata agli eventi ingiuriosi.

### Nozione di Incidente Informatico

Entrambe le normative forniscono definizioni e criteri per la classificazione degli incidenti informatici. La Legge n. 90 lascia spazio a riferimenti esterni per la tassonomia degli incidenti, mentre il Decreto NIS 2 offre già una spiegazione chiara e articolata, delineando i requisiti specifici per la notifica di un incidente significativo.

## Governance e Gestione del Rischio Cyber

Il rafforzamento della governance e della gestione del rischio cyber è un altro aspetto centrale. Entrambi i testi normativi enfatizzano la necessità di designare responsabili della cybersicurezza all’interno delle amministrazioni. La Legge n. 90, in particolare, richiede la creazione di una struttura dedicata alla gestione del rischio, che deve monitorare attivamente le misure di sicurezza.

Fornire un quadro di riferimento per la gestione del rischio è fondamentale non solo per garantire conformità alle normative, ma anche per promuovere una cultura della cyber sicurezza che permei l’intera organizzazione.

## Il Ruolo del Procurement

Il settore degli acquisti pubblici, ovvero il procurement, gioca un ruolo significativo nell’assicurare un ambiente sicuro. La Legge n. 90 del 2024 stabilisce requisiti speciali per i contratti pubblici relativi a beni e servizi informatici, ponendo l’accento sulla sicurezza delle informazioni e sull’identificazione di fornitori che soddisfino criteri appropriati di sicurezza.

Analogamente, il Decreto NIS 2 richiede che vengano adottate misure di gestione del rischio anche nelle catene di approvvigionamento. Questa attenzione è fondamentale per garantire che le vulnerabilità non si estendano lungo la filiera e compromettano le capacità di risposta e recupero dalle minacce.

## Un Modello di Compliance Comune

L’emergere di un modello comune di compliance, che integri i requisiti delle normative nazionali ed europee, è essenziale. Le pubbliche amministrazioni possono beneficiare di un approccio sistemico che unisca la compliance alle normative interne e quelle dell’Unione Europea. Ciò implica non solo l’adempimento agli obblighi normativi, ma anche la promozione di una cultura di condivisione delle informazioni in materia di sicurezza informatica.

Share Button