Il quadro italiano della cybersicurezza ha conosciuto, nell'arco del 2024, due interventi normativi di portata sistemica e tra loro complementari. La Legge 28 giugno 2024 n. 90, recante "Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici", pubblicata in Gazzetta Ufficiale n. 153 del 2 luglio 2024 ed entrata in vigore il 17 luglio 2024, ha rafforzato la resilienza cibernetica delle pubbliche amministrazioni e inasprito le pene per i reati informatici. Il D.Lgs. 4 settembre 2024 n. 138, pubblicato in Gazzetta Ufficiale n. 230 del 1° ottobre 2024 ed entrato in vigore il 16 ottobre 2024, ha recepito la Direttiva (UE) 2022/2555 (NIS2), ampliando il perimetro delle entità tenute al rispetto degli standard di sicurezza. Le due fonti operano in stretta sinergia, con un ruolo di coordinamento centrale dell'Agenzia per la Cybersicurezza Nazionale (ACN).
Il quadro normativo
- Costituzione, artt. 15 (segretezza delle comunicazioni), 21 (libertà di manifestazione del pensiero), 41 (libertà economica), 117 c. 2 lett. h) (ordine pubblico e sicurezza);
- Reg. (UE) 2016/679 — GDPR, in particolare artt. 32-34 (sicurezza del trattamento, notifica violazione dati);
- Direttiva (UE) 2022/2555 — NIS2, sostitutiva della Direttiva (UE) 2016/1148 (NIS1);
- Direttiva (UE) 2022/2557 — CER sulla resilienza delle entità critiche;
- D.L. 21 settembre 2019 n. 105 conv. L. 18 novembre 2019 n. 133 — Perimetro di sicurezza nazionale cibernetica;
- D.L. 14 giugno 2021 n. 82 conv. L. 4 agosto 2021 n. 109 — Istituzione dell'Agenzia per la Cybersicurezza Nazionale (ACN);
- L. 28 giugno 2024 n. 90 — Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici;
- D.Lgs. 4 settembre 2024 n. 138 — Recepimento della Direttiva (UE) 2022/2555 (NIS2);
- D.Lgs. 8 giugno 2001 n. 231 — Responsabilità amministrativa degli enti.
La struttura della L. 90/2024
La Legge 90/2024 si compone di 24 articoli ripartiti in due capi:
- Capo I (artt. 1-15) — "Rafforzamento della cybersicurezza nazionale, della resilienza delle pubbliche amministrazioni e del settore finanziario, della governance della sicurezza informatica e dei sistemi di sicurezza nazionale";
- Capo II (artt. 16-24) — "Disposizioni per la prevenzione e il contrasto dei reati informatici nonché in materia di coordinamento degli interventi in caso di attacchi a sistemi informatici o telematici e di sicurezza delle banche di dati in uso presso gli uffici giudiziari".
I soggetti destinatari degli obblighi (art. 1 L. 90/2024)
L'art. 1 della L. 90/2024 individua i soggetti pubblici e privati tenuti agli obblighi di notifica degli incidenti informatici:
- Organi costituzionali e di rilievo costituzionale;
- Presidenza del Consiglio dei Ministri;
- Ministeri e pubbliche amministrazioni centrali;
- Regioni, Province autonome e Città metropolitane;
- Comuni capoluogo di Regione ovvero con popolazione superiore a 100.000 abitanti;
- Aziende Sanitarie Locali (ASL) e altri enti del Servizio Sanitario Nazionale;
- Società di trasporto pubblico urbano (con bacino > 100.000 abitanti) ed extraurbano operanti in capoluoghi di regione o Province autonome;
- Società di gestione delle reti di pubblica utilità in capoluoghi di regione o Province autonome.
La notifica degli incidenti (art. 1 L. 90/2024)
Il punto cardine della L. 90/2024 è l'obbligo per i soggetti destinatari di notificare gli incidenti informatici all'ACN entro tempi stringenti:
- Prima notifica: entro 24 ore dal momento in cui il soggetto ha conoscenza dell'incidente;
- Notifica completa: entro 72 ore dal momento in cui il soggetto ha conoscenza dell'incidente, con una descrizione tecnica dettagliata.
La notifica avviene attraverso le procedure pubblicate sul sito dell'ACN. L'omessa o tardiva notifica può comportare l'irrogazione di sanzioni pecuniarie da € 25.000 a € 125.000.
Il referente per la cybersicurezza (art. 8 L. 90/2024)
Le PA destinatarie degli obblighi devono designare un referente per la cybersicurezza, che svolge anche la funzione di punto di contatto unico dell'amministrazione con l'ACN. La funzione può essere attribuita a soggetto interno o esterno; il referente è figura strategica della governance interna della sicurezza cibernetica.
La governance: ACN, Nucleo per la Cybersicurezza, servizi di informazione
La L. 90/2024 ridefinisce gli assetti istituzionali della cybersicurezza:
- Agenzia per la Cybersicurezza Nazionale (ACN): istituita dal D.L. 82/2021, è l'autorità nazionale competente in materia di cybersicurezza; ospita il CSIRT Italia (Computer Security Incident Response Team);
- Nucleo per la Cybersicurezza: articolazione dell'ACN, può essere integrato da rappresentanti della Direzione Nazionale Antimafia e Antiterrorismo (DNA) e della Banca d'Italia;
- Raccordo tra ACN e servizi di informazione per la sicurezza (art. 6);
- Raccordo con il Comitato Interministeriale per la Sicurezza della Repubblica (CISR) (art. 7).
I contratti pubblici e i criteri di cybersicurezza (artt. 14-15 L. 90/2024)
Gli artt. 14 e 15 della L. 90/2024 introducono criteri di cybersicurezza nella disciplina dei contratti pubblici di beni e servizi informatici. Le PA destinatarie devono inserire nei bandi clausole di sicurezza (cd. "cybersecurity by design"), valutando l'adeguatezza tecnica delle soluzioni proposte e la provenienza dei fornitori. Si introduce inoltre il divieto di assunzione presso soggetti privati con mansioni in materia di cybersicurezza, per i dipendenti ACN che abbiano partecipato a specifici percorsi formativi, per la durata di 2 anni dalla cessazione del rapporto.
Le modifiche al codice penale sui reati informatici (Capo II L. 90/2024)
Il Capo II della L. 90/2024 introduce un'ampia novella in materia di reati informatici, con inasprimento delle pene e nuove circostanze aggravanti. I principali interventi:
| Articolo c.p. | Fattispecie | Modifica |
|---|---|---|
| Art. 615-ter | Accesso abusivo a sistema informatico o telematico | Inasprimento pena base e aggravanti |
| Art. 615-quater | Detenzione, diffusione e installazione abusiva di apparecchiature, codici e altri mezzi | Inasprimento pena |
| Art. 617-bis | Installazione di apparecchiature atte a intercettare comunicazioni | Inasprimento pena |
| Art. 617-quater | Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche | Inasprimento pena |
| Art. 629 c. 3 | Estorsione mediante reati informatici (nuova fattispecie aggravata — cyber-estorsione) | Introduzione ex novo |
| Artt. 635-bis, ter, quater, quinquies | Danneggiamento di informazioni, dati e programmi informatici; danneggiamento di sistemi informatici | Inasprimento pene |
L'art. 22 L. 90/2024: coordinamento ACN-PM
L'art. 22 della L. 90/2024 ha modificato il codice di procedura penale introducendo specifiche disposizioni di coordinamento tra Procura della Repubblica e ACN nei procedimenti per reati informatici. In particolare:
- Il pubblico ministero, quando procede ad accertamenti tecnici irripetibili in relazione a delitti di reato informatico, deve informare l'ACN;
- L'ACN può assistere al conferimento dell'incarico al consulente tecnico e ai successivi atti;
- Sono previste forme di condivisione informativa tra ACN e Procure, anche al fine di prevenire la diffusione di attacchi simili.
Il D.Lgs. 138/2024: recepimento della Direttiva NIS2
Il D.Lgs. 4 settembre 2024 n. 138 ha attuato la Direttiva (UE) 2022/2555 (NIS2), sostituendo la precedente disciplina del D.Lgs. 65/2018 (NIS1, ora abrogato). Il quadro è significativamente più ampio e stringente di quello previgente. Si applica a 18 settori (11 "altamente critici" e 7 "critici") per oltre 80 tipologie di soggetti, stimati in circa 50.000 entità sul territorio nazionale.
Le categorie di soggetti NIS (art. 6 D.Lgs. 138/2024)
L'art. 6 distingue tra:
- Soggetti essenziali: enti pubblici e operatori privati in settori altamente critici (energia, trasporti, sanità, finanza, infrastrutture digitali, PA, ecc.) che superano criteri dimensionali (oltre 250 dipendenti o fatturato > € 50 mln o bilancio > € 43 mln);
- Soggetti importanti: operatori economici dei settori individuati dagli Allegati I-IV, non considerati essenziali.
L'ACN può comunque qualificare specifici soggetti come essenziali indipendentemente dalle dimensioni, quando rivestano ruoli particolarmente critici per il funzionamento dei servizi pubblici.
I settori coperti dalla NIS2
| Settori altamente critici (Allegato I) | Settori critici (Allegato II) |
|---|---|
| Energia | Servizi postali e di corriere |
| Trasporti | Gestione dei rifiuti |
| Settore bancario | Fabbricazione, produzione e distribuzione di sostanze chimiche |
| Infrastrutture dei mercati finanziari | Produzione, trasformazione e distribuzione di alimenti |
| Sanità | Fabbricazione (dispositivi medici, elettronica, macchinari, autoveicoli) |
| Acqua potabile e acque reflue | Fornitori di servizi digitali |
| Infrastrutture digitali | Ricerca |
| Gestione dei servizi TIC business-to-business | — |
| Pubblica Amministrazione | — |
| Spazio | — |
La registrazione dei soggetti NIS (art. 7 D.Lgs. 138/2024)
I soggetti destinatari devono registrarsi sulla piattaforma digitale gestita dall'ACN:
- Prima finestra di registrazione: 1° dicembre 2024 – 28 febbraio 2025; rinnovo annuale gennaio-febbraio 2026;
- A partire dal 12 aprile 2025 l'ACN ha avviato le notifiche ai soggetti interessati comunicando la qualificazione come essenziale, importante o fuori ambito; su oltre 30.000 registranti, l'elenco definitivo comprende oltre 20.000 organizzazioni, di cui più di 5.000 soggetti essenziali;
- Successivamente alla qualificazione, il soggetto deve attuare le misure di sicurezza entro 18 mesi: la scadenza definitiva per tutti i soggetti è il 31 ottobre 2026; da tale data l'ACN avvia le attività ispettive in piena fase di verifica;
- Le misure di base sono definite dalle Determinazioni ACN: n. 379887/2025 (funzionamento piattaforma NIS, in vigore dal 31/12/2025); n. 379907/2025 (specifiche di base per governance, gestione rischi, notifiche e sicurezza DNS, applicabile dal 15/1/2026).
Gli obblighi in materia di sicurezza informatica (art. 24 D.Lgs. 138/2024)
L'art. 24 elenca le 10 categorie di misure tecniche, operative e organizzative che i soggetti essenziali e importanti devono adottare:
- Politiche di analisi dei rischi e di sicurezza dei sistemi informativi;
- Gestione degli incidenti;
- Continuità operativa, gestione dei backup, ripristino in caso di disastro, gestione delle crisi;
- Sicurezza della catena di approvvigionamento (supply chain);
- Sicurezza dell'acquisizione, sviluppo e manutenzione di reti e sistemi informativi;
- Politiche e procedure per valutare l'efficacia delle misure;
- Pratiche di igiene cibernetica e formazione;
- Politiche e procedure relative all'uso della crittografia e, ove opportuno, della cifratura;
- Sicurezza delle risorse umane, strategie di controllo dell'accesso e gestione degli asset;
- Uso di soluzioni di autenticazione a più fattori o autenticazione continua, comunicazioni vocali e video protette, comunicazioni di emergenza sicure.
I soggetti essenziali devono attuare le 43 misure e i 116 requisiti dell'Allegato 2 della Determinazione ACN attuativa, articolati su cinque ambiti del Framework Nazionale per la Cybersecurity e la Data Protection (edizione 2025): identificare, proteggere, rilevare, rispondere, recuperare.
La responsabilità degli organi direttivi (art. 23 D.Lgs. 138/2024)
L'art. 23 introduce una rilevante responsabilità apicale: gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e importanti sono tenuti a:
- Approvare le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica;
- Supervisionare l'attuazione delle misure;
- Rispondere personalmente delle eventuali violazioni;
- Seguire specifici percorsi formativi in materia di cybersicurezza.
La notifica degli incidenti al CSIRT Italia (art. 25 D.Lgs. 138/2024)
I soggetti essenziali e importanti devono notificare al CSIRT Italia gli incidenti significativi secondo tre livelli temporali:
- Pre-notifica (cd. early warning): entro 24 ore;
- Notifica intermedia: entro 72 ore, con valutazione iniziale, livello di gravità e impatto;
- Relazione finale: entro 1 mese dalla notifica intermedia, con la descrizione dettagliata, la causa probabile, le misure adottate e quelle in corso di applicazione.
La piena operatività del regime di notifica è in vigore dal 15 gennaio 2026 ai sensi della Determinazione ACN 379907/2025, terminata la fase transitoria di tolleranza.
Il regime sanzionatorio (artt. 38-39 D.Lgs. 138/2024)
| Categoria | Sanzione massima |
|---|---|
| Soggetti essenziali | Fino a € 10 milioni o al 2% del fatturato annuo mondiale (il maggiore) |
| Soggetti importanti | Fino a € 7 milioni o all'1,4% del fatturato (il maggiore) |
| Violazioni minori | Sanzioni amministrative pecuniarie graduate |
Sono inoltre previste sanzioni accessorie per i soggetti apicali (sospensione temporanea da funzioni dirigenziali).
Il rapporto con il GDPR e altre normative
La disciplina della cybersicurezza si coordina con altre normative europee e nazionali:
- GDPR (Reg. UE 2016/679): in caso di incidente che comporti anche data breach, restano applicabili gli obblighi di notifica al Garante della Privacy entro 72 ore (art. 33);
- Perimetro di sicurezza nazionale cibernetica (D.L. 105/2019): i soggetti già inclusi nel "Perimetro" rispondono di una disciplina specifica e ancora più stringente;
- Direttiva CER (UE) 2022/2557: recepita con D.Lgs. specifico per le entità "critiche" da un punto di vista non solo cibernetico ma fisico;
- Regolamento DORA (UE) 2022/2554: in vigore dal 17/1/2025 per la Digital Operational Resilience del settore finanziario.
Il ruolo della Polizia Postale e delle altre forze di polizia
Sul versante repressivo dei reati informatici, le competenze sono attribuite principalmente:
- Alla Polizia Postale e delle Comunicazioni, articolazione specializzata della Polizia di Stato;
- Al Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza;
- Al Reparto Operativo dell'Arma dei Carabinieri (Sezioni Operative Speciali, RIS);
- Alla Direzione Nazionale Antimafia e Antiterrorismo per i casi più gravi;
- Alle Procure distrettuali dedicate al cybercrime.
La Polizia Municipale svolge funzioni di prima rilevazione di alcuni reati informatici (ad es. revenge porn, sostituzione di persona online) e di trasmissione delle notizie di reato alle articolazioni competenti.
Per gli aspiranti operatori della PA — Il sistema della cybersicurezza è materia centrale dei concorsi pubblici per profili amministrativi, ICT e di vigilanza. Vanno padroneggiati: (i) L. 90/2024: 24 articoli, vigore 17/7/2024; obbligo di notifica incidenti all'ACN entro 24h+72h per le PA destinatarie; referente cybersicurezza; modifiche ai reati informatici del c.p.; (ii) D.Lgs. 138/2024: recepimento NIS2, vigore 16/10/2024; ACN autorità competente + CSIRT Italia; 18 settori, 80 tipologie soggetti, ~50.000 entità; (iii) distinzione tra soggetti essenziali e importanti; (iv) art. 23 responsabilità organi direttivi; (v) art. 24 10 categorie di misure; (vi) art. 25 notifica incidenti in 3 fasi (24h-72h-1 mese); (vii) sanzioni fino a € 10 mln/2% (essenziali) e € 7 mln/1,4% (importanti); (viii) coordinamento con GDPR, Perimetro cyber e DORA.
Sintesi per concorsi pubblici
Domanda tipo: "Il candidato illustri il quadro normativo italiano in materia di cybersicurezza nazionale, con riferimento alla Legge 90/2024 e al D.Lgs. 138/2024 di recepimento della Direttiva NIS2".
Risposta strutturata: (i) cornice europea: Direttiva (UE) 2022/2555 NIS2 (sostitutiva NIS1 del 2016), Direttiva (UE) 2022/2557 CER, Regolamento DORA; (ii) L. 28/6/2024 n. 90: 24 articoli, vigore 17/7/2024; (iii) obbligo notifica incidenti all'ACN entro 24h (prima notifica) e 72h (rapporto completo); (iv) soggetti destinatari L. 90/2024: PA centrali, Regioni, Città metropolitane, Comuni capoluogo o > 100.000 ab., ASL, trasporto pubblico, reti pubblica utilità; (v) referente per la cybersicurezza e punto contatto unico con ACN; (vi) governance: ACN (D.L. 82/2021), Nucleo per la Cybersicurezza, CSIRT Italia; (vii) novella codice penale (artt. 615-ter, 615-quater, 617-bis, 617-quater, 629 c.3 cyber-estorsione, 635-bis e ss.); (viii) D.Lgs. 4/9/2024 n. 138: recepimento NIS2, vigore 16/10/2024, abroga D.Lgs. 65/2018; (ix) 18 settori, 80 tipologie soggetti, ~50.000 entità; (x) soggetti essenziali e importanti; (xi) registrazione 1/12/2024-28/2/2025 sulla piattaforma ACN; (xii) art. 23: responsabilità organi direttivi; (xiii) art. 24: 10 categorie di misure; (xiv) art. 25: notifica incidenti CSIRT in 3 livelli; (xv) sanzioni: € 10 mln/2% essenziali, € 7 mln/1,4% importanti; (xvi) coordinamento con GDPR (art. 33), Perimetro cyber, DORA.
Manuale per Concorsi in Polizia Municipale 2026
Manuale completo 2026 per il concorso in Polizia Municipale: Diritto Costituzionale, TUEL, Codice della Strada e 15 capitoli sui sinistri stradali.
Vedi su Amazon ↗ Audiolibro