Legge n. 21.663: Legge quadro sulla cybersicurezza

Categorie

Blog
Notizie

Legge quadro sulla sicurezza informatica e le infrastrutture informatiche critiche

Lunedì scorso, 8 aprile, è stata pubblicata nel nostro Paese la Legge n. 21.633, Legge Quadro sulla Cybersecurity e le Infrastrutture Informatiche Critiche (di seguito, la “Legge”), che mira a definire i principi fondamentali e le strutture essenziali per la salvaguardia dei diritti degli individui nell’ambiente digitale.

Che cos’è la sicurezza informatica?

La legge citata definisce la cybersecurity come la conservazione della riservatezza e dell “integrità delle informazioni e della disponibilità e resilienza delle reti e dei sistemi informatici, con l” obiettivo di proteggere gli individui, la società, le organizzazioni o le nazioni da incidenti di cybersecurity.

A sua volta, questa definizione ci fornisce 4 concetti chiave, che la legge continua a definire come segue:

  1. Riservatezza: proprietà in base alla quale le informazioni non sono accessibili o divulgate a persone, entità o processi non autorizzati.
  2. Integrità: la proprietà che le informazioni non siano state modificate o distrutte senza autorizzazione.
  3. Disponibilità: la proprietà che le informazioni siano disponibili e utilizzabili quando richiesto da un individuo, un’entità o un processo autorizzato.
  4. Resilienza: la capacità delle reti e dei sistemi informatici di continuare a funzionare dopo un incidente di sicurezza informatica, anche se in uno stato degradato, indebolito o segmentato, e la capacità delle reti e dei sistemi informatici di recuperare le proprie funzioni dopo un incidente di sicurezza informatica.
     

Ambito di applicazione della Legge

La Legge si applica alle istituzioni che forniscono servizi qualificati come essenziali e a quelle qualificate come operatori vitali.

I servizi essenziali sono quelli (i) forniti dagli organi dell’amministrazione statale e dal Coordinatore nazionale dell’energia elettrica; (ii) forniti nell’ambito di una concessione di servizio pubblico; e (iii) forniti da istituzioni private che svolgono le seguenti attività:

  • Generazione, trasmissione o distribuzione di energia elettrica;
  • Trasporto, stoccaggio o distribuzione di combustibili;
  • Fornitura di acqua potabile o servizi igienici;
  • Telecomunicazioni;
  • Infrastruttura digitale;
  • Servizi digitali, servizi informatici gestiti da terzi;
  • Trasporto terrestre, aereo, ferroviario o marittimo, nonché il funzionamento delle rispettive infrastrutture;
  • Servizi bancari, finanziari e mezzi di pagamento;
  • Amministrazione delle prestazioni di sicurezza sociale;
  • Servizi postali e di corriere;
  • Assistenza sanitaria istituzionale fornita da enti come ospedali, cliniche, studi medici e centri medici;
  • Produzione e/o ricerca di prodotti farmaceutici e
  • Altri servizi classificati come essenziali dalla National Cybersecurity Agency (di seguito“NCA”).

L “ANCI stabilirà i fornitori di servizi essenziali che sono qualificati come operatori critici, in base a due requisiti (i)che la fornitura di tale servizio dipende da reti e sistemi informatici; e (ii) che l” alterazione, l “intercettazione, l” interruzione o la distruzione dei loro servizi ha un impatto significativo sulla sicurezza e sull “ordine pubblico; sulla fornitura continua e regolare di servizi essenziali; sull” effettivo adempimento delle funzioni dello Stato; o, in generale, sui servizi che lo Stato deve fornire o garantire.

L’ANCI può qualificare come operatori critici anche le istituzioni private che, oltre ai requisiti di cui sopra, (i) svolgono un ruolo critico nell’approvvigionamento della popolazione, nella distribuzione di beni o nella produzione di quei beni che sono indispensabili o strategici per il Paese; oppure(ii) a causa del grado di esposizione dell’entità ai rischi e alla probabilità di incidenti di cybersecurity, compresa la loro gravità e le relative conseguenze sociali ed economiche.

L’ANCI riesamina e aggiorna la qualifica degli operatori critici ogni 3 anni.

Doveri

  • Obbligo di implementare i protocolli e gli standard stabiliti dall’ANCI, nonché i particolari standard di cybersecurity dettati in base alla rispettiva normativa settoriale.
  • Obbligo di segnalare al CSIRT nazionale gli attacchi informatici e gli incidenti di cybersicurezza che possono avere effetti significativi entro 3 ore dal momento in cui se ne viene a conoscenza.
    • Questo rapporto deve inoltre essere aggiornato entro 24 ore nel caso di operatori salvavita ed entro 72 ore negli altri casi.   
    • Infine, è necessario presentare una relazione finale entro 15 giorni dal rapporto.     
    • Per “effetti significativi” si intendono quelli di cui all’articolo 27 della Legge.
  • ‍Compiti specificidegli operatori di importanza vitale
    • Implementare un sistema di gestione continua della sicurezza delle informazioni;
    • Mantenere un registro delle azioni intraprese;
    • Sviluppare e mantenere piani di continuità operativa e di cybersecurity, che dovrebbero essere certificati e soggetti a revisione periodica;
    • Effettuare continuamente operazioni di revisione, esercitazioni, trapani e analisi di reti, sistemi informatici e impianti;
    • Adottare azioni tempestive e rapide per ridurre l’impatto e la diffusione degli incidenti di sicurezza;
    • Informare le persone potenzialmente interessate del verificarsi di incidenti o attacchi informatici che potrebbero compromettere seriamente le loro informazioni o le loro reti e sistemi informatici;
    • disporre di programmi di formazione, istruzione e aggiornamento per i propri dipendenti; e
    • Nominare un delegato alla sicurezza informatica

Nuovo quadro istituzionale

La legge crea un modello di governance che promuove la gestione del rischio e l’implementazione di standard di cybersecurity attraverso un sistema di collaborazione pubblico-privato, considerando anche la creazione di alcuni enti:

  1. Agenzia Nazionale per la Cybersecurity (ANCI), il cui scopo sarà quello di (i) consigliare il Presidente della Repubblica in materia di cybersecurity, (ii) collaborare alla tutela degli interessi nazionali nel cyberspazio, (iii) coordinare le azioni delle istituzioni competenti in materia di cybersecurity, (iv) garantire la protezione, la promozione e il rispetto del diritto alla sicurezza informatica, e (v) coordinare e supervisionare le azioni degli organi dell’Amministrazione statale in materia di cybersecurity.

Per raggiungere questi obiettivi, l “ANCI sarà dotata di una serie di poteri, tra cui: (i) emanare protocolli, standard e istruzioni generali e specifiche di carattere obbligatorio; (ii) applicare e interpretare amministrativamente le disposizioni legislative e regolamentari in materia di cybersecurity; (iii) monitorare l” osservanza della Legge; (iv) richiedere informazioni ai soggetti cui si applica la Legge; (v) avviare procedimenti disciplinari e sanzionare le violazioni e le inadempienze dei soggetti obbligati.

  1. Consiglio multisettoriale sulla cybersecurity (Consiglio), il cui obiettivo sarà quello di fornire consulenza e raccomandazioni all “ANCI nell” analisi e nella revisione periodica della situazione della cybersecurity del Paese, nello studio delle minacce esistenti e potenziali nel campo della cybersecurity e nel proporre misure per affrontarle.
  2. Rete di connettività sicura dello Stato (RCSE), che fornirà servizi di interconnessione e connettività Internet agli enti amministrativi statali.
  3. Computer Security Incident Response Teams (CSIRT), che avranno lo scopo di prevenire, rilevare, gestire e rispondere agli incidenti di cybersecurity in modo rapido ed efficace. Si tratta del National Computer Security Incident Response Team (CSIRT nazionale), del National Defence Computer Security Incident Response Team (CSIRT nazionale) e degli altri CSIRT appartenenti alle amministrazioni statali.
  4. Comitato interministeriale sulla cybersecurity, che avrà lo scopo di consigliare il Presidente della Repubblica sulle questioni di cybersecurity rilevanti per il funzionamento del Paese.

Sanzioni

La legge classifica le infrazioni in lievi (con multe fino a 5.000 UTM), gravi (con multe fino a 10.000 UTM) e molto gravi (con multe fino a 20.000 UTM).

Ora, nel caso di un operatore vitale, le multe possono arrivare fino al doppio degli importi sopra indicati, raggiungendo i 40.000 UTM.

Validità

A partire dalla data di pubblicazione della Legge, il Presidente della Repubblica avrà un periodo di un anno per emanare uno o più Decreti con forza di Legge che determinino il periodo di entrata in vigore delle norme della Legge, che non potrà essere inferiore a 6 mesi dalla sua pubblicazione.

 Per qualsiasi domanda relativa a questo argomento, contattare Javier Edwards.

Condividi la pubblicazione

Categorie

Blog
Notizie

Iscriviti alla nostra newsletter

Notizie correlate

Contenuti correlati

Vedi tutti

Il suono di Ontier

Campionamento. Il caso sotto pressione

La Corte Suprema stabilisce che i dati personali degli atleti sul doping godono di una maggiore protezione

Calcio femminile, un nuovo contratto collettivo per il futuro.

Obsolescenza della banca tradizionale? O piuttosto, trasformazione strutturale in corso.

“Rafforzare lo sport” obiettivo del Cluster asturiano. Venerdì scorso si è svolta la presentazione del Cluster asturiano dell’industria sportiva a Circur.

CORSO DI FORMAZIONE. Il Nuovo Codice Contratti Pubblici (D.LGS. N. 36/2023). L “aggiudicazione e l” esecuzione dei contratti di appalto pubblico

Fredy Martín Guerra Rojas entra a far parte di Ontier in Perù come partner per la compliance.

Vedi tutti

Più che avvocati.

ONTIER

ONTIER
Vedi tutti

Servizi legali

VEDERE TUTTO

SETTORI

POSIZIONE

© ONTIER 2025 Ontier España Slu