Normativa
La soluzione ideale per essere in linea con gli obblighi di legge ed evitare sanzioni
La protezione delle informazioni sensibili è un obbligo di legge e una responsabilità verso te stesso e gli altri, generando inoltre valore in termini di reputazione e affidabilità.
La Direttiva sulla sicurezza delle Reti e dei Sistemi Informativi dell’Unione Europea
Attuata in Italia con il Decreto legislativo n.65 del 18 maggio 2018 e il Regolamento Europeo 2016/679 o GDPR obbligano a:
- Comunicare all’autorità competente senza ingiustificato ritardo qualsiasi incidente di sicurezza;
- Adottare misure appropriate per prevenire incidenti di sicurezza e minimizzarne l’impatto;
- Adottare misure tecniche e organizzative per rendere sicure le proprie reti e i sistemi informatici;
- Tenere conto degli ultimi sviluppi e prendere in considerazione i potenziali rischi dei loro sistemi.
L’Italia con il decreto legislativo 65/2018 ha previsto delle sanzioni amministrative fino a 150.000 euro per gli Operatori di Servizi Essenziali e i Fornitori di Servizi Digitali che non rispettino gli obblighi previsti dalla legge. Nei casi più gravi di violazione del GDPR, l’Italia ha previsto col D.lgs. 196/2003+D.lgs. 101/2018, sanzioni penali che arrivano fino a 5 anni di reclusione. Risarcimenti di varie entità potrebbero essere richiesti dagli interessati vittime delle violazioni in caso di danni materiali e/o immateriali (danni d’immagine, di salute, economici ecc). Il 17 gennaio 2023 è stata approvata una nuova direttiva europea, la NIS2. Da quel momento in poi, gli Stati membri dell’Unione Europea avranno a disposizione 21 mesi (18 ottobre 2024) per adottare e pubblicare i relativi atti nazionali di recepimento. Allo stesso tempo, i soggetti pubblici e privati interessati saranno chiamati a preparare e allineare la loro organizzazione e i loro processi ai nuovi obblighi di sicurezza.
Il nuovo codice degli Appalti Pubblici
Il nuovo codice degli appalti pubblici trasforma in norma quello che l’Agenzia per la cybersicurezza aveva già stabilito, pur con efficacia non vincolante, in una specifica circolare. Con l’entrata in vigore del Codice, le pubbliche amministrazioni sono ora costrette a prevedere e valutare come elemento qualificante autonomo le caratteristiche di sicurezza dei prodotti e servizi da acquistare. All’articolo 108 del nuovo Codice dei Contratti (Criteri di aggiudicazione degli appalti di lavori, servizi e forniture), al comma 4 si legge: “Nelle attività di approvvigionamento di beni e servizi informatici, le stazioni appaltanti, incluse le centrali di committenza, nella valutazione dell’elemento qualitativo ai fini dell’individuazione del miglior rapporto qualità prezzo per l’aggiudicazione, tengono sempre in considerazione gli elementi di cybersicurezza, attribuendovi specifico e peculiare rilievo nei casi in cui il contesto di impiego è connesso alla tutela degli interessi nazionali strategici.” “…quando i beni e servizi informatici oggetto di appalto sono impiegati in un contesto connesso alla tutela degli interessi nazionali strategici, la stazione appaltante stabilisce un tetto massimo per il punteggio economico entro il limite del 10 per cento. Per i contratti ad alta intensità di manodopera, la stazione appaltante stabilisce un tetto massimo per il punteggio economico entro il limite del 30 per cento”.