Novità in merito alla figura del referente per la cybersicurezza nelle PA, previsto dall’art 8 della legge 90 del 28 giugno 2024. Lo scorso agosto l’ACN, l’Agenzia per la cybersicurezza nazionale, ha infatti stabilito le modalità di comunicazione della nomina da parte dei soggetti coinvolti.
Ecco cosa c’è da sapere:
la comunicazione ad ACN deve essere effettuata via PEC all’indirizzo di posta elettronica certificata di ACN (acn@pec.acn.gov.it) e dovrà contenere:
- la nomina del referente per la cybersicurezza (redatta in forma libera) firmata digitalmente dal rappresentante legale del soggetto, o da persona da lui delegata (in quest’ultimo caso allegare anche la delega);
- il “modulo referente per la cybersicurezza” compilato e firmato dal referente per la cybersicurezza, qui è possibile scaricarlo: https://www.acn.gov.it/portale/referente-per-la-cybersicurezza
Ma facciamo un po’ di chiarezza e tracciamo i punti cardine di questa nuova figura.
Perché un referente della cybersicurezza?
La figura del referente cybersicurezza è nata per difendere le PA dalle sfide della sicurezza digitale di fronte a un aumento massiccio delle minacce cyber e della dipendenza a livello amministrativo dalle tecnologie informatiche. Si tratta quindi di una figura poliedrica che deve essere in grado non solo di affrontare, ma anche di prevenire eventuali attacchi e quindi di garantire un ambiente tecnologico sicuro attraverso un approccio olistico. La sua formazione dunque deve comprendere conoscenze tecniche, capacità di analisi, di comunicazione, di problem solving e di gestione del rischio.
Qual è il riferimento normativo?
La figura del referente è introdotta dalla legge 90 del 28 giugno 2024 “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”. In particolare, l’art 8 “Rafforzamento della resilienza delle pubbliche amministrazioni e referente per la cybersicurezza” prevede l’istituzione di una struttura per lo sviluppo delle politiche e delle procedure di sicurezza. All’interno di questa struttura, deve essere individuato il referente per la cybersicurezza.
Quali sono le PA interessate?
Devono nominare il referente le PA centrali, le regioni e le province autonome di Trento e di Bolzano, le città metropolitane, i comuni con popolazione superiore a 100.000 abitanti e, comunque, i comuni capoluoghi di regione, le società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti, le società di trasporto pubblico extraurbano operanti nell’ ambito delle città metropolitane e le aziende sanitarie locali.
Quali caratteristiche deve avere il referente?
La legge è chiara: il soggetto individuato deve possedere specifiche comprovate professionalità e competenze in materia di cybersicurezza. Se le amministrazioni non dispongono di personale dipendente che risponde a queste caratteristiche, possono nominare un dipendente di una pubblica amministrazione, previa autorizzazione di quest’ultima. La struttura e il referente cyber possono essere individuati, rispettivamente, nell’ ufficio RTD e nel suo responsabile.
Quali sono i compiti del referente?
La struttura e il referente devono provvedere allo sviluppo delle politiche di sicurezza informatica; alla produzione e all’ aggiornamento di sistemi di analisi preventiva e di un piano per la gestione del rischio; alla produzione e all’ aggiornamento di un piano programmatico per la sicurezza di dati, sistemi e infrastrutture; alla pianificazione e all’attuazione di interventi di potenziamento delle capacità per la gestione dei rischi informatici; all’ attuazione delle misure previste dalle linee guida ACN.
Insomma, il tema della sicurezza informatica all’interno delle PA non può essere più eluso, anzi, richiede un intervento massiccio e immediato. Perché se il ricorso alla tecnologia è ormai imprescindibile nella quotidianità amministrativa, bisogna tuttavia farsi carico di tutta una serie di aspetti correlati a esso, come appunto quello della cybersicurezza. Le PA sono quindi chiamate a un nuovo sforzo che richiede prima ancora di un cambiamento organizzativo, un cambiamento culturale a tutti i livelli amministrativi per potere fronteggiare lo scenario attuale e garantire un servizio sicuro all’utenza.