fbpx
Skip links

La figura del referente per la cybersicurezza

Redazionale a cura di Stefano Gazzella, DPO DITEDI

 

L’approvazione del DDL Cybersicurezza, la L. n. 90 del 28 giugno 2024 “Disposizioni in materia di rafforzamento della cybersicurezza” introduce nuovi obblighi per le amministrazioni pubbliche individuate dall’art. 1, fra i quali emerge quello di designare un referente per la cybersicurezza. Tale figura, i cui requisiti sono specifiche e comprovate professionalità e competenze in materia di cybersicurezza, può essere ricoperta anche da un dipendente di una diversa amministrazione pubblica e deve svolgere la funzione di punto di contatto unico con l’Agenzia per la cybersicurezza nazionale (ACN) alla quale deve essere comunicato il nominativo a cura del designante.

Tale funzione si deve trovare ad operare all’interno di una struttura – già esistente o da costituire – interna all’amministrazione e preposta a svolgere alcuni compiti puntualmente individuati all’interno dell’art. 8:

  • sviluppo delle politiche e delle procedure di sicurezza delle informazioni;
  • produzione e aggiornamento di sistemi di analisi preventiva di rileva­mento e di un piano per la gestione del ri­schio informatico;
  • produzione e aggiornamento di un documento che definisca i ruoli e l’organizzazione del sistema per la sicurezza delle informazioni dell’amministrazione;
  • produzione e aggiornamento di un piano programmatico per la sicurezza di dati, sistemi e infrastrutture dell’ammini­strazione;
  • pianificazione e attuazione di interventi di potenziamento delle capacità per la gestione dei rischi informatici, in co­erenza con i piani adottati;
  • pianificazione e attuazione dell’adozione delle misure previste dalle li­nee guida per la cybersicurezza emanate da ACN;
  • monitoraggio e valutazione continua delle minacce alla sicurezza e delle vulnerabilità dei sistemi per il loro pronto aggiornamento di sicurezza.

 

Il ruolo della funzione del referente per la cybersicurezza è pertanto destinato sia al coordinamento interno delle attività della struttura in materia di sicurezza delle informazioni (ambito necessariamente più ampio della sola sicurezza informatica) che dei rapporti con ACN, fra cui il più rilevante è la segnalazione di incidente entro 24 ore (similmente alla pre-allerta prevista dalla NIS 2) con successiva notifica integrativa entro 72 ore.

 

A seconda dell’assetto organizzativo dell’ente, sarà ovviamente possibile aggiungere anche ulteriori compiti e funzioni, purché ovviamente le risorse e dotazioni siano sufficienti per garantire quanto meno lo svolgimento dei compiti individuati dalla norma.