Nomina del referente cybersicurezza: ACN indica alle amministrazioni le modalità di comunicazione. Comunicazione n. 56/24 resa ai sensi dell’art. 39 GDPR.

Richiamati i seguenti riferimenti normativi:

1. Direttiva UE 2022/2555 relativa alle misure per un livello comune elevato di cibersicurezza nell’Unione Europea (direttiva NIS 2)[1].

2. legge n. 90 del 2024 contenete “Disposizioni in materia di rafforzamento della cyber sicurezza nazionale e di reati informatici” e adempimenti a carico deli soggetti destinatari della norma[2].

Ritenuto di dovere suggerire agli enti di dotarsi di una struttura per la cybersicurezza, anche fra quelle già esistenti, nell’ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente.

Tale struttura, che può essere individuata anche in quella dell’ufficio del responsabile per la transizione al digitale, deve provvedere a:

a. lo sviluppo di politiche e procedure di sicurezza delle informazioni;

b. la produzione e l’aggiornamento di un piano per il rischio informatico, nonché di sistemi di analisi preventiva di rilevamento del rischio informatico;

c. la produzione e l’aggiornamento di un documento che definisca i ruoli e l’organizzazione del sistema per la sicurezza delle informazioni dell’amministrazione;

d. la pianificazione e l’attuazione di interventi di potenziamento delle capacità per la gestione dei rischi informatici, a partire dalla produzione dei piani precedentemente elencati;

e. la pianificazione e l’attuazione dell’adozione delle misure previste dalle linee guida per la cybersicurezza emanate dall’Agenzia per la Cybersicurezza Nazionale;

f. il monitoraggio e la valutazione continua delle minacce alla sicurezza e alla vulnerabilità dei sistemi per il loro pronto aggiornamento di sicurezza.

Preso atto della figura del referente cybersicurezza, introdotta dalla Legge 28 giugno 2024, n. 90, recante: “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”. (Il link a cui collegarsi per prendere visione della normativa è il seguente: https://www.gazzettaufficiale.it/eli/id/2024/07/02/24G00108/sg ).

La Legge – all’articolo 8 – prevede che debba essere individuato il referente per la cybersicurezza che deve provvedere, ad esempio:

allo sviluppo delle politiche di sicurezza informatica,
alla produzione e all’aggiornamento di sistemi di analisi preventiva e del piano per la gestione del rischio,
alla produzione e all’aggiornamento di un piano programmatico per la sicurezza di dati, sistemi e infrastrutture,
all’attuazione delle linee guida adottate da ACN.

Pertanto è fatto obbligo di procedere, qualora non si sia già adempiuto, alla nomina del referente per la cybersicurezza, individuato in ragione di specifiche e comprovate professionalità e competenze in materia di cybersicurezza

Il referente per la cybersicurezza svolge anche la funzione di punto di contatto unico dell’ente con l’Agenzia per la cybersicurezza nazionale in relazione a quanto previsto dalla citata legge.

A tale fine, il nominativo del referente per la cybersicurezza è comunicato all’Agenzia per la cybersicurezza nazionale.

Il referente per la cybersicurezza può essere individuato nel responsabile per la transizione al digitale previsto dall’articolo 17 del codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82.

Con la presente si comunica che nel corso del mese di agosto, ACN ha indicato le modalità con cui deve avvenire la comunicazione del Referente cybersicurezza nelle amministrazioni.

La comunicazione ad ACN, da effettuare via PEC all’indirizzo di posta elettronica certificata di ACN (acn@pec.acn.gov.it), dovrà:

essere effettuata via PEC;
contenere la nomina del referente per la cybersicurezza firmata digitalmente
contenere il “modulo referente per la cybersicurezza”, scaricabile dal sito dell’Agenzia, compilato e firmato dal referente per la cybersicurezza.

La nomina del referente per la cybersicurezza (redatta in forma libera) sarà firmata digitalmente dal rappresentante legale del soggetto, o da persona da lui delegata (in quest’ultimo caso allegare anche la delega);

Il “modulo referente per la cybersicurezza”, scaricabile dal sito dell’Agenzia, sarà compilato e firmato dal referente per la cybersicurezza.

Il modulo per comunicare gli estremi del referente per la cybersicurezza è il seguente: https://www.acn.gov.it/portale/referente-per-la-cybersicurezza

[1] DIRETTIVA (UE) 2022/2555 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 14 dicembre 2022 relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2). Link: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32022L2555

[2] Ai sensi del considerando (15) della NIS 2, “ I soggetti che rientrano nell’ambito di applicazione della presente direttiva ai fini del rispetto delle misure di gestione dei rischi di cibersicurezza e degli obblighi di segnalazione dovrebbero essere classificati in due categorie, essenziali e importanti, in funzione della loro importanza per il settore o il tipo di servizi che forniscono, nonché delle loro dimensioni. A tale riguardo, si dovrebbe tenere debitamente conto, se del caso, di tutte le valutazioni settoriali dei rischi o di tutti gli orientamenti pertinenti elaborati dalle autorità competenti. I regimi di esecuzione e di vigilanza per tali due categorie di soggetti dovrebbero essere differenziati per garantire un giusto equilibrio tra i requisiti e gli obblighi basati sui rischi, da un lato, e gli oneri amministrativi derivanti dalla vigilanza della conformità, dall’altro.”

Articoli

Categorie

Eli e Sofi: le gemelle virtuali influencer.

MARKETING: team interno vs outsourcing

Fundraising: cos’è e come nasce. Tutti i modi per fare fundraising.

L’utilizzo di sistemi di Intelligenza Artificiale in ambito lavorativo.

Il Responsabile della Conservazione Digitale: gli obblighi in capo agli enti pubblici ed ai soggetti privati.

Propaganda elettorale: Garante, no all’uso dei dati dei pazienti

Il Garante dà l’ok al nuovo sistema di fatturazione elettronica per gli operatori sanitari che andrà in vigore dal 1° gennaio 2026.

L’autenticità dei dati, quale ulteriore criterio – insieme alla riservatezza, alla integrità e alla disponibilità – per determinare il livello di sicurezza di una organizzazione.

Il Governo della Intelligenza Artificiale Generale: visto dall’altra sponda dell’Oceano. Come delineare un profilo di rischio per il futuro.

La necessità di una Governance per i sistemi di Intelligenza Artificiale.

La Determinazione 164179 del 14 aprile 2025, ACN con le specifiche di base per l’adempimento agli obblighi previsti dagli articoli 23, 24, 25, 29 e 32 del decreto NIS.

La minaccia cibernetica al settore sanitario: ACN gennaio 2023 – marzo 2025

L’istituzione scolastica e la pubblicazione di foto degli alunni su un social network senza il consenso degli alunni.

Nomina del referente cybersicurezza: ACN indica alle amministrazioni le modalità di comunicazione. Comunicazione n. 56/24 resa ai sensi dell’art. 39 GDPR.

About Author / Davide De Luca

La Direttiva UE 2022/2555 relativa alle misure per un livello comune elevato di cibersicurezza nell’Unione Europea (direttiva NIS 2).

La Direttiva (UE) 2022/2557 CER (Critical Entities Resilience), a proposito delle infrastrutture critiche all’interno della comunità Europea.

Lascia un commento Annulla risposta

Articoli

Categorie

Nomina del referente cybersicurezza: ACN indica alle amministrazioni le modalità di comunicazione. Comunicazione n. 56/24 resa ai sensi dell’art. 39 GDPR.

About Author / Davide De Luca

La Direttiva UE 2022/2555 relativa alle misure per un livello comune elevato di cibersicurezza nell’Unione Europea (direttiva NIS 2).

La Direttiva (UE) 2022/2557 CER (Critical Entities Resilience), a proposito delle infrastrutture critiche all’interno della comunità Europea.

Lascia un commento Annulla risposta

Potrebbe piacerti