Quello della sicurezza informatica è un argomento che sta diventando sempre più importante, sia per le aziende private che per il settore pubblico. E se le prime, da qualche tempo, si sono dotate di professionisti ad hoc, le seconde sono ancora troppo vulnerabili alle minacce informatiche. Per questo il governo, con un recente disegno di legge, ha introdotto l’obbligo per alcune Pa di dotarsi di una struttura preposta alle attività di cybersicurezza e della figura del referente per la cybersicurezza, che sarà l’unico punto di contatto tra le amministrazioni coinvolte e l’Agenzia per la cybersicurezza nazionale.
Tra gli emendamenti approvati figurano, inoltre, quelli che mirano a definire meglio le competenze di questa nuova figura professionale e che consentono la possibilità di identificarla nell’ufficio e nel responsabile per la transizione al digitale o di affidare l’incarico ad un altro dipendente della Pa o gestirlo in forma associata. Altri emendamenti hanno l’obiettivo di stanziare fondi destinati a formazione e nuove assunzioni.
Le amministrazioni destinatarie delle nuove norme sono tutte quelle centrali incluse nell’elenco annuale dell’Istat, le regioni e le province autonome di Trento e Bolzano, le città metropolitane, i comuni con una popolazione superiore ai 100mila abitanti, i comuni capoluoghi di regione, le società di trasporto pubblico urbano con un bacino di utenza non inferiore ai 100mila abitanti, le società di trasporto pubblico extraurbano operanti nell’ambito delle città metropolitane, le aziende sanitarie locali, le società in house degli enti sopracitati fornitrici di servizi informatici, dei servizi di trasporto sopra indicati, dei servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali ovvero servizi di gestione dei rifiuti.
La struttura per la cybersicurezza, in particolare, dovrà provvedere allo sviluppo di politiche e procedure di sicurezza delle informazioni, alla produzione e all’aggiornamento di un piano per il rischio informatico e di sistemi di analisi preventiva di rilevamento del rischio informatico, alla produzione e all’aggiornamento di un documento che definisca i ruoli e l’organizzazione del sistema per la sicurezza delle informazioni dell’amministrazione, alla pianificazione e all’attuazione di interventi di potenziamento delle capacità per la gestione dei rischi informatici, alla pianificazione e all’attuazione dell’adozione delle misure previste dalle linee guida per la cybersicurezza emanate dall’Agenzia per la cybersicurezza nazionale, e al monitoraggio e alla valutazione continua delle minacce alla sicurezza e alla vulnerabilità dei sistemi.
All’interno di queste strutture, verrà, come detto, individuata la figura del referente per la cybersicurezza, con comprovate competenze in materia. In mancanza di una tale figura potrà essere incaricato il dipendente di un’altra pubblica amministrazione previa autorizzazione. Oppure sarà possibile individuare la struttura per la cybersicurezza e il referente per la cybersicurezza nell’ufficio e nel responsabile per la transizione al digitale oppure tali compiti, per le Pa diverse dalle amministrazioni dello Stato, potranno essere esercitati in forma associata.
