Dal 18 ottobre 2024 scattano gli obblighi di cybersicurezza per le imprese dei settori energia, acque e rifiuti, che dovranno organizzarsi per reagire ad attacchi informatici e informare l’Autorità competente sugli incidenti.
Le regole sono contenute nel Dlgs 4 settembre 2024, n. 138 che si affianca alle misure di rafforzamento della sicurezza informatica della legge 90/2024.
Obbligate a rispettare le norme sono le imprese le cui attività sono ritenute strategiche per la nazione. Tra di esse ci sono i fornitori e distributori di acqua potabile, le imprese che raccolgono, smaltiscono o trattano acque reflue urbane, domestiche o industriali e le imprese che si occupano della gestione dei rifiuti. Sono escluse le piccole imprese, a meno si tratti di aziende che gestiscono infrastrutture “critiche” come definite dalla normativa.
A partire dal 2025 e poi ogni anno, nel periodo tra il 1° gennaio il 28 febbraio, questi soggetti si iscrivono alla piattaforma predisposta dall’Autorità per la cybersicurezza. Le imprese sono incluse nella piattaforma tra i soggetti essenziali (quelli maggiormente a rischio) o tra quelli “importanti“. Le variazioni di status sono comunicate dall’Authority alle imprese tra aprile e maggio di ogni anno. La distinzione non incide sugli obblighi che riguardano entrambi i soggetti.
Tra gli obblighi delle imprese quello di adottare misure organizzative e tecniche per rendere sicuri i propri sistemi informatici e rispondere a eventuali “falle”.
Inoltre è previsto l’obbligo di comunicare tempestivamente all’Autorità competente gli incidenti (attacchi hacker) ritenuti importanti. I vertici delle imprese rispondono della mancata iscrizione alla piattaforma e degli obblighi di gestione del rischio. In caso di violazione sono previste sanzioni amministrative pecuniarie (da 7 milioni a 10 milioni di euro o in percentuale del fatturato dell’impresa).