Misure di sicurezza per il rafforzamento della resilienza: le nuove linee guida della Legge n. 90/2024

La Legge 28 giugno 2024, n. 90 introduce un quadro normativo fondamentale per il rafforzamento della cybersicurezza nazionale e la prevenzione dei reati informatici.
Tra le novità principali, vi sono le Linee guida per il rafforzamento della resilienza — un insieme strutturato di misure tecniche, organizzative e procedurali che ogni ente e organizzazione deve adottare per aumentare la propria capacità di resistere, rispondere e riprendersi da incidenti informatici.

Due sezioni complementari per una sicurezza completa

Le linee guida si articolano in due sezioni principali:

  1. Misure di sicurezza obbligatorie, che indicano cosa deve essere implementato per rafforzare la resilienza.
  2. Modalità di implementazione raccomandate, che offrono supporto operativo per applicare in modo efficace ogni misura prevista.

Questa impostazione mira a favorire un approccio strutturato e coerente con quanto stabilito dall’articolo 8 della Legge n. 90/2024, ponendo l’accento sulla prevenzione, la gestione del rischio e la capacità di risposta agli incidenti.

Le 26 linee guida per il rafforzamento della resilienza

Di seguito, una sintesi delle 26 misure previste per garantire una cybersicurezza più robusta e una governance più matura dei rischi digitali.

1. Asset Management e Governance

  1. ID.AM-1 – Censimento di tutti i sistemi e apparati fisici in uso.
  2. ID.AM-2 – Censimento delle piattaforme e applicazioni software.
  3. ID.AM-3 – Identificazione dei flussi di dati e comunicazioni interni ed esterni.
  4. ID.AM-6 – Definizione di ruoli e responsabilità in materia di cybersecurity per personale interno e fornitori.
  5. ID.GV-1 – Adozione di una policy di cybersecurity ufficiale e condivisa.
  6. ID.GV-4 – Inclusione della gestione del rischio cyber nei processi di governance aziendale.

2. Risk Assessment e Supply Chain Security

  1. ID.RA-1 – Identificazione e documentazione delle vulnerabilità delle risorse.
  2. ID.RA-5 – Valutazione dei rischi sulla base di minacce, vulnerabilità e impatti.
  3. ID.RA-6 – Definizione e priorità delle risposte ai rischi individuati.
  4. ID.SC-2 – Valutazione dei fornitori e dei partner sulla base del rischio cyber lungo la catena di approvvigionamento.

3. Protezione e Controllo degli Accessi

  1. PR.AC-1 – Gestione sicura delle identità digitali e delle credenziali di accesso.
  2. PR.AC-3 – Amministrazione e controllo degli accessi remoti.
  3. PR.AC-4 – Assegnazione dei diritti di accesso secondo il principio del privilegio minimo.

4. Formazione e Cultura della Sicurezza

  1. PR.AT-1 – Tutti gli utenti devono essere informati e formati sui temi di cybersecurity.
  2. PR.AT-2 – Gli amministratori e gli utenti privilegiati devono conoscere ruoli, responsabilità e rischi specifici.

5. Protezione dei Dati e Continuità Operativa

  1. PR.DS-1 – Protezione dei dati memorizzati mediante misure tecniche e organizzative.
  2. PR.IP-4 – Esecuzione, amministrazione e verifica dei backup periodici.
  3. PR.IP-9 – Implementazione di piani di risposta e continuità operativa (BCP, DRP) per gestire incidenti o disastri.
  4. PR.IP-12 – Sviluppo e attuazione di un piano di gestione delle vulnerabilità.
  5. PR.MA-1 – Manutenzione e riparazione dei sistemi eseguite con strumenti controllati e tracciati.
  6. PR.PT-4 – Protezione delle reti di comunicazione e controllo da accessi o intrusioni non autorizzate.

6. Rilevazione, Analisi e Risposta agli Incidenti

  1. DE.CM-1 – Monitoraggio costante della rete per rilevare potenziali eventi di sicurezza.
  2. DE.CM-4 – Rilevazione e contrasto di codice malevolo (malware, ransomware, exploit).
  3. RS.RP-1 – Esecuzione di un piano di risposta (Response Plan) durante o dopo un incidente.
  4. RS.AN-5 – Definizione di processi per ricevere, analizzare e gestire vulnerabilità segnalate internamente o esternamente.
  5. RC.RP-1 – Presenza e applicazione di un piano di ripristino (Recovery Plan) in caso di incidente informatico.

L’importanza della resilienza organizzativa

Le linee guida non rappresentano solo un obbligo normativo, ma una vera roadmap per la resilienza digitale.
Adottarle significa rafforzare la capacità dell’organizzazione di:

  • prevenire e contrastare gli attacchi informatici,
  • garantire la continuità operativa,
  • tutelare i dati sensibili,
  • proteggere la reputazione aziendale.

Ogni soggetto, pubblico o privato, è quindi chiamato a valutare il proprio livello di maturità e a implementare le misure indicate con gradualità ma completezza, in linea con le best practice europee e gli standard ISO/IEC 27001 e NIST CSF.

📍 Sfera Informatica affianca enti pubblici e aziende nella valutazione del rischio, nella stesura delle policy di sicurezza e nell’applicazione delle 26 linee guida per la resilienza.
Contattaci per una consulenza o per ricevere supporto nella conformità alla Legge n. 90/2024.

📞 080.5016393 | ✉️ info@sfera-srl.it
Modugno (BA) – Trav. Sinistra Via Vigili del Fuoco Caduti in Servizio 6

Potrebbe interessarti anche