Spett.le Cliente,
la presente per informarti che il 1° agosto 2025 è stato pubblicato in Gazzetta Ufficiale il DPCM n. 111 del 4 giugno 2025, recante modifiche alla tabella dell'Allegato A del DPCM n. 81 del 14 aprile 2021 che elenca le categorie di incidenti cibernetici soggetti a notifica.
Quale è la funzione del Decreto?
L'obiettivo principale della normativa è di natura tecnica e consiste nell'ampliare e perfezionare la classificazione degli incidenti di cybersicurezza che devono essere segnalati dagli operatori inclusi nel Perimetro di Sicurezza Nazionale Cibernetica.
A chi si applica?
Il PSNC è stato istituito dal d.l. n. 105/2019 e comprende le entità che soddisfano i seguenti requisiti:
a) essere un’amministrazione pubblica, un ente o un operatore pubblico o privato aventi una sede nel territorio nazionale;
b) esercitare una funzione essenziale dello Stato o erogare un servizio essenziale nei settori governativo; interno; difesa; spazio e aerospazio; energia; telecomunicazioni; economia e finanza; trasporti; servizi digitali; tecnologie critiche; enti previdenziali/ lavoro;
c) esercitare tali funzioni/servizi in modalità dipendenti dall’utilizzo di reti, sistemi informativi e servizi informatici.
Quali novità introduce?
La sostituzione dell'Allegato A è motivata dalla consapevolezza che "le attività di accesso alle reti, ai sistemi informativi e ai servizi informatici (beni ICT) non autorizzate o con abuso dei privilegi concessi, ivi compreso il caso in cui non siano pertinenti al corretto svolgimento delle mansioni di chi effettua l'accesso, costituiscono un utilizzo improprio dei medesimi beni ICT". Questa precisazione conferma che tali attività, a causa del potenziale pregiudizio derivante dalla perdita di riservatezza dei dati, sono considerate incidenti ai sensi del DPCM 81/2021 e devono essere oggetto di notifica.
L'inclusione dell'"utilizzo improprio" come categoria di incidente notificato estende il concetto di incidente, oltre agli attacchi esterni e ai malfunzionamenti del sistema, anche a comportamenti interni non autorizzati o abusivi.
Cosa fare per garantire la conformità al Decreto?
1) Revisione e aggiornamento dei Piani di Risposta agli Incidenti (IRP), per ricomprendere le nuove categorie di incidente;
2) Potenziamento degli audit e dei monitoraggi sugli strumenti di sicurezza, per assicurarsi che siano in grado di identificare e registrare gli eventi negativi;
3) Revisione e aggiornamento delle procedure interne relative al controllo degli accessi;
4) Formazione e sensibilizzazione del personale dipendente, per promuovere una cultura della consapevolezza e conformità alla cybersecurity tenendo conto del nuovo concetto di "utilizzo improprio";
5) Considerazione della catena di fornitura in materia ICT.
Cosa si rischia in mancanza di conformità?
Per la mancata notifica degli incidenti o per l'inosservanza delle misure di sicurezza, il d.l. n. 105/2019 ha previsto sanzioni amministrative pecuniarie che, a seconda della gravità della violazione, oscillano da un minimo di 200.000€ a un massimo di 1.800.000€, salvo che il fatto costituisca reato.
Come DPO, consulenti in ambito privacy, cybersicurezza e governance AI, il team di Sicurdata è già operativo per accompagnarti nel percorso di rafforzamento della postura di sicurezza informatica della tua realtà.
Per qualsiasi informazioni potete contattarci e all'indirizzo mail amministrazione@opendata.it per approfondire insieme ai nostri consulenti.
Grazie,
cordiali saluti
