Dal 18 ottobre 2024 scattano gli obblighi di cybersicurezza per le imprese dei settori energia, acque e rifiuti, che dovranno organizzarsi per reagire ad attacchi informatici e informare l’Autorità competente sugli incidenti.
Le regole sono contenute nel Dlgs 4 settembre 2024, n. 138 che si affianca alle misure di rafforzamento della sicurezza informatica della legge 90/2024. Obbligate a rispettare le norme sono le imprese le cui attività sono ritenute strategiche per la nazione. Tra di esse ci sono i fornitori e distributori di acqua potabile, le imprese che raccolgono, smaltiscono o trattano acque reflue urbane, domestiche o industriali e le imprese che si occupano della gestione dei rifiuti ovvero della raccolta, del trasporto, del recupero (compresa la cernita), dello smaltimento dei rifiuti, compresi la supervisione di tali operazioni e gli interventi successivi alla chiusura dei siti di smaltimento nonché le operazioni effettuate in qualità di commercianti o intermediari. Sono escluse le piccole imprese, a meno si tratti di aziende che gestiscono infrastrutture “critiche” come definite dalla normativa.
Tra gli obblighi delle imprese quello di adottare misure organizzative e tecniche per rendere sicuri i propri sistemi informatici e rispondere a eventuali “falle”. Inoltre è previsto l’obbligo di comunicare tempestivamente all’Autorità competente gli incidenti (attacchi hacker) ritenuti importanti. I vertici delle imprese rispondono della mancata iscrizione alla piattaforma e degli obblighi di gestione del rischio. In caso di violazione sono previste sanzioni amministrative pecuniarie (da 7 milioni a 10 milioni di euro o in percentuale del fatturato dell’impresa).