L. 28/06/2024, n. 90

1. Le pubbliche amministrazioni centrali individuate ai sensi dell’articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, le regioni e le province autonome di Trento e di Bolzano, le città metropolitane, i comuni con popolazione superiore a 100.000 abitanti e, comunque, i comuni capoluoghi di regione, nonché le società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti, le società di trasporto pubblico extraurbano operanti nell’ambito delle città metropolitane e le aziende sanitarie locali segnalano e notificano, con le modalità e nei termini di cui al comma 2 del presente articolo, gli incidenti indicati nella tassonomia di cui all’articolo 1, comma 3-bis, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, come modificato dall’articolo 3 della presente legge, aventi impatto su reti, sistemi informativi e servizi informatici. Tra i soggetti di cui al presente comma sono altresì comprese le rispettive società in house che forniscono servizi informatici, i servizi di trasporto di cui al primo periodo del presente comma ovvero servizi di raccolta, smaltimento o trattament

1. I soggetti di cui all’articolo 1, comma 1, della presente legge e quelli di cui all’articolo 1, comma 2-bis, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla

1. All’articolo 1, comma 3-bis, del decreto-legge 21 settembre 2019, n. 105, convertito, con modific

1. I soggetti di cui all’articolo 1, comma 1, individuano, ove non sia già presente, una struttura, anche tra quelle esistenti, nell’ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente, che provvede:

a) allo sviluppo delle politiche e delle procedure di sicurezza delle informazioni;

b) alla produzione e all’aggiornamento di sistemi di analisi preventiva di rilevamento e di un piano per la gestione del rischio informatico;

c) alla produzione e all’aggiornamento di un documento che definisca i ruoli e l’organizzazione del sistema per la sicurezza delle informazioni dell’amministrazione;

1. All’articolo 17 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, dopo il comma 4-ter è i

1. Con decreto del Presidente del Consiglio dei ministri, da adottare entro centoventi giorni dalla data di entrata in vigore della presente legge, su proposta dell’Agenzia per la cybersicurezza nazionale, previo parere del Comitato interministeriale per la sicurezza della Repubblica, di cui all’articolo 5 della legge 3 agosto 2007, n. 124, nella composizione di cui all’articolo 10, comma 1, del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, sono individuati, per specifiche categorie tecnologiche di beni e servizi informatici, gli elementi essenziali di cybersicurezza che i soggetti di cui all’articolo 2, comma 2, del codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, tengono in considerazione nelle attività di approvvigionamento di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interes

1. Al codice penale sono apportate le seguenti modificazioni:

a) all’articolo 240, secondo comma, numero 1-bis, dopo la parola: «635-quinquies,» sono inserite le seguenti: «640, secondo comma, numero 2-ter),»;

b) all’articolo 615-ter:

1) al secondo comma:

1.1) all’alinea, le parole: «da uno a cinque anni» sono sostituite dalle seguenti: «da due a dieci anni»;

1.2) al numero 2), dopo la parola: «usa» sono inserite le seguenti: «minaccia o»;

1.3) al numero 3), dopo le parole: «ovvero la distruzione o il danneggiamento» sono inserite le seguenti: «ovvero la sottrazione, anche mediante riproduzione o trasmissione, o l’inaccessibilità al titolare»;

2) al terzo comma, le parole: «da uno a cinque anni e da tre a otto anni» sono sostituite dalle seguenti: «da tre a dieci anni e da quattro a dodici anni»;

c) all’articolo 615-quater:

1) al primo comma, la parola: «profitto» è sostituita dalla seguente: «vantaggio»;

2) il secondo comma è sostituito dal seguente:

«La pena è della reclusione da due anni a sei anni quando ricorre taluna delle circostanze di cui all’articolo 615-ter, secondo comma, numero 1)»;

3) dopo il secondo comma è aggiunto il seguente:

«La pena è della reclusione da tre a otto anni quando il fatto riguarda i sistemi informatici o telematici di cui all’articolo 615-ter, terzo comma»;

d) l’articolo 615-quinquies è abrogato;

e) all’articolo 617-bis:

1) dopo il primo comma è inserito il seguente:

«La pena è della reclusione da due a sei anni quando ricorre taluna delle circostanze di cui all’articolo 615-ter, secondo comma, numero 1)»;

2) al secondo comma, le parole da: «ovvero da un pubblico ufficiale» fino alla fine del comma sono soppresse;

f) all’articolo 617-quater, quarto comma:

1) all’alinea, le parole: «da tre a otto anni» sono sostituite dalle seguenti: «da quattr

1. Al codice di procedura penale sono apportate le seguenti modificazioni:

a) all’articolo 51, comma 3-quinquies:

1) la parola: «615-quinquies,» è soppressa;

1. All’articolo 13 del decreto-legge 13 maggio 1991, n. 152

1. All’articolo 24-bis del decreto legislativo 8 giugno 2001, n. 231, sono apportate le seguenti modificazioni:

1. All’articolo 17 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, sono apportate le seguenti modificazioni:

a) il comma 4 è sostituito dal seguente:

«4. Il personale dell’Agenzia addetto al CSIRT Italia, nello svolgimento delle proprie funzioni, riveste la qualifica di pubblico ufficiale. La trasmissione immediata delle notifiche di incidente ricevute dal CSIRT Italia all’organo centrale del Ministero dell’interno per la sicurezza e per la regolarità dei servizi di telecomun

1. Dall’attuazione della presente legge non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Le amministrazioni pubbliche competenti provvedono all’adempimento dei compiti derivanti dalla presente legge con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente.