Cybersecurity, obblighi per imprese del settore ambientale

Dal 18 ottobre 2024, con l’entrata in vigore del D.Lgs. n. 138/2024,  scattano gli obblighi di cybersicurezza per le imprese dei settori energia, acque e rifiuti, che dovranno organizzarsi per reagire ad attacchi informatici e informare l'Autorità competente sugli incidenti. 

In questi settori, ritenuti strategici per la nazione, rientrano i fornitori e distributori di acqua potabile, le imprese che raccolgono, smaltiscono o trattano acque reflue urbane, domestiche o industriali e le imprese che si occupano della gestione dei rifiuti. Sono escluse le piccole imprese, sempre che non gestiscano infrastrutture definite "critiche" dalla normativa.

A partire dal 2025 e poi ogni anno, tra il 1° gennaio il 28 febbraio, questi soggetti si iscriveranno alla piattaforma predisposta dall'Autorità per la cybersicurezza. 

Tra gli obblighi delle imprese quello di adottare misure organizzative e tecniche per rendere sicuri i propri sistemi informatici e rispondere a eventuali "falle", nonchè di comunicare tempestivamente all'Autorità competente gli incidenti (attacchi hacker) ritenuti importanti.

I vertici delle imprese rispondono della mancata iscrizione alla piattaforma e degli obblighi di gestione del rischio: in caso di violazione sono previste sanzioni amministrative pecuniarie (da 7 milioni a 10 milioni di euro o in percentuale del fatturato dell'impresa).