Cybersicurezza: notifiche di incidenti su reti e sistemi informatici

Pubblicato il 16 giugno 2021

Dal prossimo 26 giugno entrerà in vigore il regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici con le misure volte a garantire livelli più elevati di sicurezza.

Composto da 11 articoli suddivisi in quattro Capi e 3 allegati (allegato A, B e C), il regolamento è stato adottato con D.P.C.M. 14 aprile 2021, n. 81, pubblicato sulla Gazzetta Ufficiale n.138 dell'11 giugno 2021.

Notifiche da incidente

Fornite le definizioni generali (articolo 1) necessarie a chiarire la portata delle disposizioni contenute nel decreto, il regolamento al Capo II (articoli 2-6) disciplina le notifiche da incidente con particolare riguardo agli incidenti aventi impatto su beni ICT, alla notifica volontaria degli incidenti, alla trasmissione delle notifiche e ad incidenti attinenti alla gestione delle informazioni.

In particolare si prevede che, dal 1° gennaio 2022 (o, in via sperimentale dalla data di trasmissione degli elenchi dei beni ICT, ovvero, qualora la trasmissione sia avvenuta prima dall'entrata in vigore del regolamento e sino al 31 dicembre 2021), al verificarsi di uno degli incidenti aventi impatto su un bene ITC, i soggetti inclusi nel perimetro di sicurezza cibernetica sono tenuti a procedere alla notifica al CSIRT italiano (Computer security incident response team) tramite appositi canali di comunicazione.

I termini per la notifica sono i seguenti:

1. 6 ore dal momento in cui il soggetto incluso nel perimetro è venuto a conoscenza di uno degli incidenti individuati nella tabella 1 di cui all'allegato A (si tratta di incidenti consistenti in: guasto, infezione, installazione, movimenti laterali, ecc.);
2. 1 ora dal momento in cui il soggetto incluso nel perimetro è venuto a conoscenza di uno degli incidenti individuati nella tabella 2 di cui all'allegato A (si tratta di incidenti consistenti in: azioni sugli obiettivi e disservizi elencati).

N.B. Si fa presente che per: - bene ITC si intende un insieme di reti, sistemi informativi e servizi informatici, o parti di essi incluso nell'elenco di cui all'articolo 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105,convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133; - per impatto su un bene ITC si intende la limitazione della operatività del bene ICT, ovvero compromissione della disponibilità, integrità, o riservatezza dei dati e delle informazioni da esso trattati, ai fini dello svolgimento della funzione o del servizio essenziali.

Una volta definiti e avviati i piani di attuazione delle attività per il ripristino, viene data comunicazione al CSIRT italiano ed è trasmessa, se richiesta, una relazione tecnica sugli elementi significativi dell'incidente e sulle azioni adottate per porvi rimedio.

Gli stessi soggetti possono procedere anche a notifiche su base volontaria di incidenti non ricompresi tra quelli individuati dal D.P.C.M. 14 aprile 2021, n. 81.

Il DIS (Dipartimento delle informazioni per la sicurezza della Presidenza del Consiglio dei ministri) inoltra successivamente le notifiche ai competenti soggetti della struttura di Governo.

Misure di sicurezza

Il Capo III (articoli 7-11) disciplina le misure di sicurezza di carattere tecnico e organizzativo volte a garantire elevati livelli di sicurezza dei beni ICT.

Le misure di sicurezza sono articolate in funzioni, categorie, sottocategorie, punti e lettere e individuate nell'allegato B del D.P.C.M. 14 aprile 2021, n. 81.

I soggetti inclusi nel perimetro che devono adottare, per ciascun bene ICT di rispettiva competenza, le misure contenute nell'allegato B, sono tenuti a rispettare due differenti termini temporali per l'adozione delle misure stesse:

1. per le misure di sicurezza appartenenti alla categoria A di cui all'appendice n. 2 dell'allegato B, 6 mesi dalla data di trasmissione degli elenchi dei beni ICT , ovvero, qualora la trasmissione sia avvenuta in una data antecedente a quella di entrata in vigore del D.P.C.M. 14 aprile 2021, n. 81, 6 mesi da quest'ultima data;
2. per le misure di sicurezza appartenenti alla categoria B di cui all'appendice n. 2 dell'allegato B, 30 mesi dalla data di trasmissione degli elenchi dei beni ICT effettuata, ovvero, qualora la trasmissione sia avvenuta in una data antecedente a quella di entrata in vigore del D.P.C.M. 14 aprile 2021, n. 81, 30 mesi da quest'ultima data.

Il DIS dovrà rendere tempestivamente disponibili le comunicazioni ricevute alla struttura della Presidenza del Consiglio dei Ministri competente per l'innovazione tecnologica e la digitalizzazione e al Ministero dello Sviluppo economico affinché possano essere svolte le necessarie attività di verifica e ispezione.

Tutela delle informazioni

Nell'allegato C del decreto sono infine contenute le misure minime di sicurezza di natura tecnica e organizzativa volte a tutelare le informazioni relative all'elenco dei soggetti inclusi nel perimetro di sicurezza cibernetica, all'elenco dei beni ICT e agli elementi delle notifiche di incidente.

Tali misure si applicano entro 60 giorni dalla data di entrata in vigore del D.P.C.M. 14 aprile 2021, n. 81.