A partire dal prossimo 25 gennaio, le organizzazioni pubbliche e private all’interno del Perimetro di Sicurezza Nazionale Cibernetica (chiamato anche “Perimetro”) saranno obbligate a segnalare gli incidenti che hanno un impatto su reti, sistemi informativi e servizi informatici di loro proprietà al CSIRT Italia, un’agenzia per la cybersicurezza nazionale.
Questo nuovo obbligo è derivato dalla combinazione dell’articolo 1, comma 3-bis del decreto-legge n. 105 del 2019 (inserito dall’articolo 37-quater, comma 1, del decreto-legge 9 agosto 2022, n. 115, convertito con modifiche dalla Legge 21 settembre 2022, n. 142) e dalla recente determina del Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale del 3 gennaio 2023, pubblicata nella Gazzetta Ufficiale di oggi, 10 gennaio 2023.
Per ben capire questo obbligo, è importante considerare il contesto. L’articolo 3 del DPCM 81/2021, ovvero il secondo decreto attuativo del Perimetro di Sicurezza Nazionale Cibernetica, prevede da tempo che i soggetti pubblici e privati che svolgono una funzione essenziale dello Stato o che forniscono un servizio per gli interessi dello Stato, come definiti nell’articolo 2, comma 1, lettere a) e b) del DPCM 131/2021, che sono stati inclusi nel Perimetro, notifichino le tipologie di incidenti previste nell’allegato A del DPCM 81/2021. Tuttavia, questa richiesta riguarda solo i beni ICT di propria pertinenza, ovvero a quell’ ”insieme di reti, sistemi informativi e servizi informatici, o parti di essi, di qualunque natura, considerato unitariamente ai fini dello svolgimento di funzioni essenziali dello Stato o per l’erogazione di servizi essenziali” (art. 1, comma 1, lett. m), del DPCM 131/2020), che siano stati comunicati nell’elenco dei beni ICT effettuato ai sensi dell’articolo 1, comma 2, lettera b), del decreto-legge n. 105 del 2019.
Il legislatore, inoltre, all’art. 3, comma 3, del DPCM 81/2021, prevede anche che i soggetti inclusi nel Perimetro procedano comunque alla notifica nei casi in cui “uno degli incidenti individuati nelle tabelle di cui all’allegato A [del DPCM 81/2021] si verifichi a carico di un sistema informativo o un servizio informatico, o parti di essi, che […] condivida con un bene ICT funzioni di sicurezza, risorse di calcolo o memoria, ovvero software di base, quali sistemi operativi e di virtualizzazione”.
Questa disposizione estende l’obbligo di notifica anche ai “beni contigui ai beni ICT”, poiché un incidente che colpisca tali beni potrebbe facilmente propagarsi verso i beni ICT e causare danni alla sicurezza nazionale.
In sintesi, l’obbligo di notificare gli incidenti aventi un impatto sulle reti, sui sistemi informativi e sui servizi informatici di propria pertinenza “diversi” dai beni ICT è stato introdotto dall’inserimento del comma 3-bis all’interno dell’articolo 1 del decreto-legge n. 105 del 2019 e dalla recente determina del Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale del 3 gennaio 2023. Il legislatore ha introdotto questa disposizione per estendere la conoscenza degli incidenti anche ai casi in cui essi non colpiscono solo i beni ICT o i “beni contigui ai beni ICT”. A partire dal 25 gennaio 2023, i soggetti pubblici e privati inclusi nel Perimetro di Sicurezza Nazionale Cibernetica dovranno notificare questi incidenti al CSIRT Italia.
La notifica degli incidenti dovrà essere effettuata entro 72 ore dal momento in cui il soggetto colpito ha constatato che l’incidente rientra in una delle categorie indicate nell’allegato A, Sezione 1, della determina del Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale (accesso iniziale, esecuzione, installazione, movimenti laterali, azioni sugli obiettivi). Tuttavia, mentre le categorie della Sezione 1 sono obbligatorie, quelle della Sezione 2 sono facoltative e mirano a fornire all’Agenzia per la Cybersicurezza Nazionale un quadro più completo della valutazione della minaccia. Attualmente, la sezione 2 riguarda solo la “ricognizione relativa alle attività di spearphishing“.
Giova sottolineare che il legislatore ha utilizzato la stessa tassonomia per gli incidenti legati ai beni ICT anche per questi nuovi obblighi di notifica, ma con un numero minore di categorie, poiché gli incidenti che non colpiscono i beni ICT potrebbero avere un minore impatto sulla sicurezza nazionale.
Nella novella normativa in analisi resta fermo anche il concetto di incidente, che continua ad essere definito come “ogni evento di natura accidentale o intenzionale che determina il malfunzionamento, l’interruzione, anche parziali, ovvero l’utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici”, facendo intendere, quindi, come debbano essere prese in considerazione tutte le tipologie di incidenti e non solo quelli cyber.
Eccezione a questo obbligo di notifica per gli incidenti aventi un impatto sulle reti, sui sistemi informativi e sui servizi informatici è solo per quelli del Ministero della Difesa, per i quali si applicano solo i principi e le modalità previsti dall’articolo 528, comma 1, lettera d) del Codice dell’Ordinamento Militare (Decreto Legislativo 15 marzo 2010, n. 66), e le norme del Codice dell’amministrazione digitale, con le limitazioni e le facoltà previste dall’articolo 2, comma 6, articolo 75, comma 2 e articolo 17, comma 1-bis.
Giova altresì precisare come, a differenza degli incidenti relativi ai beni ICT e ai “beni contigui ai beni ICT”, il legislatore non abbia previsto sanzioni per il mancato adempimento dell’ulteriore obbligo di notifica per gli incidenti aventi un impatto sulle reti, sui sistemi informativi e sui servizi informatici di propria pertinenza “diversi” dai beni ICT.
In conclusione, il nuovo quadro normativo in materia di notifiche degli incidenti impone ai soggetti pubblici e privati inclusi nel Perimetro di Sicurezza Nazionale Cibernetica, tra cui le banche, di adeguare i propri processi interni di rilevazione, analisi e condivisione delle informazioni entro il 25 gennaio 2023. Ciò comporterà la necessità di armonizzare i propri processi con le nuove tempistiche stabilite (72 ore) e di mappare e categorizzare gli eventi di sicurezza in relazione alla tassonomia prevista nell’allegato A della determina del Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale, utilizzando la descrizione generica fornita dal legislatore.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Verso una regolamentazione consapevole: analisi del Codice di Buone Pratiche sull’intelligenza artificiale generale - Novembre 15, 2024
- L’armonizzazione degli standard per l’AI Act: verso una conformità normativa sicura e affidabile - Ottobre 31, 2024
- Consultazione della Commissione Europea sull’accesso ai dati delle piattaforme - Ottobre 29, 2024
- Sanzione del Garante Privacy a Postel S.p.A.: prevenzione e corretta segnalazione della violazione in caso di data breach - Ottobre 23, 2024
- Sul valore probatorio delle firme elettroniche nel processo - Ottobre 18, 2024
