In arrivo l’obbligo di comunicazione entro 6 ore o entro 1 ora in base alla tipologia di incidente al CSIRT italiano (Computer security incident response team).
E' in fase di definitiva approvazione da parte del Parlamento lo Schema di decreto del Presidente del Consiglio dei ministri recante regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all'articolo 1, comma 2, lettera b), del decreto legge 21 settembre 2019, n. 105, convertito, con modificazioni, della legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza.
In questa sede proviamo a richiamare gli aspetti che più impattano sulla sicurezza informatica nelle aziende.
L'articolo continua dopo la pubblicità
Dello stesso autore ti consigliamo Tutela della Privacy - (Pacchetto 2 eBook)
Lo schema di regolamento in esame è composto da 11 articoli suddivisi in quattro Capi e due Allegati.
L’articolo 1 contiene le definizioni utilizzate nell'articolato, in particolare richiamiamo le seguenti definizioni:
Le notifiche da incidente sono disciplinate negli articoli 2 – 6 con particolare riguardo agli incidenti aventi impatto su beni ICT, alla notifica volontaria degli incidenti, alla trasmissione delle notifiche e ad incidenti attinenti alla gestione delle informazioni classificate.
Si prevede, in sintesi, che - al verificarsi di uno degli incidenti elencati, aventi impatto in particolare su beni ITC - i soggetti inclusi nel perimetro sono tenuti a procedere alla notifica al CSIRT italiano (Computer security incident response team) tramite appositi canali di comunicazione entro 6 ore o entro 1 ora in base alla tipologia di incidente.
Una volta definiti e avviati i piani di attuazione delle attività per il ripristino è data comunicazione al medesimo CSIRT italiano ed è trasmessa, se richiesta, una relazione tecnica sugli elementi significativi dell'incidente e sulle azioni adottate per porvi rimedio. Il DIS (Dipartimento delle informazioni per la sicurezza è l’organo di cui si avvalgono il Presidente del Consiglio dei ministri e l’Autorità delegata per l’esercizio delle loro funzioni e per assicurare unitarietà nella programmazione della ricerca informativa, nell’analisi e nelle attività operative di AISE - Agenzia informazioni e sicurezza esterna - e AISI - Agenzia informazioni e sicurezza interna). inoltra successivamente le notifiche ai competenti soggetti della struttura di governo. È altresì consentito, ai medesimi soggetti, di procedere ad una notifica su base volontaria di incidenti non ricompresi nell'elenco dello schema di decreto.
L'articolo 2, cataloga gli incidenti – in due categorie: i più gravi ed i meno gravi - in base all’impatto che gli stessi hanno sui beni ICT.
L'articolo 3, disciplina l'obbligo e le modalità di notifica a seguito di incidenti, stabilendo che i soggetti inclusi nel perimetro, al verificarsi di uno degli incidenti avente impatto su un bene ICT di rispettiva pertinenza procedono alla notifica al CSIRT italiano.
I soggetti inclusi nel perimetro procedono a tale notifica anche nei casi in cui uno degli incidenti abbia comunque impatto su un bene ICT di rispettiva pertinenza, ancorché si verifichi a carico di un sistema informativo, ovvero (di) un servizio informatico, o parti di essi, che, anche in esito all'analisi del rischio condivide con un bene ICT funzioni di sicurezza, risorse di calcolo o memoria, ovvero software di base quali sistemi operativi e di virtualizzazione.
L’ analisi del rischio, da svolgere per ogni funzione essenziale o servizio essenziale, deve prendere in considerazione i seguenti aspetti: 1) l'impatto di un incidente sul bene ICT, in termini sia di limitazione della operatività del bene stesso, sia di compromissione della disponibilità, integrità, o riservatezza dei dati e delle informazioni da esso trattati, ai fini dello svolgimento della funzione o del servizio essenziali; 2) le dipendenze con altre reti, sistemi informativi, servizi informatici o infrastrutture fisiche di pertinenza di altri soggetti, ivi compresi quelli utilizzati per fini di manutenzione e gestione.
Le modalità della notifica
Si procede tramite appositi "canali di comunicazione" del CSIRT italiano e secondo le modalità definite dal CSIRT italiano e rese disponibili sul sito Internet del CSIRT italiano secondo i termini ivi previsti.
Tra i requisiti del CSIRT è previsto che sia tenuto a garantire un alto livello di disponibilità dei propri servizi di comunicazione, evitando singoli punti di guasto, e dispone di vari mezzi che permettono allo stesso di essere contattato e di contattare altri in qualsiasi momento. Inoltre, i canali di comunicazione sono chiaramente specificati e ben noti alla loro base di utenti e ai partner con cui collaborano.
I termini per la notifica
I termini sono così individuati:
Si dispone inoltre che qualora il soggetto incluso nel perimetro venga a conoscenza di nuovi elementi significativi la notifica è integrata immediatamente dal momento in cui il soggetto incluso nel perimetro ne è venuto a conoscenza, salvo che l'autorità giudiziaria procedente abbia previamente comunicato la sussistenza di specifiche esigenze di segretezza investigativa.
Le categorie degli operatori di servizi essenziali e dei fornitori di servizi digitali sono tenuti a comunicare la notifica oltre che al SIRT anche al competente NIS senza ingiustificato ritardo, per gli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali forniti, che essi offrono all'interno dell'Unione europea.
Le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico, con la notifica in questione, comunicano che la stessa costituisce anche adempimento dell'obbligo previsto ai sensi dell'articolo 16-ter del Codice delle comunicazioni elettroniche (decreto legislativo n. 259 del 2003) e delle correlate disposizioni attuative. Riassumibili nei seguenti punti: a) fornire al Ministero, e se necessario all'Autorita', le informazioni necessarie per valutare la sicurezza e l'integrita' dei loro servizi e delle loro reti, in particolare i documenti relativi alle politiche di sicurezza; b) sottostare a una verifica della sicurezza effettuata dal Ministero, anche su impulso dell'Autorita', in collaborazione con gli Ispettorati territoriali del Ministero dello sviluppo economico, o da un organismo qualificato indipendente designato dal Ministero. L'impresa si assume l'onere finanziario della verifica.
Infine, in base al comma 7, una volta "definiti e avviati" i piani di attuazione delle attività per il ripristino dei beni ICT impattati dall'incidente oggetto di notifica, il soggetto incluso nel perimetro che ha proceduto a effettuare una notifica, ne da tempestiva comunicazione al CSIRT italiano trasmettendo, altresì, su richiesta del CSIRT italiano ed entro 30 giorni dalla stessa richiesta, una relazione tecnica che illustra gli elementi significativi dell'incidente, tra cui le conseguenze dell'impatto sui beni ICT derivanti dall'incidente e le azioni intraprese per porvi rimedio, salvo che l'autorità giudiziaria procedente abbia previamente comunicato la sussistenza di specifiche esigenze di segretezza investigativa.
L'art. 4 disciplina la notifica volontaria degli incidenti stabilendo che, al di fuori dei casi di cui all'articolo 3, i soggetti inclusi nel perimetro hanno facoltà di notificare, su base volontaria, gli incidenti, relativi ai beni ICT, non rientranti nelle allegate tabelle ovvero gli incidenti, indicati nelle tabelle relative a reti, sistemi informativi e servizi informatici di propria pertinenza diversi dai beni ICT.