ICT e sicurezza: nuove regole sulle notifiche di incidenti

In arrivo l’obbligo di comunicazione entro 6 ore o entro 1 ora in base alla tipologia di incidente al CSIRT italiano (Computer security incident response team).

E' in fase di definitiva approvazione da parte del Parlamento lo Schema di decreto del Presidente del Consiglio dei ministri recante regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all'articolo 1, comma 2, lettera b), del decreto legge 21 settembre 2019, n. 105, convertito, con modificazioni, della legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza.

 In questa sede proviamo a richiamare gli aspetti che più impattano sulla sicurezza informatica nelle aziende.

1) Nuovo regolamento notifiche incidenti ICT : definizioni

Lo schema di regolamento in esame è composto da 11 articoli suddivisi in quattro Capi e due Allegati.

L’articolo 1 contiene le definizioni utilizzate nell'articolato, in particolare richiamiamo le seguenti definizioni:

• Soggetti inclusi nel perimetro (lett. c): soggetti che siano stati individuati secondo le procedure di cui all'articolo 1, comma 2, lettera a), del decreto-legge 105/2019, e inclusi nell'elencazione contenuta   nell'atto amministrativo adottato ai sensi dell'articolo 1, comma 2-bis, del medesimo decreto-legge;da tenere presente che l'elencazione dei soggetti è contenuta in un atto amministrativo per il quale e' escluso il diritto  di  accesso. 
• Rete, sistema informativo (lett. e): 1) una rete di comunicazione elettronica ai sensi dell'articolo 1,  comma 1, lettera dd), del decreto legislativo 259/2003 (ossia sistemi di trasmissione e, se del caso, le  apparecchiature di commutazione o di instradamento e altre risorse, inclusi gli elementi di rete non attivi, che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, comprese le reti satellitari, le reti terrestri mobili e fisse, le reti utilizzate per la diffusione circolare dei programmi sonori e televisivi, i sistemi per il trasporto della corrente elettrica, nella misura in cui siano utilizzati per trasmettere i segnali, le reti televisive via cavo, indipendentemente dal tipo di informazione trasportata); 2) qualsiasi dispositivo o gruppo di dispositivi interconnessi o collegati, uno o più dei quali eseguono, in base ad un programma, un trattamento automatico di dati digitali, ivi inclusi i sistemi di controllo industriale; 3) i dati digitali conservati, trattati, estratti o trasmessi per mezzo di reti o dispositivi di cui ai numeri 1 e 2), per il loro funzionamento, uso, protezione e manutenzione, compresi i programmi di cui al punto 2).
• Servizio informatico (lett. f): il servizio consistente interamente o prevalentemente nel trattamento di informazioni, per mezzo della rete e dei sistemi Informativi, ivi incluso quello di cloud computing.
• Bene ICT (lett. g): (information and communication technology): insieme di reti, sistemi informativi e servizi informatici, o parti di essi, incluso nell'elenco di cui all'articolo 1, comma 2, lettera b), del decreto legge 105/2019. Si tratta dell'elenco che i soggetti inclusi nel perimetro predispongono e aggiornano, con cadenza almeno annuale, recante i beni ICT di rispettiva pertinenza, con l'indicazione delle reti, dei sistemi informativi e dei servizi informatici che li compongono (art. 7 del DPCM 131/2020).
• Impatto sul bene ICT (lett. i): limitazione della operatività del bene ICT, ovvero compromissione della disponibilità, integrità, o riservatezza dei dati e delle informazioni da esso trattati, ai fini dello svolgimento della funzione o del servizio essenziali. La definizione rileva ai fini dell'operatività della disposizione di cui all'articolo 1, comma 3, lettera a), del decreto-legge 105/2019, che impone l'obbligo di notifica al CSIRT italiano per gli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui al comma 2, lettera b) del medesimo DL 105.

2) Entro quanto tempo andrà comunicato l’incidente nelle reti ICT

Le notifiche da incidente sono disciplinate negli articoli 2 – 6 con particolare riguardo agli incidenti aventi impatto su beni ICT, alla notifica volontaria degli incidenti, alla trasmissione delle notifiche e ad incidenti attinenti alla gestione delle informazioni classificate.

Si prevede, in sintesi, che - al verificarsi di uno degli incidenti elencati, aventi impatto in particolare su beni ITC - i soggetti inclusi nel perimetro sono tenuti a procedere alla notifica al CSIRT italiano (Computer security incident response team) tramite appositi canali di comunicazione entro 6 ore o entro 1 ora in base alla tipologia di incidente. 

Una volta definiti e avviati i piani di attuazione delle attività per il ripristino è data comunicazione al medesimo CSIRT italiano ed è trasmessa, se richiesta, una relazione tecnica sugli elementi significativi dell'incidente e sulle azioni adottate per porvi rimedio. Il DIS (Dipartimento delle informazioni per la sicurezza è l’organo di cui si avvalgono il Presidente del Consiglio dei ministri e l’Autorità delegata per l’esercizio delle loro funzioni e per assicurare unitarietà nella programmazione della ricerca informativa, nell’analisi e nelle attività operative di AISE - Agenzia informazioni e sicurezza esterna - e AISI - Agenzia informazioni e sicurezza interna). inoltra successivamente le notifiche ai competenti soggetti della struttura di governo. È altresì consentito, ai medesimi soggetti, di procedere ad una notifica su base volontaria di incidenti non ricompresi nell'elenco dello schema di decreto.

L'articolo 2, cataloga gli incidenti – in due categorie: i più gravi ed i meno gravi - in base all’impatto che gli stessi hanno sui beni ICT.

L'articolo 3, disciplina l'obbligo e le modalità di notifica a seguito di incidenti, stabilendo che i soggetti inclusi nel perimetro, al verificarsi di uno degli incidenti avente impatto su un bene ICT di rispettiva pertinenza procedono alla notifica al CSIRT italiano.

I soggetti inclusi nel perimetro procedono a tale notifica anche nei casi in cui uno degli incidenti abbia comunque impatto su un bene ICT di rispettiva pertinenza, ancorché si verifichi a carico di un sistema informativo, ovvero (di) un servizio informatico, o parti di essi, che, anche in esito all'analisi del rischio condivide con un bene ICT funzioni di sicurezza, risorse di calcolo o memoria, ovvero software di base quali sistemi operativi e di virtualizzazione.

3) L'analisi di rischio di incidente informatico

L’ analisi del rischio, da svolgere per ogni funzione essenziale o servizio essenziale, deve prendere in considerazione i seguenti aspetti: 1) l'impatto di un incidente sul bene ICT, in termini sia di limitazione della operatività del bene stesso, sia di compromissione della disponibilità, integrità, o riservatezza dei dati e delle informazioni da esso trattati, ai fini dello svolgimento della funzione o del servizio essenziali; 2) le dipendenze con altre reti, sistemi informativi, servizi informatici o infrastrutture fisiche di pertinenza di altri soggetti, ivi compresi quelli utilizzati per fini di manutenzione e gestione.

Le modalità della notifica

Si procede tramite appositi "canali di comunicazione" del CSIRT italiano e secondo le modalità definite dal CSIRT italiano e rese disponibili sul sito Internet del CSIRT italiano secondo i termini ivi previsti.

Tra i requisiti del CSIRT è previsto che sia tenuto a garantire un alto livello di disponibilità dei propri servizi di comunicazione, evitando singoli punti di guasto, e dispone di vari mezzi che permettono allo stesso di essere contattato e di contattare altri in qualsiasi momento. Inoltre, i canali di comunicazione sono chiaramente specificati e ben noti alla loro base di utenti e ai partner con cui collaborano.

I termini per la notifica

I termini sono così individuati:

1.  entro il termine di sei ore dal momento in cui il soggetto incluso nel perimetro è venuto a conoscenza di uno degli incidenti catalogati come meno gravi (si tratta di incidenti consistenti in: guasto, infezione, installazione, movimenti laterali, azioni sugli obiettivi indicati dal Legislatore).
2.  entro il termine di un'ora dal momento in cui il soggetto incluso nel perimetro è venuto a conoscenza di uno degli incidenti catalogati come più gravi (si tratta di incidenti riguardanti: azioni sugli obiettivi e disservizio).

Si dispone inoltre che qualora il soggetto incluso nel perimetro venga a conoscenza di nuovi elementi significativi la notifica è integrata immediatamente dal momento in cui il soggetto incluso nel perimetro ne è venuto a conoscenza, salvo che l'autorità giudiziaria procedente abbia previamente comunicato la sussistenza di specifiche esigenze di segretezza investigativa.

4) ICT sicurezza: obblighi in capo agli operatori di servizi essenziali e fornitori di servizi digitali

Le categorie degli operatori di servizi essenziali e dei fornitori di servizi digitali sono tenuti a comunicare la notifica oltre che al SIRT anche al competente NIS senza ingiustificato ritardo, per gli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali forniti, che essi offrono all'interno dell'Unione europea.

Le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico, con la notifica in questione, comunicano che la stessa costituisce anche adempimento dell'obbligo previsto ai sensi dell'articolo 16-ter del Codice delle comunicazioni elettroniche (decreto legislativo n. 259 del 2003) e delle correlate disposizioni attuative. Riassumibili nei seguenti punti: a) fornire  al   Ministero,  e  se   necessario  all'Autorita',  le informazioni necessarie per valutare la sicurezza e l'integrita'  dei loro servizi e delle loro reti, in particolare i   documenti  relativi alle politiche di sicurezza;     b) sottostare a  una   verifica  della  sicurezza   effettuata  dal Ministero, anche su impulso dell'Autorita', in collaborazione con gli Ispettorati territoriali del Ministero dello sviluppo economico, o da un   organismo  qualificato  indipendente   designato  dal   Ministero. L'impresa si assume l'onere finanziario della verifica.

Infine, in base al comma 7, una volta "definiti e avviati" i piani di attuazione delle attività per il ripristino dei beni ICT impattati dall'incidente oggetto di notifica, il soggetto incluso nel perimetro che ha proceduto a effettuare una notifica, ne da tempestiva comunicazione al CSIRT italiano trasmettendo, altresì, su richiesta del CSIRT italiano ed entro 30 giorni dalla stessa richiesta, una relazione tecnica che illustra gli elementi significativi dell'incidente, tra cui le conseguenze dell'impatto sui beni ICT derivanti dall'incidente e le azioni intraprese per porvi rimedio, salvo che l'autorità giudiziaria procedente abbia previamente comunicato la sussistenza di specifiche esigenze di segretezza investigativa.

L'art. 4 disciplina la notifica volontaria degli incidenti stabilendo che, al di fuori dei casi di cui all'articolo 3, i soggetti inclusi nel perimetro hanno facoltà di notificare, su base volontaria, gli incidenti, relativi ai beni ICT, non rientranti nelle allegate tabelle ovvero gli incidenti, indicati nelle tabelle relative a reti, sistemi informativi e servizi informatici di propria pertinenza diversi dai beni ICT.