Direttiva CER_cibersecurity

Incidenti su reti, sistemi informativi e servizi informatici: Regolamento e Tassonomia in Gazzetta!

5007 0

Con DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 14 aprile 2021, n. 81, il Consiglio dei Ministri ha approvato il Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici (che impatta quindi sul “bene ICT”).

Con successiva DETERMINA 3 gennaio 2023 l’AGENZIA PER LA CYBERSICUREZZA NAZIONALE ha definito la Tassonomia degli incidenti come richiesto dall’art. 1, comma 3-bis, del decreto-legge n. 105 del 2019 convertito con Legge 133/2019 che ha definito il Perimetro di sicurezza cibernetica ed i soggetti che ne fanno parte.

Vediamo di seguito che cosa intende tutelare il Regolamento, cosa contiene il DPCM 81/2021 ed i suoi fondamentali allegati, le Misure di Sicurezza indicate dal provvedimento e la tassonomia degli incidenti notificabili a partire dal 2023.

Cosa contiene il Regolamento n.81/2021 per gli incidenti su reti, sistemi e servizi

Il Decreto:

  • riguarda violazioni del perimetro di sicurezza nazionale cibernetica (regolato con decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133)
  • contiene la classificazione in categorie, degli incidenti aventi impatto sui beni ICT (art.2): quelli meno gravi in tabella 1, mentre nella tabella n. 2 sono riportati quelli più gravi.  Per ciascuna tipologia di incidente, sono indicati un codice identificativo e la corrispondente categoria, accompagnata dalla descrizione di ciascuna tipologia di incidente.
  • regola le Notifiche (artt.3-6) di incidente su beni ICT e la relativa procedura, oltre agli incidenti relativi alle reti, ai sistemi informativi e ai servizi  informatici attinenti alla gestione delle informazioni classificate;
  • individua nell’allegato B le Misure di sicurezza, articolate in funzioni, categorie, sottocategorie, punti e lettere. Nella tabella in appendice n. 2 dell’allegato B è indicata per ciascuna misura di  sicurezza  la corrispondente categoria (richiamate all’art.7);
  • dettaglia nell’allegato C le Misure minime di Sicurezza per la tutela delle informazioni (richiamate all’art.9)

Incidenti su reti, sistemi e servizi: tipologie e notifiche, le regole dal 1 gennaio 2022

In base al DPCM 81/2021 le notifiche possono impattare:

  • su beni ICT (reti, sistemi informativi e servizi informatici, o parti di essi definiti nel DL 105/2019) – regolate in art.3 del regolamento;
  • su reti, sistemi informativi e servizi informatici di pertinenza diversi dai beni ICT: si tratta, in questo caso di notifiche volontarie da parte di soggetti inclusi nel perimetro di sicurezza cibernetica (art.4), di
    • incidenti su beni ICT non elencati nell’allegato A;
    • incidenti non indicati nelle tabelle di cui all’allegato A.

Il sistema delle Notifiche

Il Decreto:

  • regola anche (art.5) la procedura di notifica che parte dal DIS Dipartimento delle informazioni per la sicurezza della Presidenza del Consiglio dei ministri al CSIRT italiano (il Computer security incident response team istituito presso il DIS). Le notifiche volontarie (definite in art.4) sono trasmesse solo nel caso in cui siano state trattate.
  • e rimanda (art.6) a quanto previsto al regolamento previsto dalla legge n. 124 del 2007 in materia di notifica degli incidenti relativi alle reti, ai sistemi informativi e ai servizi informatici attinenti alla gestione delle informazioni classificate, non inclusi nell’elenco dei beni ICT.

Misure di Sicurezza per beni ICT

In base all’art. 8 i soggetti inclusi nel perimetro cibernetico devono adottare per ciascun bene ICT di rispettiva pertinenza, le misure di sicurezza di cui all’allegato B in tal modo:

  • per le misure di sicurezza appartenenti alla categoria A di cui all’appendice n. 2 dell’allegato B,
    • entro sei mesi dalla data di trasmissione degli elenchi dei beni ICT,
    • se la trasmissione è avvenuta in una data antecedente a quella di entrata in vigore del regolamento, entro sei mesi da quest’ultima data;
  • per le misure di sicurezza appartenenti alla categoria B di cui all’appendice n. 2 dell’allegato B,
    • entro trenta mesi dalla data di trasmissione degli elenchi dei beni ICT,
    • se la trasmissione è avvenuta in una data antecedente a quella di entrata in vigore del regolamento, entro trenta mesi da quest’ultima data.
  • Le misure minime di sicurezza individuate nell’allegato C si applicano entro sessanta giorni dalla data di entrata in vigore del Regolamento.

Tassonomia degli incidenti su reti, sistemi informativi e sistemi informatici – Determina 3 gennaio 2023

La DETERMINA 3 gennaio 2023 del Direttore dell’AGENZIA PER LA CYBERSICUREZZA NAZIONALE ha definito la Tassonomia degli incidenti che devono essere notificati dai “soggetti inclusi nel perimetro di sicurezza nazionale cibernetica”, istituito con il Decreto-legge 105/2019.

L’Allegato 1 riporta in forma di Tabella per ciascuna tipologia di incidente, un codice identificativo e la corrispondente categoria, accompagnata dalla descrizione di ciascuna tipologia di incidente.

Inoltre, nella sezione 2 della Tabella sono descritti anche gli eventi che i soggetti inclusi nel perimetro potranno notificare, con le medesime modalità previste dall’art. 1, comma 3-bis, del decreto-legge, così da fornire all’Agenzia per la cybersicurezza nazionale un quadro di valutazione della minaccia più completo.

DI seguito l’allegato alla Determina che riporta la Tassonomia degli incidenti

Cosa si intende per incidenti aventi impatto su reti, sistemi informativi e servizi informatici?

In base al DPCM 81/2021

per “incidente”, si intende qui ogni evento di natura accidentale o intenzionale che determina il malfunzionamento, l’interruzione, anche parziali, ovvero l’utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici.

Il bene ICT (information and communication technology), è un insieme di reti, sistemi informativi e servizi informatici, o parti di essi, incluso nell’elenco di cui all’articolo 1, comma 2, lettera b), del decreto-legge 105/2019

L’impatto sul bene ICT riguarda quindi, la limitazione della operatività del bene ICT, ovvero la  compromissione della disponibilità, integrità, o riservatezza dei dati e delle informazioni da esso trattati, ai fini dello svolgimento della funzione o del servizio essenziali.

Cosa si intende per rete, sistema informativo?

Il Decreto definisce “rete, sistema informativo

  • Una rete di comunicazione elettronica ai sensi dell’articolo 1, comma 1, lettera dd), del decreto legislativo 1° agosto 2003, n. 259;
  • 2) qualsiasi dispositivo o gruppo di dispositivi interconnessi o collegati, uno o più dei quali eseguono, in base ad un programma, un trattamento automatico di dati digitali, ivi inclusi i sistemi di controllo industriale;
  • 3) i dati digitali conservati, trattati, estratti o trasmessi per mezzo di reti o dispositivi di cui ai numeri 1) e 2), per il loro funzionamento, uso, protezione e manutenzione, compresi i programmi di cui al numero 2);

Cosa si intende per servizio informatico?

Per “sistema informatico” si intende un servizio consistente interamente o prevalentemente nel trattamento di informazioni, per mezzo della rete e dei sistemi informativi, ivi incluso quello di cloud computing di cui all’articolo 3, comma 1, lettera aa), del decreto legislativo n. 65 del 2018.

Incidenti informatici: la normativa di riferimento

Gli Incidenti aventi impatto su reti, sistemi informativi e servizi informatici sono regolati con Regolamento di cui al decreto del Presidente del Consiglio dei ministri 14 aprile 2021, n. 81. Si intende per «impatto sul bene ICT», la limitazione della operatività del bene ICT, ovvero compromissione della disponibilità, integrità, o riservatezza dei dati e delle informazioni da esso trattati, ai fini dello svolgimento della funzione o del servizio essenziali

Tali incidenti riguardano il perimetro di sicurezza nazionale cibernetica, regolamentato con

  • decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133 (che detta disposizioni urgenti)
  • decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131 che costituisce il Regolamento del Perimetro

Libri e Corsi di formazione per i professionisti della Security

Sei un professionista della Security? Vi segnaliamo alcuni libri di EPC Editore pensati per il professionista della Privacy e della Security e del mondo ICT ed alcuni corsi di Security e Privacy organizzati da Istituto Informa.

Antonio Mazzuca

Coordinamento editoriale Portale InSic.it -redattore giuridico Laurea in Giurisprudenza in Diritto europeo (LUISS Guido Carli 2006) e Master in "Gestione integrata di salute e sicurezza nell'evoluzione del mondo del lavoro" INAIL-Sapienza (I° Ed. 2018-19). Formatore certificato in salute e sicurezza sul lavoro dal 2017 per Istituto Informa e RLS per EPC Editore. Esperto in sicurezza sul lavoro e amministratore del Gruppo Linkedin Ambiente&Sicurezza sul Lavoro. Content editor e Social media per InSic.it su Linkedin e X (ex Twitter). Contatti: Linkedin Mail: a.mazzuca@insic.it