L’ENISA pubblica le nuove Linee Guida sugli incidenti informatici

L’ENISA ha pubblicato nuove Linee Guida volte a facilitare tempi e modalità di notifica degli incidenti informatici delle autorità nazionali di telecom security. L’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) ha pubblicato nuove Linee Guida volte a facilitare tempi e modalità di notifica degli incidenti informatici delle autorità nazionali di telecom security all’ENISA e alla Commissione europea, ai sensi del Codice europeo delle comunicazioni elettroniche (EECC).

Negli ultimi anni, specie alla luce dei risvolti determinati della crisi pandemica, questioni di sviluppo economico si sono progressivamente intrecciate alla continuità operativa ed all’efficientamento dei servizi di telecomunicazione. Tuttavia, le infrastrutture di comunicazione elettronica giocano anche un ruolo significativo nella sicurezza nazionale, nella risposta alle emergenze ed nella protezione degli asset critici di enti pubblici e privati. Su tali considerazioni si fonda il quadro normativo sulle telecomunicazioni dell’UE, alle cui fondamenta è posta la Direttiva n. 140/2009.

L’articolo 13-bis, della Direttiva n. 140/2009 mira a garantire la sicurezza e l’integrità delle infrastrutture di telecomunicazione, con particolare riferimento alla disponibilità dei servizi. Tale obiettivo è perseguito con prescrizioni mirate all’adozione di misure tecniche e organizzative da parte dei provider operanti nel settore, garanzie sull’integrità delle reti e notifiche tempestive degli incidenti informatici ad impatto significativo su reti e sistemi alle autorità nazionali competenti.

Le nuove disposizioni dell’ENISA sostituiscono le linee guida pubblicate dall’ENISA in materia di segnalazione degli incidenti in ottemperanza all’articolo 13-bis della Direttiva n. 140/2009 nel 2010. Nella nuova pubblicazione, l’ENISA si concentra sul campo di applicazione delle disposizioni dell’EECC, fornendo indicazioni tecniche ed organizzative non vincolanti alle autorità nazionali preposte al controllo della sicurezza nel settore delle comunicazioni elettroniche per la gestione degli incidenti informatici. Inoltre, particolare attenzione è prestata al coordinamento dell’attività di notifica post-incident rivolta alle autorità controllo nazionali, all’ENISA e alla Commissione Europea.

L’articolo 40 della EECC prevede tre modalità di segnalazione degli incidenti informatici:

  • Notifica dell’incidente all’autorità di controllo nazionale competente;
  • Notifica ad hoc dell’incidente tra le autorità di controllo nazionali e l’ENISA;
  • Report di sintesi annuale delle autorità di sicurezza nazionali alla Commissione Europea e all’ENISA.

Nelle Linee Guida, l’ENISA si sofferma su tempi e modalità dello scambio di informazioni tra le autorità di controllo nazionali e le istituzioni europee. Le informazioni oggetto delle notifiche dovranno dettagliatamente identificare i servizi, gli asset e le categorie di incidenti rientranti nel campo di applicazione del EECC. In tal senso, dovranno essere notificati gli incidenti impattanti sulla riservatezza, disponibilità, integrità e autenticità di reti e servizi. L’ENISA, inoltre, stabilisce soglie di natura quantitativa e qualitativa volte ad orientare le autorità nazionali nella redazione del report di sintesi annuale. Gli  aspetti quantitativi in considerazione includono il numero di soggetti interessati dall’incidente, il downtime, gli effetti attuali e potenziali della crisi informatica. D’altro canto, dovranno essere vagliati anche aspetti qualitativi quali l’estensione geografica e la scala dell’incidente, l’impatto sull’economia e sulla società interessata.

Su un argomento simile, potrebbe essere interessante l’articolo: “Crittografia Post-Quantum: il nuovo Report dell’ENISA sulla nuova frontiera degli attacchi informatici”.