Nuovi obblighi di notifica degli incidenti ai sensi della normativa sul perimetro nazionale di sicurezza cibernetica

Sono stati introdotti nuovi obblighi di notifica degli incidenti ai sensi della normativa nazionale sul perimetro di sicurezza cibernetica.

Il 10 gennaio 2023 è stata pubblicata in Gazzetta Ufficiale la determina del Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale (ACN) che estende ulteriormente gli obblighi di notifica degli incidenti previsti in capo ai soggetti rientranti nel Perimetro di Sicurezza Nazionale Cibernetica. A partire dal 25 gennaio 2023, dovranno essere comunicati all’ACN – nello specifico al Computer Security Incident Response Team (il CSIRT) – anche gli incidenti aventi un impatto su reti, sistemi informativi e servizi informatici diversi dai beni ICT rientranti nel Perimetro.

L’attuale quadro normativo prevede che i soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica siano tenuti a segnalare al CSIRT gli incidenti indicati dalla tassonomia di cui all’Allegato A del DPCM n. 81/2021 che abbiano un impatto su:

1. un bene ICT di rispettiva pertinenza, ovvero sull'”insieme di reti, sistemi informativi e servizi informatici, o parti di essi, di qualunque natura, considerato unitariamente ai fini dello svolgimento di funzioni essenziali dello Stato o per l’erogazione di servizi essenziali“, oppure
2. un sistema informativo o un sistema informatico, o parte di essi che condivide con un bene ICT funzioni di sicurezza, risorse di calcolo o memoria, ovvero software di base, quali sistemi operativi e di virtualizzazione.

L’ulteriore obbligo di notifica introdotto con la determina del Direttore Generale dell’ACN estende gli obblighi informativi anche a quegli incidenti che hanno un impatto su reti, sistemi e servizi informativi e servizi informatici di pertinenza dei soggetti rientranti nel Perimetro diversi dai beni direttamente conferiti sotto il Perimetro stesso. L’obiettivo del provvedimento è di rafforzare ulteriormente il Perimetro estendendo l’ambito delle notifiche obbligatorie in caso di incidenti informatici anche a beni diversi rispetto a quelli attualmente protetti dal Perimetro. La determinazione tecnica contiene la tassonomia degli incidenti oggetto di segnalazione, distinguendo tra eventi che devono essere obbligatoriamente notificati al CSIRT (Sezione 1 dell’Allegato A) ed eventi la cui comunicazione rimane facoltativa e finalizzata a fornire all’ACN un quadro di valutazione delle minacce più completo (Sezione 2 dell’Allegato A).

Il provvedimento non interviene sulla nozione di incidente che continua ad essere definito come “ogni evento di natura accidentale o intenzionale che determina il malfunzionamento, l’interruzione, anche parziali, ovvero l’utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici“. Le notifiche degli incidenti che riguardano questi beni informatici dovranno essere effettuate entro 72 ore dal momento in cui il soggetto colpito viene a conoscenza dell’incidente, mentre le tempistiche attualmente previste per le notifiche degli incidenti relativi ai beni conferiti sotto il Perimetro rimarranno invariate (da 1 a 6 ore in relazione al tipo e alla gravità dell’evento).

In conclusione, dal 25 gennaio 2023, la portata degli obblighi di comunicazione dei soggetti rientranti nel Perimetro di Sicurezza Nazionale Cibernetica si è estesa ulteriormente, andando a ricomprendere anche gli incidenti che colpiscono beni e servizi informatici non espressamente inclusi nel Perimetro.

Su un simile argomento, può essere interessante l’articolo “Obblighi di certificazione per i fornitori ICT di società del perimetro nazionale di sicurezza cibernetica“.