L’ Agenzia per la Cybersicurezza Nazionale (ACN) ha adottato il 3 gennaio 2023, ed entrata in vigore il 19 gennaio 2023, la determina sulle misure nazionali di difesa contro attacchi informatici per i soggetti inclusi nel Perimetro di sicurezza nazionale cibernetica. Si tratta di un quadro normativo molto complesso, che trova la sua espressione nel decreto-legge n 105 del 2019, articolato in numerosi fonti normative e per questa ragione troviamo che sia utile fare il punto a beneficio dei soggetti destinatari di tali previsioni normative.

I soggetti interessati dal decreto

Il decreto sopracitato ha l’obbiettivo di regolamentare dal punto di vista della sicurezza delle reti tutti quei soggetti che, per la natura del settore in cui operano, sono maggiormente esposti ad eventuali attacchi.

Nel decreto vengono elencati i parametri per individuare i soggetti idonei alla sua applicazione:

• il soggetto deve esercitare una funzione essenziale dello Stato, ovvero assicurare un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato;

• l’esercizio di tale funzione o la prestazione di tale servizio deve dipendere da reti, sistemi informativi e servizi informatici;

• l’individuazione deve avvenire sulla base di un criterio di gradualità, tenendo conto dell’entità del pregiudizio per la sicurezza nazionale che, in relazione alle specificità dei diversi settori di attività, può derivare dal malfunzionamento, dall’interruzione, anche parziali, ovvero dall’utilizzo improprio delle reti, dei sistemi informativi e dei servizi informatici predetti.

I soggetti che hanno questi requisiti fanno parte di una lista limitata all’accesso pubblico, per questo motivo l’eventuale inserimento nella lista viene comunicato al singolo interessato.

Il Perimetro richiede degli obblighi

I soggetti inclusi nel Perimetro, hanno degli obblighi da rispettare. Eccoli di seguito:

• Obbligo di predisporre l’elenco di beni ICT (information and communication technology) di rispettiva pertinenza, con l’indicazione delle reti, dei sistemi informativi e dei servizi informatici che li compongono (D.P.C.M. 30 luglio 2020 n. 131 “Regolamento in materia di Perimetro di sicurezza nazionale cibernetica”).

• Obbligo di comunicazione degli affidamenti o dell’acquisto di beni, sistemi e servizi ICT al Centro di Valutazione e Certificazione Nazionale (CVCN), istituito presso il Ministero dello sviluppo economico (D.P.R. 5 febbraio 2021 n. 54 “Regolamento recante attuazione dell’articolo 1, comma 6, del decreto legge 21 settembre 2019, n. 105”). La comunicazione deve essere effettuata prima dell’avvio delle procedure di affidamento di forniture di determinate categorie di beni, sistemi e servizi ICT, così come definite dal D.P.C.M. 15 giugno 2021 (D.P.C.M. 15 giugno 2021 “Individuazione delle categorie di beni, sistemi e servizi ICT destinati ad essere impiegati nel Perimetro di sicurezza nazionale cibernetica”).

• Obbligo di notifica al Computer Security Incident Response Team (“CSIRT”), entro un termine variabile di un’ora o sei ore, in caso di incidenti aventi ad oggetto beni ICT rientranti nell’elenco di cui al punto (1) che precede (D.P.C.M. 14 aprile 2021 n.81 “Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all’articolo 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105.”). La notifica dovrà avvenire entro sei ore dalla scoperta, nei casi di violazione o perdita di confidenzialità o integrità, accesso tramite malware, movimenti laterali o azioni di raccolta e esfiltrazione di dati. Tale finestra di tempo si riduce ad una sola ora dalla scoperta, nei casi di inibizione delle funzioni di risposta, compromissione dei processi di controllo, disservizio o violazione dei servizi, sistemi o dati.

• Obbligo di notifica al CSIRT entro 72 ore in caso di incidenti con oggetto beni diversi da quelli inclusi nell’elenco di cui al punto (1) che precede, come indicati nella Determina 3 gennaio 2023 dell’ Agenzia per la Cybersicurezza Nazionale (“Determina”). Gli incidenti oggetto della notifica, come indicati nella Determina, consistono, tra gli altri, nell’ accesso, esecuzione e installazione non autorizzati, movimenti laterali, esfiltrazione di informazioni e dati, ricognizione riferita ad attività di spearphishing, che vanno ad impattare su asset che si trovano al di fuori del Perimetro e per questo motivo ritenuti meno a rischio, ma che potrebbero avere un successivo effetto negativo sui beni ICT di asset appartenenti alla medesima supply-chain.

Direttiva NIS2

La direttiva n 2022/2555 o Direttiva NIS2 di recente emanazione e alla quale bisognerà adeguarsi entro il 18 ottobre 2024, oltre ad ampliare il numero dei soggetti rientranti nel Perimetro, prevede un nuovo quadro normativo, tra cui introduce una nuova e più articolata modalità di notifica degli incidenti, in particolare, devono essere trasmessi al CSIRT:

• senza indebito ritardo, e comunque entro 24 ore da quando vi è stata conoscenza dell’incidente, un preallarme che, se opportuno, indichi se l’incidente è sospettato di essere il risultato di atti illegittimi o malevoli o può avere un impatto transfrontaliero;

• senza indebito ritardo, e comunque entro 72 ore da quando vi è stata conoscenza dell’incidente, una notifica dell’incidente che, se opportuno, aggiorni le informazioni fornite in precedenza e indichi una valutazione iniziale dell’incidente, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione;

• su richiesta di un CSIRT o, se opportuno, di un’autorità competente, una relazione intermedia sui pertinenti aggiornamenti della situazione;

• una relazione finale entro un mese dalla trasmissione della notifica dell’incidente.