L’istituzione del “Perimetro di sicurezza nazionale cibernetica” (Legge 18 novembre 2019, n. 133), scaturisce dalla necessità di innalzare la resilienza di reti, sistemi informativi e servizi informatici degli attori nazionali, pubblici e privati, che esercitano una funzione essenziale dello Stato ovvero hanno carattere strategico per gli interessi del Paese.
Cosa si intende per incidente cyber
L’incidente può riguardare la rete o un sistema informativo, ovvero:
- una rete di comunicazione elettronica;
- qualsiasi dispositivo o gruppo di dispositivi interconnessi o collegati, uno o più dei quali eseguono, in base ad un programma, un trattamento automatico di dati digitali, ivi inclusi i sistemi di controllo industriale;
- i dati digitali conservati, trattati, estratti o trasmessi per mezzo di reti o dispositivi per il loro funzionamento, uso, protezione e manutenzione, compresi i programmi.
A chi si applica
Attori nazionali pubblici e privati che esercitano una funzione essenziale dello Stato ovvero hanno carattere strategico per gli interessi del Paese.
A cosa si applica
Reti, sistemi informativi e servizi informatici dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale.
Cosa prevede
Per gli attori pubblici e privati che inclusi nel perimetro la normativa prevede un triplice obbligo di:
- notifica degli incidenti, così da assicurare un immediato flusso di informazione a favore delle strutture deputate alla prevenzione, preparazione e gestione degli eventi cyber, in particolare Nucleo per la sicurezza cibernetica, incardinato nel DIS, e Gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT);
- adozione di misure di sicurezza che vanno a coprire organizzazione, processi e procedure;
- osservanza di apposite procedure per lo screening tecnologico degli approvvigionamenti ICT destinati agli asset rilevanti dei soggetti inclusi nel perimetro, dandone comunicazione al Centro di Valutazione e Certificazione Nazionale (CVCN), chiamato a pronunciarsi entro 30 giorni dalla notifica dell’intenzione di procedere all’acquisto di beni, sistemi e servizi ICT.
Iter di approvazione
È stato approvato nel mese di Maggio il secondo DPCM attuativo del Perimetro di sicurezza nazionale cibernetica, relativo alle modalità di notifica degli incidenti cyber: gli incidenti definiti “gravi”, ossia infezione, guasto, installazione, movimenti laterali e azioni sugli obiettivi, dovranno essere denunciati al CSIRT (Computer Security Incident Response Team) del DIS entro un’ora dall’accaduto.
Si avranno fino a sei ore di tempo in casi ritenuti meno gravi.