Cybersecurity: il nuovo regolamento in materia di notifiche e misure di sicurezza ( Dpcm 14 aprile 2021, n. 81)

Pressoché in contemporanea con l'istituzione dell'Agenzia per la cybersecurity (D.L. 14 giugno 2021, n. 82), il sistema nazionale di sicurezza cibernetica si è arricchito di un altro importante tassello, ossia il "Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all'articolo 1, comma 2, lett. b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza", adottato con D.P.C.M. 14 aprile, n. 81, e pubblicato sulla Gazzetta Ufficiale n. 138 dell'11 giugno 2021.

Il Regolamento, in attuazione dell'art. 1, comma 3, del Decreto-Legge 21 settembre 2019, n. 105, conv. dalla Legge 18 novembre 2019, n. 133 (che per l'appunto ha istituito il "Perimetro di Sicurezza Nazionale Cibernetica - PSNC"), disciplina nel dettaglio le procedure di notifica che devono seguire i soggetti inclusi nel PSNC (si tratta di amministrazioni pubbliche, enti e operatori pubblici e privati da cui dipende l'esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato) in caso di incidenti aventi impatto su beni ICT, unitamente alle misure di sicurezza che i medesimi soggetti devono adottare per ciascun bene ICT di propria pertinenza.

Ai sensi del Regolamento, configura un incidente "ogni evento di natura accidentale o intenzionale che determina il malfunzionamento, l'interruzione, anche parziali, ovvero l'utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici" (art. 1, comma 1, lett. h), D.P.C.M. 14 aprile 2021, n. 81).

Tuttavia, occorre che l'incidente abbia un impatto sul bene ICT affinché scatti l'obbligo di notifica al CSIRT, il Computer Security Incident Response Team istituito presso il Dipartimento delle informazioni per la sicurezza della Presidenza del Consiglio dei Ministri (DIS).

All'art. 1, il Regolamento definisce "bene ICT" (Information and Communication Technology) quell'"insieme di reti, sistemi informativi e servizi informatici, o parti di essi" inclusi nell'elenco che i soggetti del PSCNC sono tenuti a trasmettere al Governo secondo i criteri già individuati dal D.P.C.M. 30 luglio 2020, n. 131, mentre denomina "impatto sul bene ICT" qualsiasi "limitazione della operatività del bene ICT, ovvero compromissione della disponibilità, integrità, o riservatezza dei dati e delle informazioni da esso trattati, ai fini dello svolgimento della funzione o del servizio essenziali".

Gli incidenti aventi impatto sui beni ICT sono classificati, per categorie, nelle tabelle n. 1 ("meno gravi") e n. 2 ("più gravi") dell'allegato A del Regolamento Al verificarsi di tali situazioni, a partire dal 1° gennaio 2022, i soggetti inclusi nel PSNC dovranno notificare l'evento al CSIRT entro sei ore dalla presa conoscenza, qualora si tratti di un incidente "meno grave", ovvero entro un'ora, qualora si tratti di un incidente "più grave". Sino al 31 dicembre 2021, si prevede invece una fase di trasmissione sperimentale per i soggetti che comunichino o abbiano comunicato gli elenchi dei beni ICT conformemente al citato D.P.C.M. 30 luglio 2020.

Si ricorda che il mancato adempimento dell'obbligo di notifica è punito, salvo che il fatto costituisca reato, con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000 (cfr. art. 1, comma 9, D.L. 105/2019).

Alla trasmissione della notifica segue una fase di interlocuzione con il CSIRT, nell'ambito della quale il notificante può essere chiamato a fornire aggiornamenti e/o a presentare una relazione tecnica che illustri gli elementi significativi dell'incidente.

Il Regolamento consente inoltre ai soggetti inclusi nel PSNC di notificare, su base volontaria, altri incidenti non ricadenti nell'ambito dell'obbligo di notifica, con la precisazione che tali notifiche volontarie "sono trattate dal CSIRT italiano in subordine a quelle obbligatorie e qualora tale trattamento non costituisca un onere sproporzionato o eccessivo" (art. 4, comma 2, D.P.C.M. 14 aprile 2021, n. 81).

Come anticipato sopra, la seconda parte del Regolamento è dedicata alle misure di sicurezza volte a garantire elevati livelli di sicurezza delle reti, dei sistemi informativi e dei servizi informatici di pertinenza dei soggetti inclusi nel PSNC..

Dette misure, di carattere eminentemente tecnico, sono contenute nell'allegato B del Regolamento, organizzate in funzioni, categorie e sottocategorie, ognuna identificata anche da un codice univoco alfanumerico corrispondente alle analoghe misure del "Framework nazionale per la cybersecurity e la data protection", edizione 2019.

Si segnala, in particolare, la necessità per i soggetti inclusi nel PSNC di nominare un incaricato (e un eventuale sostituto), in possesso di specifiche professionalità e competenze in materia di sicurezza cibernetica, con il compito di gestire l'attuazione del Decreto-Legge Perimetro e di riferire direttamente al vertice gerarchico, nonché un apposito referente tecnico (e almeno un suo sostituto), in possesso di competenze specialistiche in materia, per lo svolgimento delle funzioni di interlocuzione con il CSIRT ai fini della gestione degli incidenti.

Le misure in parola dovranno essere adottate dai soggetti inclusi nel PSNC entro sei o trenta mesi dalla comunicazione dei beni ICT, a seconda che siano inserite nella categoria A o B dell'appendice n. 2 dell'allegato B del Regolamento.

Infine, l'art. 9 del Regolamento prescrive l'adozione delle misure minime di sicurezza indicate nell'allegato C (fondate sul "need to know" e sul tracciamento degli accessi) a tutela delle informazioni relative all'elenco dei soggetti inclusi nel PSNC, agli elenchi dei beni ICT, agli elementi delle notifiche di incidenti, al modello di comunicazione delle misure di sicurezza adottate e alla documentazione predisposta in attuazione di dette misure.

Tali misure dovranno essere implementate entro sessanta giorni dalla data di entrata in vigore del Regolamento, prevista per il 26 giugno 2021.

*a cura dell'Avv. Nicolò Filippo Boscarini

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più