Cybersicurezza: si arricchisce il quadro normativo con il Regolamento sulle notifiche degli incidenti e l'istituzione dell'Agenzia per la cybersicurezza nazionale
Con l'adozione di due importanti e attesi provvedimenti normativi continua l'iter teso a disciplinare il Perimetro di sicurezza nazionale cibernetica e definire l'architettura nazionale in materia di cybersicurezza
1.Il Regolamento in materia di notifica degli incidenti e misure di sicurezza
Il DPCM del 14 aprile 2021, n. 81 introduce il Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici afferenti al Perimetro, di cui all'art. 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105, e in materia di misure volte a garantire elevati livelli di sicurezza (di seguito "Regolamento").
- Notifica degli incidenti
L'art. 2 del DPCM prevede l'obbligo, per i soggetti inclusi nel Perimetro, di notificare gli incidenti di sicurezza aventi impatto sui beni ICT di rispettiva pertinenza. La tassonomia degli incidenti è fornita dalle Tabelle 1 e 2 dell'allegato "A" al decreto, che classificano gli eventi in base alla loro gravità.
In particolare, rientrano nella Tabella 1 gli incidenti meno gravi, classificabili nelle seguenti categorie:
•infezione (initial explotation);
•guasto (fault);
•installazione (establish persistence);
•movimenti laterali (lateral movement);
•azioni sugli obiettivi (actions on objectives), che include il caso di esfiltrazione non autorizzata di dati.
Gli incidenti più gravi, invece, elencati nella Tabella 2 rientrano nelle categorie denominate:
•azioni sugli obiettivi (actions on objectives), che ricomprendono i casi di inibizione delle funzioni di risposta (Inhibit Response Function), compromissione dei processi di controllo (Impair Process Control) e disservizio intenzionale (impact);
•disservizio (failure), che ricomprende i casi di violazione del livello di servizio atteso, definito dal soggetto incluso nel Perimetro ai sensi di quanto previsto nelle misure di sicurezza di cui all'allegato B, specie in termini di disponibilità, del bene ICT, nonché i casi di divulgazione di dati corrotti o esecuzione di operazioni corrotte tramite il bene ICT e divulgazione non autorizzata di dati digitali relativi ai beni ICT.
La suddetta distinzione è funzionale alla diversa tempistica definita dal Regolamento per adempiere all'obbligo di notifica. Mentre gli incidenti indicati nella Tabella 1 dovranno essere notificati al Computer Security Incident Response Team ("CSIRT") entro sei ore, per gli incidenti rientranti nella tipologia di cui alla tabella 2 è previsto il termine di un'ora.
I predetti termini decorrono dal momento in cui i soggetti inclusi nel Perimetro siano venuti a conoscenza dell'incidente a seguito delle evidenze ottenute, anche mediante le attività di monitoraggio, test e controllo effettuate sulla base delle misure di sicurezza di cui all'allegato B.
Si tratta di termini particolarmente stringenti, soprattutto se si considera che la normativa in materia di privacy prevede che eventuali violazioni di dati personali (c.d. data breach) devono essere notificati all'Autorità, ove necessario, entro 72 ore dalla scoperta. A riguardo si rammenta che l'obbligo di notifica previsto dalla normativa in materia di cybersicurezza non esclude l'obbligo di provvedere alla notifica del medesimo evento al Garante per la protezione dei dati personali, ove l'incidente abbia impatto anche su dati personali e ricorrano i presupposti previsti dal Regolamento (UE) 2016/679.
Gli obblighi di notifica previsti dal Regolamento troveranno applicazione a partire dal 1° gennaio 2022. Tuttavia, i soggetti inclusi nel Perimetro provvedono ugualmente alle notifiche in via sperimentale con decorrenza dalla data di avvenuta trasmissione dell'elenco dei propri beni ICT alla Presidenza del Consiglio dei Ministri o, se si tratta di soggetti privati, al Ministero dello Sviluppo economico. Ove la trasmissione degli elenchi sia già avvenuta prima dell'entrata in vigore del Regolamento, l'applicazione in via sperimentale decorre dal 26 giugno 2021.
Dal 1° gennaio 2022, inoltre, anche i soggetti qualificabili come "Operatori di Servizi Essenziali" e "Fornitori di Servizi Digitali" ai fini della normativa NIS (D.lgs. n. 65 del 2018) che siano inclusi nel Perimetro saranno tenuti ad effettuare la comunicazione al CSIRT italiano indicando che la notifica costituisce anche adempimento degli obblighi prescritti ai fini della disciplina NIS e indicare l'Autorità NIS competente alla quale la notifica dovrà essere inoltrata.
Analogamente, le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico, ai sensi del Codice delle comunicazioni elettroniche (D.lgs. 1° agosto 2003, n. 259), saranno tenuti a comunicare al CSIRT che la notifica costituisce anche adempimento degli obblighi previsti dall'art. 16-ter del predetto Codice e delle correlate disposizioni attuative.
Al di fuori dei casi di notifica obbligatoria, i soggetti inclusi nel Perimetro possono altresì effettuare notifiche volontarie che saranno trattate dal CSIRT in subordine e solo ove ciò non comporti un onere sproporzionato o eccessivo.
Il "centro stella" per la gestione delle notifiche ricevute dal CSIRT è il Dipartimento delle informazioni per la sicurezza (DIS) che provvede a trasmetterle alle Autorità competenti, ossia:
-all'organo del Ministero dell'Interno per la sicurezza e la regolarità dei servizi di telecomunicazione;
-alla struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione, qualora le notifiche provengano da un soggetto pubblico o da un soggetto di cui all'articolo 29 del Codice dell'Amministrazione Digitale (decreto legislativo 7 marzo 2005, n. 82), fatta eccezione per quelle concernenti i beni ICT connessi alla funzione di prevenzione e repressione dei reati, alla tutela dell'ordine e della sicurezza pubblica, alla difesa civile e alla difesa e sicurezza militare dello Stato in relazione ai quali le attività di ispezione e verifica sono svolte da competenti strutture specializzate;
-al Ministero dello sviluppo economico, qualora le notifiche provengano da un soggetto privato;
-alla competente Autorità NIS ove la notifica sia effettuata da un Operatore di Servizi Essenziali ovvero da un Fornitore di Servizi Digitali ai sensi della normativa NIS.
- Misure di sicurezza
Il Regolamento individua, inoltre, le misure di sicurezza che i soggetti inclusi nel Perimetro sono tenuti ad adottare rispetto ai beni e servizi ICT di rispettiva pertinenza.
Le misure sono elencate nell'Allegato B al DPCM in corrispondenza alle categorie individuate da decreto legge n. 105/2019 istitutivo del Perimetro (di seguito "Decreto Perimetro") e dovranno essere implementate secondo una tempistica specifica. In particolare, le misure indicate nelle appendici n. 1 e n. 2 dell'Allegato B dovranno essere implementate rispettivamente entro il termine di 6 mesi e di 36 mesi dalla trasmissione degli elenchi di beni ICT alle autorità competenti. Qualora la trasmissione degli elenchi sia avvenuta prima dell'entrata in vigore del Regolamento, i predetti termini decorrono da tale data (26 giugno 2021). L'avvenuta adozione e le relative modalità dovranno essere tempestivamente comunicate al DIS.
In corrispondenza di ogni aggiornamento dell'elenco di beni ICT, i soggetti inclusi nel Perimetro dovranno procedere ai necessari adeguamenti delle predette misure di sicurezza, con le stesse tempistiche previste per la prima adozione (6 mesi o 36 mesi dalla trasmissione degli elenchi).
L'Allegato C del DPCM elenca le misure di sicurezza che dovranno essere applicate alle seguenti informazioni relative a:
-l'elencazione dei soggetti inclusi nel Perimetro;
-gli elenchi di beni ICT, comprensivi della descrizione dell'architettura e della componentistica, nonché dell'analisi del rischio;
-agli elementi delle notifiche effettuate;
-al modello con cui verrà effettuata al DIS la comunicazione delle misure di sicurezza di cui all'Allegato B nonché tutta la documentazione predisposta in attuazione di tali misure.
Qualora alle suddette informazioni sia attribuita una classifica di segretezza, ai sensi dell'articolo 42 della legge n. 124 del 2007, si applicano le misure di sicurezza previste dalla normativa vigente in materia di informazioni classificate.
2.Il Decreto Legge sull'istituzione dell'Agenzia della cibersicurezza nazionale e che introduce modifiche e integrazioni alla normativa in materia di sicurezza cibernetica
Il D.L. del 14 giugno 2021, n. 82 (di seguito "Decreto Legge") definisce e descrive il ruolo delle istituzioni e autorità coinvolte nella governance italiana per la gestione della sicurezza cibernetica e introduce alcune modifiche normative con l'obiettivo di compiere il primo passo verso il raccordo delle disposizioni in materia di sicurezza delle reti, dei sistemi informativi, dei servizi informatici e delle comunicazioni elettroniche.
- Agenzia per la cybersicurezza nazionale
Tra le novità di maggiore rilevanza si segnala l'istituzione dell'Agenzia nazionale per la cybersicurezza (di seguito "Agenzia"), già prevista dal Piano Nazionale di Ripresa e Resilienza come attore necessario e centrale per tutelare la sicurezza dello sviluppo e della crescita economica e industriale del Paese.
Presso l'Agenzia è costituito, in via permanente, il Nucleo per la cybersicurezza, che opererà a supporto del Presidente del Consiglio dei ministri nella materia della cybersicurezza, per gli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi e per l'attivazione delle relative procedure di allertamento.
L'organizzazione e il funzionamento dell'Agenzia saranno definiti con regolamento da adottarsi con decreto del Ministero dell'Economia e delle Finanza, previo parere del COPASIR, sentito il Comitato Interministeriale per la Cybersicurezza.
Ai sensi del Decreto Legge, vengono trasferite all'Agenzia alcune delle più importanti funzioni attualmente svolte da altri attori nel panorama istituzionale legato alla gestione della sicurezza cibernetica.
In particolare, nell'ambito del Perimetro, l'Agenzia assume:
-le funzioni attribuite alla Presidenza del Consiglio dei Ministri, ivi incluse le attività di ispezione e verifica e quelle relative all'accertamento delle violazioni e all'irrogazione delle sanzioni amministrative previste Decreto Perimetro;
-le funzioni attribuite al DIS, ivi incluso il supporto al Presidente del Consiglio dei ministri nell'assicurare gli opportuni raccordi con le altre autorità titolari di specifiche attribuzioni nell'ambito del Perimetro e con i soggetti che vi sono inclusi;
-le funzioni attribuite al Ministero dello Sviluppo Economico, ivi incluse le funzioni attribuite al Centro di valutazione e certificazione nazionale ("CVCN"), le attività di ispezione e verifica e quelle relative all'accertamento delle violazioni e all'irrogazione delle sanzioni amministrative. In particolare, il CVCN, istituito presso il Ministero dello Sviluppo Economico viene trasferito presso l'Agenzia.
Più in generale, sono attribuite all'Agenzia:
-le funzioni in materia di cybersicurezza già attribuite all'Agenzia per l'Italia digitale dalle disposizioni vigenti e, in particolare (i) quelle di cui all'articolo 51 del Codice dell'Amministrazione Digitale; (ii) quelle in materia di adozione di linee guida contenenti regole tecniche di cybersicurezza ai sensi dell'articolo 71 del medesimo Codice, nonché (iii) i compiti attribuiti all'AgID dall'art. 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179;
-le funzioni attribuite al Ministero dello Sviluppo Economico con riferimento (i) alla sicurezza e all'integrità delle comunicazioni elettroniche, di cui agli articoli 16-bis e 16-ter del Codice delle comunicazioni elettroniche (decreto legislativo 1° agosto 2003, n. 259) e relative disposizioni attuative; (ii) alla sicurezza delle reti e dei sistemi informativi, di cui al decreto legislativo NIS.
- L'Agenzia, inoltre, agirà quale:
-Autorità nazionale competente e punto di contatto unico in materia di sicurezza delle reti e dei e dei sistemi informativi, per le finalità di cui al decreto legislativo NIS ed è competente all'accertamento delle violazioni e all'irrogazione delle sanzioni amministrative previste dal medesimo decreto;
-Autorità nazionale di certificazione della cybersicurezza ai sensi dell'articolo 58 del Regolamento (UE) 2019/881 (c.d. Regolamento di cybersicurezza), e assume tutte le funzioni in materia di certificazione di sicurezza cibernetica già attribuite al Ministero dello sviluppo economico dell'ordinamento vigente, comprese quelle relative all'accertamento delle violazioni e all'irrogazione delle sanzioni.
L'Agenzia, per le finalità previste dal Decreto Legge, consulta e collabora con il Garante per la protezione dei dati personali, anche in relazione agli incidenti che comportano violazioni di dati personali (cfr. §1). È previsto, inoltre, che l'Agenzia e il Garante possano stipulare appositi protocolli di intenti che definiscano le modalità della loro collaborazione.
- Modifiche normative in materia di Perimetro e Golden Power
Tra le novità introdotte dal Decreto Legge, oltre a quelle necessarie correlate alla nuova governance in materia di cybersecurity, si segnalano in particolare le modifiche apportate al Decreto Perimetro, specificamente quelle relative agli acquisti di beni ICT, e al decreto-legge 15 marzo 2012, n. 21 in materia di Golden Power.
Come noto, l'art. 1, co. 6, lett. a) del Decreto Perimetro prevede che i soggetti ivi inclusi sono tenuti a comunicare al CVCN l'intenzione di acquisire beni, sistemi e servizi ICT da impiegare sui propri asset "strategici" e appartenenti a determinate categorie individuate con DPCM sulla base di specifici criteri tecnici. Il CVCN, a seguito della comunicazione, potrà indicare eventuali condizioni a cui i fornitori dovranno attenersi e test di hardware e software che dovranno essere eseguiti.
A riguardo, il Decreto Legge ha previsto che il suddetto obbligo di comunicazione sarà efficace dal trentesimo giorno dalla data di pubblicazione in Gazzetta Ufficiale del DPCM che, sentita l'Agenzia, attesti l'operatività del CVCN e comunque dal 30 giugno 2022.
Dalla suddetta data l'obbligo di comunicazione al CVCN, ai fini della relativa valutazione, troverà applicazione anche rispetto ai soggetti che intendono procedere all'acquisto, a qualsiasi titolo, di beni, servizi e componenti relativi ai servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G, rientranti tra le attività di rilevanza strategica per il sistema di difesa e sicurezza nazionale ai sensi decreto-legge 15 marzo 2012, n. 21, soggetti all'esercizio del c.d. Golden Power da parte della Presidenza del Consiglio dei Ministri.
Entro dieci giorni dalla conclusione di un contratto o accordo avente ad oggetto l'acquisto di beni o servizi relativi alla progettazione, alla realizzazione, alla manutenzione e alla gestione delle reti inerenti i suddetti servizi strategici, l'impresa acquirente dovrà notificare tale acquisto alla Presidenza del Consiglio dei ministri e la relativa informativa dovrà contenere anche la comunicazione del CVCN relativa all'esito della valutazione e alle eventuali prescrizioni, in modo da consentire l'eventuale esercizio del potere di veto o l'imposizione di specifiche prescrizioni o condizioni.
Qualora il contratto sia stato stipulato antecedentemente alla conclusione dei test imposti dal CVCN, il predetto termine decorre dalla comunicazione di esito positivo della valutazione effettuata dal CVCN. Entro trenta giorni dalla notifica, come di consueto, il Presidente del Consiglio dei ministri comunica all'impresa notificante l'eventuale veto ovvero l'imposizione di specifiche prescrizioni o condizioni.
*a cura dell'Avv. Luca Tufarelli, founding partner, Avv. Giulia Maria Amato e della Dott.ssa Maria Pia Bochicchio, Studio Legale Ristuccia Tufarelli & Partners
