Articolo pubblicato su altalex.
L’art. 23 della Direttiva (UE) 2022/2555 (Nis 2) stabilisce l’obbligo per i soggetti essenziali e importanti di notificare al CSIRT eventuali incidenti che hanno un impatto significativo sulla fornitura dei loro servizi. Le Linee guida di ACN rappresentano un “testo unico” delle istruzioni per notificare correttamente gli incidenti cibernetici.
1. Quali soggetti sono destinatari dell’obbligo di notifica al CSIRT
Stabilisce la Direttiva all’Allegato I che i soggetti essenziali sono quegli operatori che forniscono servizi critici per il funzionamento della società e dell’economia. I settori coinvolti includono energia, trasporti, banche, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali e pubbliche amministrazioni.
I soggetti importanti, ovverosia gli operatori che, pur non essendo critici come i soggetti essenziali, forniscono servizi comunque rilevanti per la sicurezza economica e sociale, sono definiti all’Allegato II e nella specie: posta e spedizioni, gestione dei rifiuti, fabbricazione, produzione e distribuzione di sostanze chimiche, alimenti, fabbricazione di dispositivi medici, di computer e prodotti di elettronica, autoveicoli e mezzi di trasporto, fornitori di servizi digitali ed organizzazioni di ricerca.
Per tutti questi soggetti, come pure per quelli inclusi nel perimetro di sicurezza nazionale, per come definito dal Decreto-legge n. 105/2019 e dal DPCM 31 luglio 2020, n. 131 (enti e degli operatori pubblici e privati aventi una sede nel territorio nazionale, da cui dipende l’esercizio di una funzione essenziale o la fornitura di un servizio essenziale per lo Stato e dal cui malfunzionamento, interruzione, anche parziale o utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale: interno, difesa, spazio e aerospazio, energia, telecomunicazioni, economia e finanza, trasporti, servizi digitali, tecnologie critiche, enti previdenziali/lavoro) e per quelli di cui alla L. 28 giugno 2024, n. 90 (le regioni e le province autonome di Trento e di Bolzano, le città metropolitane, i comuni con popolazione superiore a 100.000 abitanti e, comunque, i comuni capoluoghi di regione, nonché le società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti, le società di trasporto pubblico extraurbano operanti nell’ambito delle città metropolitane e le aziende sanitarie locali) sussistono precisi obblighi di notifica degli incidenti informatici.
2. Le linee guida di ACN sulla notifica degli incidenti informatici al CSIRT Italia
L’Agenzia per la Cybersicurezza Nazionale (ACN), ha pubblicato la Guida (testo in calce) alla notifica degli incidenti al CSIRT (Computer Security Incident Response Team) Italia, che è il centro operativo all’interno di ACN, incaricato delle azioni di preparazione, prevenzione, gestione e risposta a eventi ed incidenti cibernetici.
L’obiettivo delle Linee guida in commento è quello di illustrare le informazioni necessarie per effettuare la notifica di incidente, sia che il soggetto appartenga ad una delle categorie sopra menzionate e pertanto abbia un obbligo normativo di notifica, sia che non operi in settori critici e non abbia vincoli in tal senso, come piccole e medie Imprese e cittadini. La corretta adozione della procedura di notifica degli incidenti cibernetici costituisce un elemento cruciale per garantire sicurezza e resilienza delle reti, dei sistemi informativi e dei servizi informatici.
La prontezza e la precisione delle informazioni fornite durante il processo rivestono un ruolo fondamentale per consentire al CSIRT Italia di acquisire una conoscenza completa ed esaustiva dell’incidente occorso ai fini dell’attività di allertamento e per fornire ai soggetti impattati il supporto necessario nell’ottica del ripristino dei servizi stessi.
3. Come si articola il processo di notifica
La fase preparatoria ha lo scopo di raccogliere le prime informazioni idonee a garantire una sufficiente conoscenza dell’evento. A seguito della rilevazione di un incidente, il soggetto segnalante avvia una fase preparatoria alla notifica con l’obiettivo di raccogliere le informazioni minime per garantire che la comunicazione permetta al CSIRT Italia un’attivazione proporzionata alla potenziale criticità ed ai potenziali impatti di natura sistemica derivanti dall’incidente stesso. Rientrano in tale fase le attività di preparazione della segnalazione dell’incidente, ove prevista.
Segue la segnalazione dell’incidente, che avviene attraverso la compilazione di un modulo disponibile sul sito internet del CSIRT Italia: www.csirt.gov.it/segnalazione. Tale comunicazione andrà effettuata con una tempistica tassativamente definita nelle linee guida, e diversamente declinata in funzione dell’appartenenza del soggetto ai diversi presidi normativi. In ogni caso, la segnalazione è strettamente correlata al principio di immediatezza della conoscenza dell’incidente, inteso nella sua magnitudo e nel suo carattere di impatto sistemico eventuale;
Dopo aver ricevuto la segnalazione, ove prevista, e/o la notifica, sulla base del livello di servizio previsto per la specifica categoria di soggetto segnalante, il CSIRT Italia, compatibilmente con le risorse a disposizione e la criticità del soggetto segnalante, valuterà l’opportunità di fornire supporto nelle operazioni di incident handling, da remoto o in loco. Durante questa fase, in base alla tipologia del soggetto segnalante e alla normativa vigente, su richiesta del CSIRT Italia potranno essere effettuate ulteriori attività anche a seguito della risoluzione dell’incidente.
Una volta terminate le attività di gestione dell’incidente da parte del soggetto segnalante ed eventualmente pianificate le attività di rientro dell’incidente, il CSIRT Italia procederà alla chiusura dell’incidente.
4. Conclusioni
La corretta adozione della procedura di notifica degli incidenti cibernetici al CSIRT Italia costituisce un elemento cruciale per garantire la sicurezza e resilienza delle risorse digitali.
Sul sito internet del CSIRT Italia, ACN mette a disposizione dei diversi soggetti segnalanti l’apposito modulo ed ogni utile informazione per effettuare tale adempimento.
Le informazioni da raccogliere mediante la compilazione del predetto modulo e i termini da rispettare per l’assolvimento dell’obbligo di notifica sono stabiliti, per i diversi soggetti, dalla normativa cyber. Per i soggetti che operano in settori critici, vincolati a specifiche regolamentazioni, si rende indispensabile la conformità ai vincoli di legge nel corso del processo di notifica. Tale conformità non solo si traduce nella risposta a obblighi normativi, ma costituisce altresì una premessa essenziale per garantire una risposta appropriata e tempestiva da parte del CSIRT Italia.
Per i soggetti non vincolati da obblighi normativi specifici, la fase di notifica mantiene comunque una rilevanza cruciale nella gestione degli incidenti. In tutti i casi, la prontezza e la precisione delle informazioni fornite durante il processo di notifica, rivestono un ruolo fondamentale in quanto consentono al CSIRT Italia di acquisire una sempre più completa ed esaustiva conoscenza dell’incidente occorso e conseguentemente di fornire ai soggetti impattati il supporto necessario all’individuazione ed implementazione delle azioni da attuare nell’immediato per il contenimento dell’incidente, nonché di quelle volte al ripristino di una più efficiente erogazione dei servizi.