Il decreto-legge 9 agosto 2022, n. 115 (il c.d. “Decreto Aiuti-bis”) introduce una modifica all’articolo 1 del decreto-legge 21 settembre 2019, n. 105, ampliando la categoria di incidenti sottoposti all’obbligo di notifica all’Agenzia per la cybersicurezza nazionale (“ACN”), con l’inclusione di quelli che hanno un impatto anche su reti, sistemi e servizi non conferiti nel Perimetro di Sicurezza Nazionale Cibernetica (“PSNC” o “Perimetro”).
A tali incidenti si applicherà comunque il termine di notifica di 72 ore e, per quanto compatibili, anche le disposizioni sulla decorrenza del termine e sulle modalità di notifica.
Dunque, in attesa che l’ACN indichi la tassonomia degli incidenti e le eventuali specifiche modalità di notifica, le imprese incluse nel Perimetro dovranno procedere quanto prima ad adeguare i processi di rilevamento, analisi e condivisione di tutti gli incidenti subìti.
L’ACN come autorità di certificazione cyber: cosa cambia col nuovo quadro normativo
Indice degli argomenti
Le modifiche introdotte dal Decreto Aiuti-bis
L’articolo 37-quater del Decreto Aiuti-bis modifica l’articolo 1 del decreto-legge n. 105/2019, mediante l’inserimento di un nuovo comma 3-bis che sottopone all’obbligo di notifica all’ACN anche tutti gli incidenti che riguardano beni e servizi non conferiti nel Perimetro di Sicurezza Nazionale Cibernetica.
Ciò che appare evidente è che, con tale modifica, che trae origine da un emendamento approvato dal Senato in sede di conversione del Decreto Aiuti-bis, il legislatore ha inteso ampliare notevolmente l’ambito di informazione, indagine e registrazione degli incidenti che – in senso più ampio – interessano il Perimetro, al di là degli asset che sono specificamente coinvolti.
L’obbligo di notifica all’ACN
Ai sensi del novellato articolo 1 del decreto-legge n. 105/2019, entro 72 ore, i soggetti inclusi nel Perimetro sono tenuti a notificare anche gli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di propria pertinenza diversi da quelli conferiti nel Perimetro.
In quanto compatibili, il nuovo comma 3-bis estende a tali incidenti anche le disposizioni sulla decorrenza del termine e sulle modalità di notifica che, ai sensi dell’articolo 3, comma 4, del Decreto del Presidente del Consiglio dei ministri n. 81/2021 (“DPCM 81/2021”), sono già previste per gli incidenti con impatto sui beni e servizi nel Perimetro.
Infatti, le 72 ore previste per la notifica decorrono dal momento in cui i soggetti inclusi nel Perimetro siano venuti a conoscenza, a seguito delle evidenze ottenute, di un incidente riconducibile a una delle tipologie individuate nella tassonomia, che il direttore generale dell’ACN, sentito il vicedirettore generale, individuerà con determinazioni tecniche.
Quali conseguenze per le imprese nel PSNC
Indubbiamente, la riforma dell’articolo 1 del decreto-legge n. 105/2019 porta con sé un impatto notevole per le imprese che abbiano ricevuto la comunicazione di inclusione nel Perimetro.
Altrettanto chiaro, d’altra parte, è l’obiettivo perseguito dal legislatore di mantenere in capo all’ACN uno strumento di monitoraggio completo e capillare degli incidenti che non solo interessano i beni conferiti nel Perimetro, ma in generale tutti gli asset delle imprese che ne fanno parte, in ragione della rilevanza delle loro attività per la sicurezza e l’interesse nazionale.
Ciò detto, diversi sono i profili applicativi del novellato articolo 1 che oggi generano maggiori perplessità.
In primis, grande importanza rivestiranno le determinazioni del direttore generale dell’ACN con le quali, tra le varie, verrà indicata la tassonomia degli incidenti rilevanti ai fini del nuovo obbligo di notifica.
La tassonomia oggi prevista per gli incidenti con un impatto sui beni e servizi conferiti nel Perimetro (“Beni ICT”) identifica gli incidenti alle tabelle n. 1 e n. 2 dell’allegato A al DPCM 81/2021, classificandoli secondo categorie e gravità, dettando diverse tempistiche per le necessarie risposte richieste alle imprese.
Pertanto, uno dei possibili problemi attuativi del nuovo obbligo potrebbe risiedere nella previsione di una tassonomia diversa da quella già disposta per gli incidenti con impatto sui Beni ICT. Se così fosse, infatti, le imprese incluse nel Perimetro dovrebbero adeguare e diversificare – secondo una ulteriore classificazione – i propri processi di identificazione, gestione e risposta agli incidenti che interessano l’insieme dei beni e servizi di propria pertinenza.
Inoltre, in riferimento alla tassonomia oggi disciplinata al DPCM 81/2021, potrebbero rientrare nell’obbligo di notifica anche talune fattispecie di incidenti (si pensi, ad esempio, ai “guasti” o ai “disservizi”) che, diversamente dagli eventi che meritano la maggiore attenzione dell’ACN, comporterebbero un notevole aumento delle comunicazioni all’Agenzia, oltre ai connessi oneri e adempimenti che si aggiungono in capo alle società nel PSNC.
Peraltro, è opportuno rilevare come non sia stato previsto alcun periodo di transizione per le imprese incluse nel Perimetro, precludendo a queste ultime un approccio proattivo, graduale e consapevole nell’adeguamento dei propri processi aziendali di gestione degli incidenti di sicurezza.
Prossimi passi
Le imprese nel PSNC, pur avendo dato prova nel corso degli ultimi anni, di comprendere a pieno gli obiettivi della normativa in materia di PSNC, certamente si aspettano che quest’ulteriore obbligo normativo, seppur condivisibile, sia razionalizzato nell’ottica di una focalizzazione sugli incidenti davvero rilevanti per la sicurezza e l’interesse nazionale.
Ad ogni modo, nell’attesa che quanto detto si verifichi, le imprese dovranno in ogni caso avviare quanto prima un processo interno di revisione del processo di comunicazione degli incidenti all’Autorità, al fine farsi trovare pronte a questa nuova sfida posta dal legislatore.
