Si punta ad avere un quadro “puntuale e aggiornato” sugli eventi ai danni di realtà che fanno parte del Perimetro di cybersicurezza nazionale, anche se non relativi a beni inclusi nel Perimetro stesso: è questo lo scopo dell’emendamento al Decreto Aiuti bis, approvato martedì 13 settembre in Senato, con cui scatta l’obbligo di notifica degli incidenti entro settantadue ore.
All’origine della proposta, l’aumento di attacchi registrati dopo lo scoppio del conflitto in Ucraina: “Negli ultimi tempi, si sta assistendo al progressivo rafforzamento dei meccanismi di cybersicurezza, soprattutto a seguito dello scoppio del conflitto in Ucraina nel febbraio scorso, il quale ha costituito (e costituisce tuttora) terreno fertile per la proliferazione di attacchi cyber nei confronti di attori pubblici e privati”, ha commentato l’avvocata Anna Cataleta, senior partner di P4I.
Attacchi all’Italia, i “russi” Killnet danno una lista dei target: ma attenti a non fare allarmismo
Indice degli argomenti
Perimetro cybersicurezza, cosa dice il Decreto Aiuti bis e obbligo notifiche entro 72 ore
L’articolo 37 ter del Decreto Aiuti bis indica una modifica all’articolo 1 della legge 133 del 18 novembre 2019, cioè la conversione in legge del DL 105 del 21 settembre 2019 recante disposizioni urgenti in materia di Perimetro nazionale di sicurezza cibernetica. Viene inserito in particolare un comma 3 bis che indica come “i soggetti di cui al comma 2-bis – cioè quei soggetti come PA e operatori pubblici e privati inclusi nel Perimetro – notificano gli incidenti di cui all’articolo 1, comma 1, lettera h), del regolamento di cui al decreto del Presidente del Consiglio dei ministri 14 aprile 2021, n. 81 (cioè, dice la norma citata “incidente, ogni evento di natura accidentale o intenzionale che determina il malfunzionamento, l’interruzione, anche parziali, ovvero l’utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici”, NdR), aventi impatto su reti, sistemi informativi e servizi informatici di propria pertinenza diversi da quelli di cui al comma 2, lettera b, del presente articolo, fatta eccezione per quelli aventi impatto sulle reti, sui sistemi informativi e sui servizi informatici del Ministero della difesa”, per cui si applicano diverse modalità previste dalla legge.
Come spiegato da Cataleta, “la novità consiste nel fatto che tale comma 3-bis stabilisce che i soggetti facenti parte del già esistente Perimetro di sicurezza nazionale cibernetica, dovranno notificare entro 72 ore gli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di propria pertinenza diversi da quelli che riguardano direttamente i beni specificamente inseriti nel Perimetro stesso”.
Come si fa la notifica
Le modalità di notifica sono indicate dall’articolo 3 comma 4 del decreto del Presidente del Consiglio dei ministri 14 aprile 2021, che spiega come “la notifica è effettuata tramite appositi canali di comunicazione del CSIRT italiano”.
Il ruolo dell’ACN
Inoltre, prosegue la norma, “con determinazioni tecniche del direttore generale, sentito il vice direttore generale, dell’Agenzia per la cybersicurezza nazionale, è indicata la tassonomia degli incidenti che debbono essere oggetto di notifica ai sensi del presente comma e possono essere dettate specifiche modalità di notifica”. Dunque si attende specifico decreto direttoriale.
Ricordiamo che l’Agenzia è stata istituita nel 2021. Attualmente, come da roadmap presentata sul sito istituzionale, si sta reclutando personale, una fase la cui conclusione è prevista per l’anno prossimo.
L’analisi
Come analizzato da Cataleta, “simili novità si collocano nel solco di una grave crisi geopolitica che assume sempre di più le vesti di una cyberwar. Pertanto, una tale strategia di cybersicurezza rafforzata deve essere accolta con positività, dato che risulta essere fondamentale per determinare una panoramica più precisa di tutti gli episodi di attacchi cyber”.
Dunque, “nell’attesa di ottenere precise indicazioni da parte dell’ACN, è fondamentale che gli attori coinvolti si preparino doverosamente per adempiere ai nuovi obblighi, in ottica di compliance e di rafforzamento della cyber-resilienza del Paese”.
