fbpx

Incidenti su reti, sistemi informativi e servizi informatici: Regolamento in Gazzetta!

406 0

Con DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 14 aprile 2021, n. 81, il Consiglio dei Ministri approva il Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici (che impatta quindi sul “bene ICT”).

Vediamo di seguito che cosa intende tutelare il Regolamento, cosa contiene il DPCM 81/2021 ed i suoi fondamentali allegati, quali tipologie di incidenti sono notificabili a partire dal 2022 e quali Misure di Sicurezza vengono disegnate dal provvedimento.

Cosa si intende per incidenti aventi impatto su reti, sistemi informativi e servizi informatici?

In base al DPCM 81/2021

per “incidente”, si intende qui ogni evento di natura accidentale o intenzionale che determina il malfunzionamento, l’interruzione, anche parziali, ovvero l’utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici.

Il bene ICT (information and communication technology), è un insieme di reti, sistemi informativi e servizi informatici, o parti di essi, incluso nell’elenco di cui all’articolo 1, comma 2, lettera b), del decreto-legge 105/2019

L’impatto sul bene ICT riguarda quindi, la limitazione della operatività del bene ICT, ovvero la  compromissione della disponibilità, integrità, o riservatezza dei dati e delle informazioni da esso trattati, ai fini dello svolgimento della funzione o del servizio essenziali.

Cosa contiene il Regolamento per gli incidenti su reti, sistemi e servizi

Il Decreto:

  • riguarda violazioni del perimetro di sicurezza nazionale cibernetica (regolato con decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133)
  • contiene la classificazione in categorie, degli incidenti aventi impatto sui beni ICT (art.2): quelli meno gravi in tabella 1, mentre nella tabella n. 2 sono riportati quelli più gravi.  Per ciascuna tipologia di incidente, sono indicati un codice identificativo e la corrispondente categoria, accompagnata dalla descrizione di ciascuna tipologia di incidente.
  • regola le Notifiche (artt.3-6) di incidente su beni ICT e la relativa procedura, oltre agli incidenti relativi alle reti, ai sistemi informativi e ai servizi  informatici attinenti alla gestione delle informazioni classificate;
  • individua nell’allegato B le Misure di sicurezza, articolate in funzioni, categorie, sottocategorie, punti e lettere. Nella tabella in appendice n. 2 dell’allegato B è indicata per ciascuna misura di  sicurezza  la corrispondente categoria (richiamate all’art.7);
  • dettaglia nell’allegato C le Misure minime di Sicurezza per la tutela delle informazioni (richiamate all’art.9)

Incidenti su reti, sistemi e servizi: tipologie e notifiche, le regole dal 1 gennaio 2022

In base al DPCM 81/2021 le notifiche possono impattare:

  • su beni ICT (reti, sistemi informativi e servizi informatici, o parti di essi definiti nel DL 105/2019) – regolate in art.3 del regolamento;
  • su reti, sistemi informativi e servizi informatici di pertinenza diversi dai beni ICT: si tratta, in questo caso di notifiche volontarie da parte di soggetti inclusi nel perimetro di sicurezza cibernetica (art.4), di
    • incidenti su beni ICT non elencati nell’allegato A;
    • incidenti non indicati nelle tabelle di cui all’allegato A.

Il sistema delle Notifiche

Il Decreto:

  • regola anche (art.5) la procedura di notifica che parte dal DIS Dipartimento delle informazioni per la sicurezza della Presidenza del Consiglio dei ministri al CSIRT italiano (il Computer security incident response team istituito presso il DIS). Le notifiche volontarie (definite in art.4) sono trasmesse solo nel caso in cui siano state trattate.
  • e rimanda (art.6) a quanto previsto al regolamento previsto dalla legge n. 124 del 2007 in materia di notifica degli incidenti relativi alle reti, ai sistemi informativi e ai servizi informatici attinenti alla gestione delle informazioni classificate, non inclusi nell’elenco dei beni ICT.

Misure di Sicurezza per beni ICT

In base all’art. 8 i soggetti inclusi nel perimetro cibernetico devono adottare per ciascun bene ICT di rispettiva pertinenza, le misure di sicurezza di cui all’allegato B in tal modo:

  • per le misure di sicurezza appartenenti alla categoria A di cui all’appendice n. 2 dell’allegato B,
    • entro sei mesi dalla data di trasmissione degli elenchi dei beni ICT,
    • se la trasmissione è avvenuta in una data antecedente a quella di entrata in vigore del regolamento, entro sei mesi da quest’ultima data;
  • per le misure di sicurezza appartenenti alla categoria B di cui all’appendice n. 2 dell’allegato B,
    • entro trenta mesi dalla data di trasmissione degli elenchi dei beni ICT,
    • se la trasmissione è avvenuta in una data antecedente a quella di entrata in vigore del regolamento, entro trenta mesi da quest’ultima data.
  • Le misure minime di sicurezza individuate nell’allegato C si applicano entro sessanta giorni dalla data di entrata in vigore del Regolamento.

Cosa si intende per rete, sistema informativo?

Il Decreto definisce “rete, sistema informativo

  • Una rete di comunicazione elettronica ai sensi dell’articolo 1, comma 1, lettera dd), del decreto legislativo 1° agosto 2003, n. 259;
  • 2) qualsiasi dispositivo o gruppo di dispositivi interconnessi o collegati, uno o più dei quali eseguono, in base ad un programma, un trattamento automatico di dati digitali, ivi inclusi i sistemi di controllo industriale;
  • 3) i dati digitali conservati, trattati, estratti o trasmessi per mezzo di reti o dispositivi di cui ai numeri 1) e 2), per il loro funzionamento, uso, protezione e manutenzione, compresi i programmi di cui al numero 2);

Cosa si intende per servizio informatico?

Per “sistema informatico” si intende un servizio consistente interamente o prevalentemente nel trattamento di informazioni, per mezzo della rete e dei sistemi informativi, ivi incluso quello di cloud computing di cui all’articolo 3, comma 1, lettera aa), del decreto legislativo n. 65 del 2018;

Antonio Mazzuca

Coordinamento editoriale Portale InSic.it - Formatore in salute e sicurezza sul lavoro - Content editor e Social media manager InSic.it