Ora che il DPR attuativo della legge sul Perimetro di Sicurezza Nazionale Cibernetica, mirato a garantire la sicurezza delle reti di Tlc nazionali in vista della realizzazione delle infrastrutture 5G, ha ottenuto l’approvazione del Ministero dello Sviluppo Economico, si sta pensando alla strutturazione di un DPCM ad hoc su notifiche e misure di sicurezza in caso di incidenti informatici: la denuncia, nei casi più gravi, dovrà essere fatta entro un’ora esatta dall’incidente e sicuramente la gestione da parte delle imprese non sarà affatto semplice.
Perimetro cibernetico, incidenti e beni ICT: di cosa parliamo
È dunque utile analizzare nel dettaglio quelli che potrebbero essere i rischi e le opportunità quando parliamo di incidenti cyber ai beni ICT delle aziende incluse nel perimetro di sicurezza nazionale cibernetica.
Nell’articolo 1 del documento di “Richiesta di parere parlamentare su atti del Governo” del 14 gennaio 2021 si legge che per “incidente” è inteso “ogni evento di natura accidentale o intenzionale che determina il malfunzionamento, l’interruzione, anche parziali, ovvero l’utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici”.
Cosa si intende per incidente cyber
L’incidente può riguardare, quindi, la rete o un sistema informativo, ovvero:
- una rete di comunicazione elettronica;
- qualsiasi dispositivo o gruppo di dispositivi interconnessi o collegati, uno o più dei quali eseguono, in base ad un programma, un trattamento automatico di dati digitali, ivi inclusi i sistemi di controllo industriale;
- i dati digitali conservati, trattati, estratti o trasmessi per mezzo di reti o dispositivi […] per il loro funzionamento, uso, protezione e manutenzione, compresi i programmi.
Cosa si intende per servizio informatico
Per “servizio informatico” si intende, invece, “un servizio consistente interamente o prevalentemente nel trattamento di informazioni, per mezzo della rete e dei sistemi informativi, ivi incluso quello di cloud computing”.
Quali sono gli impatti sui beni ICT
Qual è, dunque, l’impatto sul bene ICT, che può essere rete, sistema informativo o servizio informatico? La “limitazione della operatività del bene ICT, ovvero compromissione della disponibilità, integrità, o riservatezza dei dati e delle informazioni da esso trattati, ai fini dello svolgimento della funzione o del servizio essenziali”.
Denunciare un incidente cyber: un’ora diventa un boomerang
In attesa che Camera e Senato siglino le normative a tutela delle realtà incluse nel perimetro cibernetico e di tutto il sistema di beni, servizi e sistemi che fanno parte della Information and Communication Technology, sappiamo già che gli incidenti definiti “gravi”, ossia infezione, guasto, installazione, movimenti laterali e azioni sugli obiettivi, dovranno essere denunciati al CSIRT (Computer Security Incident Response Team) del DIS entro un’ora dall’accaduto.
Si avranno fino a sei ore di tempo in casi ritenuti meno gravi.
I piani di attuazione e ripristino a seguito della denuncia di incidente
L’ente, quindi, a seguito della notifica, dovrà occuparsi di avviare i piani di attuazione e ripristino, da relazionare poi al CSIRT in maniera tecnica e dettagliata, salvo esigenze di segretezza comunicate dall’autorità giudiziaria.
Il DIS, se la notifica arriva da un soggetto pubblico, la comunica al Ministero dell’Interno; se invece proviene da un soggetto privato, passa al dicastero dello Sviluppo Economico.
Spese di verifica e test a carico delle aziende
Altro carico di responsabilità per le imprese, come stabilito dall’articolo 9 del DPR (Oneri economici a carico del fornitore) “le spese a carico del fornitore per le attività di valutazione svolte dal CVCN (Centro di valutazione e certificazione nazionale) e dai CV (Centri di valutazione) e per le attività di test condotte dai LAP sono calcolate sulla base delle disposizioni di cui all’articolo 6 del decreto legislativo 30 dicembre 2003, n. 366”.
Ossia i fornitori dovranno affrontare le spese per tutto l’iter di valutazione e test di sicurezza di beni, servizi e sistemi ICT.
Quali impatti per le aziende incluse nel perimetro cibernetico
Sicuramente l’impatto sulle oltre 100 aziende più importanti per la nostra sicurezza nazionale (e al momento incluse nel perimetro cyber) di questo nuovo DPCM non è da sottovalutare, come anche ha dichiarato Stefano Mele, partner dello studio legale Carnelutti e presidente della Commissione cibernetica del Comitato atlantico italiano, soprattutto perché l’attuale bozza dell’atto normativo prevede un tempo di 24 mesi.
Le aziende sono più che altro preoccupate della gestione dei dati digitali attraverso beni ICT, infrastrutture fisiche e tecnologiche, cloud computing compreso, che si trovano sul territorio nazionale, e i tempi così stretti non sono a loro favore.
Oltre alle modalità e ai tempi di notifica, il testo stabilisce anche quali sono le misure di sicurezza, come sono classificati gli incidenti, appunto più o meno gravi, e le azioni minime a tutela delle informazioni. In più, nell’Allegato B del DPCM in valutazione, vengono esposte le misure di sicurezza da seguire:
- “Identificazione”, ossia: Gestione degli asset (Asset Management), Governance, Valutazione del rischio (Risk Assessment), Strategia della gestione del rischio, Gestione del rischio relativo alla catena di approvvigionamento;
- “Protezione”, vale a dire: Gestione delle identità, autenticazione e controllo degli accessi, Consapevolezza e addestramento, Sicurezza dei dati, Procedure e processi per la protezione delle informazioni, Manutenzione, Tecnologie per la protezione;
- “Rilevamento”, quindi: Anomalie ed eventi, Monitoraggio continuo per la sicurezza, Processi di rilevamento;
- “Risposta”, ovvero: Pianificazione della risposta, Comunicazione, Analisi, Mitigazione;
- “Recupero”, partendo da: Pianificazione del ripristino, Miglioramenti fino a Comunicazione.
Dieci indicazioni su come tutelare informazioni attraverso strumenti elettronici, dalla “Identificazione degli utenti e gestione delle identità digitali” alla “adozione di tecniche di cifratura”, e sette prescrizioni in merito di sicurezza fisica e documentale, dalla “accesso alle informazioni è consentito sulla base del principio della necessità di conoscere (need to know)” alla spedizione della documentazione tramite corrieri.
Insomma, ci sarà un bel da fare per le imprese.
Tutelare i soggetti del perimetro cibernetico
Sono passati mesi da quando ad un primo pre-Cdm ad agosto 2020 è stato proposto di creare una struttura normativa solida per combattere gli attacchi cyber nelle forniture ICT destinate a enti pubblici e sensibili.
Ad ottobre è stato poi pubblicato in Gazzetta Ufficiale il primo DPCM che determinava quali erano i soggetti pubblici e privati idonei a poter essere inclusi nel Perimetro cibernetico, il 25 novembre è stato firmato il DPCM relativo alla lista riservata di questi soggetti protetti e a seguito dell’approvazione arrivata finalmente a fine gennaio 2021 del decreto attuativo.
È dunque il momento di dedicarsi a regolamentare le notifiche e le misure di sicurezza per questi soggetti, di concentrarsi sulle categorie ai quali servirà la notifica al CVCN e stabilire come verranno accreditati i laboratori che si occuperanno di verificare le condizioni di sicurezza.
Il DPCM sulle notifiche degli incidenti dovrà essere approvato da Camera e Senato e infine dall’Esecutivo, trovando poi sperimentazione sul campo.
