Il regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici, e di misure volte a garantire elevati livelli di sicurezza, è stato pubblicato l’11 giugno 2021.
Il regolamento definisce:
– le procedure secondo cui i soggetti inclusi nel perimetro di sicurezza cibernetica, notificano al CSIRT italiano gli incidenti aventi impatto sulle reti, sui sistemi informativi e sui servizi informatici ;
– misure volte a garantire elevati livelli di sicurezza delle reti, dei sistemi informativi e dei servizi informatici, tenendo conto degli standard definiti a livello internazionale e dell’Unione europea.
In particolare l’art. 3 stabilisce che dal 1° gennaio 2022, i soggetti inclusi nel perimetro cibernetico nazionale, al verificarsi di uno degli incidenti avente impatto su un bene ICT di rispettiva pertinenza procedono alla notifica al CSIRT italiano.
Tale notifica deve essere fatta entro sei ore, qualora si tratti di un incidente
individuato nella tabella 1 dell’allegato A del regolamento, ed entro un’ora, qualora
si tratti di un incidente individuato nella tabella 2 del medesimo allegato.
Sono tenuti all’osservanza di tali disposizioni non solo gli enti che rientrano nel perimetro cibernetico (praticamente molte enti statali centrali), ma pure gli operatori di servizi essenziali, che, ai fini del decreto legislativo n. 65/2018, sono i soggetti pubblici o privati dei settori dell’energia e trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, fornitura e distribuzione di acqua potabile, infrastrutture digitali, individuati dalle autorità competenti NIS.
Nel settore sanitario, per esempio, il Ministero della Salute, e per il suo tramite anche le Regioni, hanno individuato gli OSE a gennaio 2021, ossia quei soggetti che forniscono uno o più servizi essenziali dipendenti dalla rete e dai sistemi informativi, per i quali un incidente avrebbe effetti negativi rilevanti sulla fornitura di tali servizi.
Su richiesta del CSIRT italiano ed entro trenta giorni dalla stessa richiesta, i soggetti del perimetro cibernetico inviano una relazione tecnica che illustra gli elementi significativi dell’incidente, tra cui le conseguenze dell’impatto sui beni ICT derivanti dall’incidente e le azioni intraprese per porvi rimedio.
Inoltre ormai da tempo le PP.AA. devono scegliere per servizi informatici solo fornitori qualificati presso l’AGID.
Ma quali sono le sanzioni per violazione di questi obblighi?
Il mancato adempimento dell’obbligo di notifica e’ punito con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000. L’ inosservanza delle misure di sicurezza e’ punita con la sanzione amministrativa pecuniaria da
euro 250.000 a euro 1.500.000. L’impiego di prodotti e servizi sulle reti, sui sistemi
informativi e per l’espletamento dei servizi informatici in violazione delle condizioni o in assenza del superamento dei test imposti dal CVCN e’ punito con la sanzione amministrativa pecuniaria da euro 300.000 a euro 1.800.000.
Si comprende bene quindi che dal 1° gennaio 2022 nella cybersecurity della PA si apre un nuovo capitolo, e che ogni incidente informatico non potrà passare inosservato.
