Il 19 gennaio 2023 è entrata in vigore la determina del 3 gennaio 2023 adottata dell’Agenzia per la Cybersicurezza Nazionale (“ACN”), che rappresenta l’ultimo tassello del frammentario quadro normativo delle misure nazionali di difesa contro attacchi informatici per i soggetti inclusi nel Perimetro di sicurezza nazionale cibernetica (“Perimetro”).
Tale quadro normativo trova la sua prima espressione nel decreto legge n. 105 del 2019, e si articola in numerose fonti normative che si sono susseguite fino a oggi, contribuendo a delineare un quadro normativo piuttosto frammentario che può rendere necessario un intervento di razionalizzazione a beneficio anzitutto dei soggetti destinatari di tali previsioni normative.
Facciamo quindi il punto sull’attuale disciplina applicabile ai soggetti inclusi nel Perimetro, e vediamo quali possibili modifiche possiamo aspettarci alla luce delle ultime novità introdotte dall’Unione Europea in ambito cybersecurity.
Perimetro di sicurezza nazionale cibernetica, che dovranno fare le aziende coinvolte
I Soggetti interessati dal decreto
Il Perimetro è stato introdotto con il decreto legge n. 105 del 2019, convertito nella legge n. 133 dello stesso anno (“Decreto”), e mira a regolamentare dal punto di vista della sicurezza delle reti tutti quei soggetti che, per la natura del settore in cui operano, sono maggiormente esposti ad eventuali attacchi, oltre che idonei a creare un maggiore pregiudizio alla sicurezza nazionale.
In particolare, il Decreto individua i parametri di seguito per individuare i soggetti cui si rivolgono le previsioni del Decreto:
- il soggetto deve esercitare una funzione essenziale dello Stato, ovvero assicurare un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato;
- l’esercizio di tale funzione o la prestazione di tale servizio deve dipendere da reti, sistemi informativi e servizi informatici;
- l’individuazione deve avvenire sulla base di un criterio di gradualità, tenendo conto dell’entità del pregiudizio per la sicurezza nazionale che, in relazione alle specificità dei diversi settori di attività, può derivare dal malfunzionamento, dall’interruzione, anche parziali, ovvero dall’utilizzo improprio delle reti, dei sistemi informativi e dei servizi informatici predetti.
I soggetti così selezionati convogliano in una lista, limitata all’accesso pubblico, adottata con provvedimento del Ministero dello Sviluppo Economico. Non essendo possibile accedere liberamente alla lista di cui sopra, l’eventuale inserimento nella lista verrà comunicato senza indebito ritardo al singolo interessato – come disciplinato dal decreto legge stesso.
Obblighi a cui sono sottoposti i soggetti inclusi nel Perimentro
Sin dalla istituzione del Perimetro sono stati adottati numerosi atti normativi che hanno introdotto altrettanti obblighi in capo ai soggetti inclusi del Perimetro. In particolare sono stati imposti i seguenti obblighi:
- Obbligo di predisporre l’elenco di beni ICT (information and communication technology) di rispettiva pertinenza, con l’indicazione delle reti, dei sistemi informativi e dei servizi informatici che li compongono (D.P.C.M. 30 luglio 2020 n. 131 “Regolamento in materia di Perimetro di sicurezza nazionale cibernetica”);
- Obbligo di comunicazione degli affidamenti o dell’acquisto di beni, sistemi e servizi ICT al Centro di Valutazione e Certificazione Nazionale (CVCN), istituito presso il Ministero dello sviluppo economico (D.P.R. 5 febbraio 2021 n. 54 “Regolamento recante attuazione dell’articolo 1, comma 6, del decreto legge 21 settembre 2019, n. 105”). La comunicazione deve essere effettuata prima dell’avvio delle procedure di affidamento di forniture di determinate categorie di beni, sistemi e servizi ICT, così come definite dal D.P.C.M. 15 giugno 2021 (D.P.C.M. 15 giugno 2021 “Individuazione delle categorie di beni, sistemi e servizi ICT destinati ad essere impiegati nel Perimetro di sicurezza nazionale cibernetica”);
- Obbligo di notifica al Computer Security Incident Response Team (“CSIRT”), entro un termine variabile di un’ora o sei ore, in caso di incidenti aventi ad oggetto beni ICT rientranti nell’elenco di cui al punto (1) che precede (D.P.C.M. 14 aprile 2021 n.81 “Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all’articolo 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105.”). La notifica dovrà avvenire entro sei ore dalla scoperta, nei casi di violazione o perdita di confidenzialità o integrità, accesso tramite malware, movimenti laterali o azioni di raccolta e esfiltrazione di dati. Tale finestra di tempo si riduce ad una sola ora dalla scoperta, nei casi di inibizione delle funzioni di risposta, compromissione dei processi di controllo, disservizio o violazione dei servizi, sistemi o dati;
- Obbligo di notifica al CSIRT entro 72 ore in caso di incidenti con oggetto beni diversi da quelli inclusi nell’elenco di cui al punto (1) che precede, come indicati nella Determina 3 gennaio 2023 dell’ Agenzia per la Cybersicurezza Nazionale (“Determina”). Gli incidenti oggetto della notifica, come indicati nella Determina, consistono, tra gli altri, nell’ accesso, esecuzione e installazione non autorizzati, movimenti laterali, esfiltrazione di informazioni e dati, ricognizione riferita ad attività di spearphishing, che vanno ad impattare su asset che si trovano al di fuori del Perimetro e per questo motivo ritenuti meno a rischio, ma che potrebbero avere un successivo effetto negativo sui beni ICT di asset appartenenti alla medesima supply-chain.
Implementazione Direttiva NIS2: quali cambiamenti si prospettano
La normativa di settore è in continua evoluzione, e ci si attendono ulteriori interventi normativi, sia da parte dell’ACN – come previsto dalla Strategia Nazionale di Cybersicurezza (2022-2026) pubblicata a maggio 2022 – sia come implementazione di direttive europee.
A questo proposito, riveste particolare rilievo la Direttiva n. 2022/2555 (“Direttiva NIS2“) di recente emanazione e destinata, in seguito al suo recepimento previsto entro il 18 ottobre 2024, a integrare se non in alcuni casi superare le norme di legge fino ad ora adottate. Oltre ad ampliare il novero dei soggetti potenzialmente rientranti nel Perimetro, infatti, la Direttiva NIS2 prevede un nuovo e più articolato quadro normativo tra cui spicca un nuovo assetto delle notifiche degli incidenti significativi, in particolare, devono essere trasmessi al CSIRT:
- senza indebito ritardo, e comunque entro 24 ore da quando vi è stata conoscenza dell’incidente, un preallarme che, se opportuno, indichi se l’incidente è sospettato di essere il risultato di atti illegittimi o malevoli o può avere un impatto transfrontaliero;
- senza indebito ritardo, e comunque entro 72 ore da quando vi è stata conoscenza dell’incidente, una notifica dell’incidente che, se opportuno, aggiorni le informazioni fornite in precedenza e indichi una valutazione iniziale dell’incidente, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione;
- su richiesta di un CSIRT o, se opportuno, di un’autorità competente, una relazione intermedia sui pertinenti aggiornamenti della situazione;
- una relazione finale entro un mese dalla trasmissione della notifica dell’incidente.
La direttiva NIS2 introduce quindi una nuova e più articolata modalità di notifica degli incidenti, che richiederà un dispendio di risorse non indifferente per la sua integrazione all’interno dell’attuale sistema di notifica degli incidenti previsto dall’ordinamento nazionale.
Conclusioni
La disciplina nazionale applicata ai soggetti inclusi nel Perimetro è caratterizzata da una stratificazione normativa che pone diverse sfide applicative ed interpretative, che il prossimo recepimento della Direttiva NIS 2 potrebbe rendere ancora più articolate. Tuttavia, sembra verosimile ritenere che il legislatore italiano, nel processo di recepimento ed implementazione di tale direttiva, pur dovendo modificare e integrare nuovamente la disciplina ad oggi in vigore, grazie anche al lavoro svolto dall’ACN non sarà colto impreparato, e coglierà anzi quest’occasione per riorganizzare la regolamentazione del Perimetro in modo più organico ed efficace.
