l'analisi

Attacchi cyber contro le infrastrutture italiane: i vantaggi del nuovo decreto

Gli incidenti cyber, data breach, su asset del perimetro di sicurezza cibernetico vanno notificati entro 72 ore. Una nuova tassonomia degli incidenti che devono essere oggetto di notifica. Ci sono queste tra le novità di un decreto uscito in gazzetta il 10 gennaio

Pubblicato il 12 Gen 2023

Anna Cataleta

Senior Partner di P4I e Senior Advisor presso l’Osservatorio Cybersecurity & Data Protection (MIP)

Strategia cybersecurity nazionale,

Il decreto uscito in Gazzetta Ufficiale il 10 gennaio sul tema data breach e Perimetro Nazionale di Sicurezza Cibernetica è un’importante novità in tema di notifica degli incidenti di sicurezza.

Le novità del decreto su data breach

Difatti, il comma 3-bis (inserito dal decreto all’interno dell’articolo 1 del decreto-legge 21 settembre 2019 n. 105 recante Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica stabilisce che i soggetti facenti parte del già esistente Perimetro di sicurezza nazionale cibernetica (PSNC), dovranno notificare entro 72 ore gli incidenti “aventi impatto su reti, sistemi informativi e servizi informatici di propria pertinenza” diversi da quelli che riguardano direttamente i beni specificamente inseriti nel Perimetro stesso.

Incidenti informatici, ecco i nuovi obblighi di notifica che rafforzano il Perimetro cyber

In proposito, un’importante novità è rappresentata dalla recentissima pubblicazione della determinazione tecnica del Direttore Generale dell’ACN contenente la tassonomia degli incidenti che devono essere oggetto di notifica, ai sensi del sopracitato comma 3-bis, in modo da rendere più agevole la notifica e il processo di valutazione degli impatti.

In tal senso, occorre osservare un’analogia con il GDPR. Difatti, anche l’art. 33 del Regolamento (Ue) 2016/679 prevede lo stesso termine di segnalazione di un data breach all’Autorità Garante per la protezione dei dati personali. Nello specifico, il titolare del trattamento deve senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, notificare la violazione al Garante privacy, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche. Inoltre, il GDPR prevede che qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore deve essere corredata dei motivi del ritardo.

  1. Quello che emerge è quindi un’inevitabile contaminazione tra le diverse normative in tema di data protection e cybersecurity e tale circostanza richiede la creazione di un efficiente processo di coordinamento tra le disposizioni. Il tutto, allo scopo di evitare pericolose sovrapposizioni e incongruenze.
  2. In secondo luogo, la necessità di agire tempestivamente contro gli incidenti di sicurezza e frenare così la pericolosa “ascesa” dei cybercriminali, ha fatto sorgere delle discussioni in merito all’esigenza di creare un equilibrio, a livello mondiale, tra le procedure di reporting di un data breach. In proposito, con la Direttiva NIS 2 (Direttiva Ue 2022/2555) è stata introdotta la rete europea dell’organizzazione di collegamento per le crisi informatiche, cosiddetta Eu–CyClone, con l’obiettivo di sostenere la gestione coordinata degli incidenti di sicurezza informatica su larga scala.

Queste novità si collocano in un periodo di proliferazione degli attacchi cyber, le cui conseguenze travalicano il mero panorama digitale, dal momento che risultano avere impatti significativi sulla sicurezza delle persone e sulla tenuta stessa dei sistemi democratici. Ciò rende, quindi, sempre più impellente la predisposizione di una strategia di cybersicurezza rafforzata ed efficace.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Social
Iniziative
Video
Analisi
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati