La notifica degli incidenti cibernetici riveste un ruolo di primaria importanza nel quadro delle recenti evoluzioni normative. La nuova normativa NIS2 prevede un sistema di notifica obbligatoria degli incidenti cibernetici per diverse categorie di soggetti. È fondamentale rispettare queste disposizioni, poiché il mancato adempimento può comportare conseguenze giuridiche rilevanti.
L’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato la Guida alla notifica degli incidenti al CSIRT (Computer Security Incident Response Team) Italia. L’obiettivo è quello di illustrare ad ogni soggetto le informazioni necessarie per effettuare la notifica di incidente, sia che il soggetto abbia un obbligo normativo di notifica, come i soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica (PSNC), gli Operatori di Servizi Essenziali (OSE), i Fornitori di Servizi Digitali (FSD), i Telco e i soggetti sottoposti alle disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatic (entità considerate dalla legge n. 90/2024 – c.d. “Legge sulla Cybersicurezza” – recante disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici), sia che esso non operi in settori critici e non abbia vincoli in tal senso, come piccole e medie Imprese e cittadini.
La Guida, quindi, si rivolge anche ai soggetti, pubblici e privati, che pur non essendo obbligati alla notifica intendono tuttavia, volontariamente segnalare l’incidente allo CSIRT, in questo modo contribuendo a una migliore condivisione della conoscenza del livello e dell’intensità della minaccia, per rafforzare la resilienza dell’ecosistema digitale italiano.
La corretta adozione della procedura di notifica degli incidenti cibernetici costituisce un elemento cruciale per garantire sicurezza e resilienza delle reti, dei sistemi informativi e dei servizi informatici. La prontezza e la precisione delle informazioni fornite durante il processo di notifica rivestono un ruolo fondamentale per consentire al CSIRT Italia di acquisire una conoscenza completa ed esau-stiva dell’incidente occorso ai fini dell’attività di allertamento e per fornire ai soggetti impattati il supporto necessario nell’ottica del ripristino dei servizi stessi.
Il documento è organizzato in sezioni chiave, che, per ciascuna tipologia di soggetto segnalante, forniscono informazioni sul contesto normativo di riferimento, sulle eventuali e specifiche tempistiche da rispettare e relative sanzioni per il mancato adempimento nonché una descrizione delle fasi in cui si articola il flusso di processo. Per ciascuna delle categorie di soggetti viene indicata una specifica sezione denominata “Come riconoscere un incidente da notificare”, che è quanto deve essere incluso nei processi aziendali di gestione incidenti per assicurarsi di intercettare correttamente quelli che necessitano di notifica.
Le linee guida forniscono, dunque, un modello di processo di notifica degli incidenti al CSIRT Italia, salvo prevedere adattamenti per ciascuna categoria di soggetti, tenuto conto delle specifiche esigenze e dei relativi obblighi normativi.
Le quattro fasi fondamentali del flusso di notifica sono:
1. Una fase preparatoria.
A seguito della rilevazione di un incidente, il soggetto segnalante avvia una fase preparatoria alla notifica con l’obiettivo di raccogliere le informazioni minime per garantire al CSIRT Italia un’attivazione proporzionata alla potenziale criticità ed ai potenziali impatti di natura sistemica derivanti dall’incidente stesso.
Rientrano in tale fase le attività di preparazione della segnalazione dell’incidente, ove prevista.
2. La fase di notifica.
Una volta raccolte le informazioni necessarie ad effettuare la segnalazione, ove prevista, e/o la notifica, si potrà procedere alla compilazione di un modulo online disponibile sul sito internet del CSIRT Italia: https://www.csirt.gov.it/segnalazione.
Tale comunicazione occorre che venga effettuata al CSIRT con una tempistica definita nelle linee guida, e diversamente declinata in funzione dell’appartenenza del soggetto ai diversi presidi
normativi. In ogni caso, la segnalazione è strettamente correlata al principio di immediatezza della conoscenza dell’incidente.
3. Gestione della notifica.
Dopo aver ricevuto la segnalazione, ove prevista, e/o la notifica, sulla base del livello di servizio previsto per la specifica categoria di soggetto segnalante, il CSIRT Italia valuterà l’opportunità di fornire supporto nelle operazioni di incident handling, da remoto o in loco. Durante questa fase, in base alla tipologia del soggetto segnalante e alla normativa vigente, su richiesta del CSIRT Italia potranno essere effettuate ulteriori attività anche a seguito della risoluzione dell’incidente.
4. Chiusura dell’incidente.
Una volta terminate le attività di gestione dell’incidente da parte del soggetto segnalante ed eventualmente pianificate le attività di rientro dell’incidente, il CSIRT Italia procederà alla chiusura dell’incident.
Le linee guida saranno oggetto di revisione, soprattutto in considerazione dell’implementazione a livello nazionale della direttiva europea NIS2 o di eventuali ulteriori emendamenti alle legislazioni citate nel documento.
In sintesi, la notifica degli incidenti cibernetici è un obbligo legale che non può essere trascurato. Per assicurarsi di essere sempre conformi alle normative, come la NIS2, e di proteggere adeguatamente la propria organizzazione, è fondamentale affidarsi a professionisti esperti. Bep Solution srl offre consulenza legale specializzata per guidarvi nel processo di notifica degli incidenti e per garantire la conformità alla NIS2 e alle altre normative in materia di sicurezza informatica.
Avv. Valentina De Simone
Commenti recenti