Le nuove regole in materia di cybersicurezza, e che riguardano gli obblighi di notifiche per le Pa sono state illustrate in una recente informativa durante il Consiglio dei Ministri a cura del Sottosegretario Alfredo Mantovano.
Le nuove disposizioni risultano introdotte dalla legge n. 90 del 28 giugno 2024, che mira a rafforzare la cybersicurezza nazionale e a combattere i reati informatici.
L’articolo 1 di questa normativa appena introdotta stabilisce l’elenco dei soggetti che devono notificare gli incidenti di cybersicurezza:
- Amministrazioni centrali, come definite dalla legge n. 196 del 31 dicembre 2009
- Regioni
- Province autonome di Trento e Bolzano
- Città metropolitane
- Comuni con oltre 100.000 abitanti
- Comuni capoluoghi di regione
- Società di trasporto pubblico urbano con bacino di utenza superiore a 100.000 abitanti
- Società di trasporto pubblico extraurbano nelle città metropolitane
- Aziende sanitarie locali
Oltre a queste, sono coinvolte anche le società in house che forniscono servizi informatici, di trasporto, gestione delle acque reflue e dei rifiuti.
Scopriamo in breve qual è il processo di notifica, quali sono le tempistiche e quali sono le possibili sanzioni in caso di mancato adempimento.
Table of Contents
Le regole per le notifiche della Pa in materia di cybersicurezza
Le linee guida in materia sono state fornite dall’ACN (Agenzia per la Cybersicurezza Nazionale) e illustrano ad ogni soggetto le informazioni necessarie per effettuare la notifica di incidente al CSIRT (Computer Security Incident Response Team) Italia.
Il modello presentato dall’Autorità fornisce uno schema di base per il processo di notifica degli incidenti informatici, personalizzato per ciascuna categoria di soggetti, adattandosi alle specifiche esigenze e ai relativi obblighi normativi.
Queste indicazioni sono indirizzate a:
- soggetto che hanno un obbligo normativo di notifica, come i soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica (PSNC), gli Operatori di Servizi Essenziali (OSE), i Fornitori di Servizi Digitali (FSD), i Telco e i soggetti sottoposti alle disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici1 (di seguito per brevità “Soggetti Legge n. 90/2024”)
- e soggetti che non operano in settori critici e non abbiano vincoli in tal senso, come Piccole e Medie Imprese e cittadini.
Infatti, al di fuori degli obblighi derivanti dalla normativa di riferimento, anche questi soggetti possono notificare in forma volontaria gli incidenti di sicurezza, nonché qualsiasi evento cyber con potenziale impatto su almeno un soggetto nazionale.
Procedura di notifica
La prontezza e la precisione delle informazioni fornite durante il processo di notifica rivestono un ruolo fondamentale per consentire al CSIRT Italia di acquisire una conoscenza completa ed esaustiva dell’incidente occorso ai fini dell’attività di allertamento e per fornire ai soggetti impattati il supporto necessario nell’ottica del ripristino dei servizi stessi.
La procedura di notifica prevede la compilazione di un modulo online disponibile sul sito del CSIRT Italia.
La notifica deve includere informazioni dettagliate sull’incidente, come:
- data e ora del rilevamento
- asset impattati
- vettori d’attacco
- misure di rientro intraprese
- indicatori di compromissione (IOC)
- evidenze rilevanti, come campioni di malware
Il CSIRT Italia, dopo aver ricevuto la notifica, offre supporto nelle operazioni di gestione degli incidenti, compatibilmente con le risorse disponibili e la criticità del caso. È fondamentale che i soggetti segnalanti collaborino pienamente, garantendo l’accesso ai sistemi informativi e ai locali necessari per l’intervento.
Una volta avviate le attività di ripristino, l’incidente sarà chiuso formalmente.
Tempistiche per la notifica
Le amministrazioni interessate devono notificare tempestivamente qualsiasi incidente riguardante le loro reti. I tempi per la segnalazione iniziale sono stati ridotti da 72 a 24 ore, seguiti da una notifica completa entro 72 ore dall’incidente.
Quali sono le sanzioni previste?
In caso di mancata notifica reiterata entro cinque anni, la legge prevede sanzioni amministrative pecuniarie che vanno da 25.000 a 125.000 euro. Inoltre, la violazione degli obblighi di notifica può portare a responsabilità disciplinare e amministrativo-contabile per i funzionari e i dirigenti coinvolti.
Il flusso di notifica
Per riepilogare il flusso informativo verso il CSIRT Italia si snoda nelle seguenti fasi:
- fase preparatoria
- fase di segnalazione dell’incidente
- gestione della notifica
- chiusura dell’incidente.
Nell’infografica qui di seguito, curata da ACN, potete visualizzare il flusso completo della notifica.
Alcune riflessioni critiche
Le nuove disposizioni introdotte dalla legge n. 90/2024 segnano un passo fondamentale nella protezione della cybersicurezza nazionale. Tuttavia, queste normative sollevano anche una serie di riflessioni critiche.
Termini troppo stringenti?
L’imposizione di termini stringenti per la segnalazione iniziale degli incidenti – ridotti a sole 24 ore – richiede che le amministrazioni siano dotate di infrastrutture tecnologiche avanzate e di personale altamente qualificato. Molte realtà locali, soprattutto nei comuni meno popolosi, potrebbero trovarsi impreparate ad affrontare queste nuove esigenze. La mancanza di risorse adeguate potrebbe non solo ritardare le segnalazioni, ma anche compromettere la qualità delle risposte agli incidenti.
Occorre maggiore formazione
La legge pone un forte accento sulla collaborazione tra enti e sul supporto del CSIRT Italia, ma è essenziale che questa collaborazione sia supportata da un’adeguata formazione. Il personale delle amministrazioni locali deve essere formato non solo sulla procedura di notifica, ma anche sulle tecniche di prevenzione e gestione degli incidenti informatici. Senza un investimento significativo in formazione continua, il rischio è che le disposizioni rimangano inefficaci.
Sanzioni troppo severe?
Le sanzioni previste per la mancata notifica sono severe, ma è necessario valutare se questo approccio punitivo sia il più efficace. La responsabilità disciplinare e amministrativo-contabile può certamente incentivare una maggiore attenzione, ma potrebbe anche generare un clima di timore e tensione tra i funzionari, limitando la trasparenza e la cooperazione spontanea. Un bilanciamento tra sanzioni e incentivi positivi potrebbe risultare più produttivo.
