L'11 giugno 2021 è stato pubblicato in G.U. il regolamento riguardante le notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici.
È stato pubblicato in G.U. n. 138 dell'11 giugno 2021 il D.P.C.M. n. 81 del 14 aprile 2021 recante il «regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all'
Il decreto in oggetto prevede che dal 1° gennaio 2022, i soggetti inclusi nel perimetro di sicurezza nazionale cibernetica, al verificarsi di uno degli incidenti avente impatto su un bene ICT di rispettiva pertinenza, procedano alla notifica al CSIRT italiano secondo le modalità stabilite dal regolamento.
L'art. 2 del regolamento classifica in categorie gli incidenti aventi impatto sui beni ICT. Nello specifico, nella tabella n. 1, allegata al decreto, sono indicati gli incidenti meno gravi mentre nella tabella n. 2 quelli più gravi. Nelle medesime tabelle sono indicati, per ciascuna categoria di incidente, un codice identificativo e la corrispondente categoria, accompagnata dalla descrizione di ciascuna tipologia di incidente.
Ai sensi dell'art. 3, comma 5, del provvedimento in esame, la notifica deve avvenire qualora il soggetto incluso nel perimetro venga a conoscenza di nuovi elementi significativi, tra cui:
- le specifiche vulnerabilità sfruttate;
- la rilevazione di eventi comunque correlati all'incidente oggetto di notifica;
- ovvero gli indicatori di compromissione (IOC) rilevati.
Continua l 'art. 3 precisando che detta notifica «deve essere integrata tempestivamente dal momento in cui il soggetto incluso nel perimetro ne è venuto a conoscenza, salvo che l'autorità giudiziaria procedente abbia previamente comunicato la sussistenza di specifiche esigenze di segretezza investigativa».
In tema di trasmissione, l'art. 5 cit. prevede che:
-
il DIS inoltri le notifiche ricevute dal CSIRT italiano:
- all'organo del Ministero dell'interno per la sicurezza e la regolarità dei servizi di telecomunicazione;
- alla struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione, qualora le notifiche provengano da un soggetto pubblico o da un soggetto, fatta eccezione per quelle concernenti i beni ICT in relazione ai quali per le attività di ispezione e verifica sono competenti le strutture specializzate;
- al Ministero dello sviluppo economico, qualora le notifiche provengano da un soggetto privato.
-
il CSIRT inoltri le notifiche ricevute dai soggetti inclusi nel perimetro:
- all'autorità competenti.