Nuovo obbligo di notifica e metodologia di Risk Assessment dell’ACN

ICTInsider-nuovo-obbligo-notifica-ACN

Autori: Francesco Capparelli, Andrea Sudano

 

Con un apposito emendamento al Decreto Aiuti bis (D.L. del 9 agosto 2022, n.115), approvato in Senato lo scorso 13 settembre[1], è intervenuta un’importantissima novità in tema di Perimetro di Sicurezza Nazionale Cibernetica (c.d. PSNC). È stata infatti approvata l’introduzione, nel suddetto decreto, dell’art. 37-bis, a sua volta disciplinante l’aggiunta, all’art. 1 del D.L. 21 settembre 2019, n. 105 – recante disposizioni urgenti in materia di Perimetro di Sicurezza Nazionale Cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 13 – di un nuovo comma 3-bis.

Dalla lettura del nuovo dispositivo, emerge la determinazione di un nuovo obbligo di notifica in capo ai soggetti inclusi nell’ambito di applicazione del PSNC (e.g. Pubbliche Amministrazioni, operatori pubblici e privati), che si aggiunge a quello già sussistente ai sensi dell’art. 3, comma 4 del D.P.C.M. 14 aprile 2021, n. 81, relativo alla notifica (nel termine di 1 ora o 6 ore), degli incidenti aventi impatto su un bene ICT di rispettiva pertinenza, tra quelli individuati nelle tabelle di cui all’allegato A del D.P.C.M. medesimo.

 

Le novità

Nello specifico, viene sancito l’obbligo di notifica, entro 72 ore, anche di quegli incidenti “aventi impatto su reti, sistemi informativi e servizi informatici di propria pertinenza diversi da quelli di cui al comma 2, lettera b)” assistendosi, nei fatti ad una estensione degli obblighi di notifica non più esclusivamente agli incidenti che impattano su beni ICT direttamente inclusi ed impiegati nel PSNC, bensì anche a quelli relativi a sistemi informativi, reti e servizi informatici che risultano all’esterno del suddetto Perimetro, ma comunque di pertinenza dei soggetti inclusi nell’applicazione della normativa di riferimento.

Come si evince dalla relazione illustrativa all’emendamento, la ratio di siffatta novità normativa è da ricercarsi nella crescita esponenziale del numero di attacchi informatici ed incidenti ai beni ICT; situazione ulteriormente aggravatisi con lo scoppio del conflitto russo-ucraino, che ha acuito ulteriormente i rischi alla resilienza delle infrastrutture critiche nazionali.

Ciò detto, si comprende ancora meglio l’obiettivo finale di siffatta riforma: quello cioè di poter disporre di una fotografia quanto più possibile ampia e generale del “campo di battaglia” dei cyberattacchi ai danni dei soggetti inclusi nel PSNC, ricomprendendo anche quegli incidenti con impatti su reti, servizi informativi e servizi informatici, interni o in outsourcing, non direttamente utilizzati per l’erogazione di un servizio strategico in ottica di PSNC medesimo, ma ad esso connesso in termini di “impatto”.

Va sottolineato che il nuovo obbligo di notifica, di cui si discute, necessita ancora delle “determinazioni tecniche” che il direttore generale dell’ACN, sentito il vicedirettore generale, è tenuto a produrre, al fine di determinare la “tassonomia” degli incidenti che debbono essere oggetto di notifica entro 72 ore. In tale ottica, sarà importante che tale decreto direttoriale definisca con “intelligenza” la tipologia di incidenti da includere nell’obbligo di notifica, non considerando e.g. le ipotesi di meri guasti o disservizi, che aggraverebbero inutilmente il “sistema” di una mole di informazioni di fatto poco rilevanti ai fini del raggiungimento dell’obiettivo ultimo di rafforzamento della resilienza cyber del sistema-Paese.

Invero, pur in assenza, ad oggi, di siffatta direttiva di dettaglio, è indubbia la considerazione che per le Organizzazioni incluse nel campo di applicazione del PSNC – nonché per tutti i fornitori di tali aziende – l’introduzione di un tale obbligo di notifica costituisce una novità per molti aspetti “rivoluzionaria”.

A parere di chi scrive, il fulcro della questione non può che concentrarsi sul termine “impatto” che compare nel dispositivo del nuovo articolo 3-bis del D.L. 21 settembre 2019, n. 105. Il nuovo obbligo di notifica impone, infatti, di tenere sotto la lente di ingrandimento non più solamente il bene ICT in sé considerato dal PSNC, ma tutti gli asset, anche qui in termini di beni ICT, che ruotano attorno ad esso. La immediata conseguenza di ciò è, senza dubbio, un deciso aumento dell’effort per la conduzione di attività di analisi del rischio e per l’assolvimento degli obblighi che la normativa impone. Ciò, non solo con riferimento ai soggetti già inclusi all’interno del PSNC, che vedono ulteriormente allargarsi il perimetro medesimo, ma anche (e soprattutto) con riferimento alle Organizzazioni fornitrici di prodotti e servizi ad aziende soggette a Perimetro. Anche quest’ultime dovranno, nei fatti, attivarsi per porre in essere attività, e.g. analisi dei rischi, prodromiche all’assolvimento del nuovo obbligo di notifica di cui si discute.

 

Metodologie di Risk Assessment

Per meglio comprendere l’effort che la nuova disciplina introdotta dal Decreto Aiuti -bis propone, si richiama la metodologia di analisi del rischio elaborata dal Centro di Valutazione e Certificazione Nazionale – in seno all’Agenzia per la Cybersicurezza Nazionale (ACN) – al fine di disciplinare puntualmente la gestione delle terze parti tramite l’emanazione di apposite linee guida sulla conduzione delle attività di risk assessment sui fornitori, ai sensi dell’ art. 3, comma 4 e 5 del D.P.R. 54 del luglio 2021.

Trattasi, in buona sostanza, di una metodologia che nasce dalla considerazione per la quale l’oggetto di una fornitura non può assicurare, di per sé, una “protezione assoluta” contro qualsivoglia violazione intenzionale o accidentale. Diventa necessario, di conseguenza, affidarsi ad una metodologia che assicuri un livello sufficientemente elevato delle misure di protezione medesime, in modo da rendere accettabili i rischi associati alle violazioni. Sotto tale punto di vista, è evidente il legame di ratio tra la metodologia in esame con l’introduzione del nuovo obbligo di notifica, oltre alla considerazione che lo svolgimento di siffatta attività di assessment dovrà necessariamente precedere la notifica medesima.

Più in dettaglio, il CVCN propone l’applicazione della metodologia di analisi del rischio “Threat, Vulnerabiilty, Risk Analysis” (c.d. TVRA) definita da ETSI (European Telecommunication Standards Institute) nel documento “Technical Specification ETSI TS 102 165-1 v. 5.2.3 (2017-10)”, secondo una procedura in due fasi:

        • Fase 1 (in carico all’Organizzazione): predisposizione di un documento di analisi del rischio;
        • Fase 2 (in carico al CVCN): applicazione della restante parte della metodologia ETSI – TVRA, con le opportune modificazioni utili a consentire l’individuazione del livello di severità dei test ex art. 5 del D.P.R 54/2021.

Lo scopo della metodologia in analisi è, dunque, quello di definire il livello di protezione richiesto all’oggetto della fornitura a fronte di violazioni intenzionali, nonché la definizione del livello di severità dei test che le funzioni di sicurezza dell’oggetto della fornitura devono essere in grado di superare, successivamente ad un processo di minimizzazione del rischio secondo le logiche della ETSI -TVRA. La metodologia prevede altresì le opportune integrazioni per l’estensione del suo perimetro alle ipotesi di violazioni accidentali, non direttamente trattati nella ETSI – TVRA.

 

Conclusioni

In conclusione, risulta evidente che la novità introdotta dall’emendamento al Decreto Aiuti bis, in ordine al nuovo obbligo di notifica entro 72 ore, se da un lato punta a dipingere un quadro quanto più possibile “puntuale e aggiornato” sullo stato dell’arte del livello di resilienza delle infrastrutture critiche del nostro Paese, dall’altro incrementa notevolmente l’effort delle Organizzazioni coinvolte, con particolare riferimento alla necessità di estendere l’attività di risk assessment con riferimento ad asset in precedenza non presi in considerazione.

 

 

 

 

[1] Si rimanda, in proposito, al resoconto stenografico della 464esima seduta pubblica del Senato, del 13 settembre 2022, pag.251, in https://www.senato.it/3818?seduta_assemblea=25111

ICT Cyber Consulting
ictcc_WP@ictcyberconsulting.com