23 Lug Perimetro di Sicurezza Nazionale Cibernetica: la notifica degli incidenti

Posted at 19:37h in Cyber Security by

L’andamento esponenziale delle nuove tecnologie e, di conseguenza, dei diritti e dei doveri scaturenti da queste, sta creando nell’orizzonte attuale novità e programmi che non possono essere sottovalutati dai professionisti del digitale.

Il tema caldo a livello nazionale è la normativa in materia di Perimetro di Sicurezza Nazionale Cibernetica, redatta nel decreto-legge n.105/2019 coordinato con la legge di conversione 18 novembre 2019, n. 133[1] e nei relativi e attuativi DPCM 131/2020 [2] e DPCM 81/2021[3]; se il primo ha il compito di stabilire i soggetti rientranti nel Perimetro nonché i principali adempimenti in materia di asset inventory, comprensivi di un’adeguata analisi dei rischi, il secondo si occupa di stabilire, specificamente, le misure di sicurezza tecniche e organizzative tipizzate al fine di mitigare i rischi degli incidenti.

 

Il sistema Nazionale di sicurezza cibernetica si arricchisce

Il sistema nazionale di sicurezza cibernetica trova ulteriore compimento nel DPCM 13 aprile 2021, n. 81 denominato «Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all’articolo 1, comma 2, lett. B), del decreto-legge 21 settembre 2019, n. 133 e di misure volte a garantire elevati livelli di sicurezza».

Preliminarmente è necessario stabilire cosa configura un incidente ai sensi del Regolamento: «ogni evento di natura accidentale o intenzionale che determina il malfunzionamento, l’interruzione anche parziali, ovvero l’utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici»[4].
L’obiettivo del DPCM in questione è quello di ridurre al minimo la probabilità che questi incidenti possano sopraggiungere e quindi minare la continuità operativa; infatti, si compone di una tassonomia precisa degli incidenti divisi, nell’allegato A, in due categorie, a seconda dei tempi di notifica, rispettivamente di un’ora, qualora siano più gravi, e sei ore, qualora si tratti di incidenti meno gravi. [5]

L’allegato B, invece, contiene le misure di sicurezza tecniche e organizzative che derivano dall’allegato A, facilitando la produzione di documentazioni probatorie con politiche, procedure, processi relativamente alla singola misura favorendo, di fatto, profili relativi alla pianificazione della risposta, all’analisi, alla mitigazione, alla gestione del rischio – compreso quello relativo alla catena di approvvigionamento, alla manutenzione e alle tecnologie per la protezione; a titolo esemplificativo si può parlare di controllo degli accessi, VA/PT, gestione degli asset etc…[6]

 

La composizione in un unico modello organizzativo

Il complesso della documentazione richiesta al fine di dimostrare l’applicazione delle misure tecniche e organizzative, che possono essere sintetizzate in identificazione, protezione, rilevamento, risposta, recupero e corrispondenza (verifica), andrà a comporre un «grande» modello organizzativo dal quale ricavare delle politiche e delle procedure specifiche, nonché note di processo relative a politiche generali, ad esempio un business continuity plan che contenga un piano di ripristino adeguato.

Tale approccio consente di raggiungere un alto livello di conformità in relazione a quanto disposto dalle normative e dai principali standard internazionali in materia, come lo standard ISO/IEC 27001[7] relativo ai sistemi di gestione per la sicurezza delle informazioni.

Un tale modello organizzativo si compone, quindi, di un complesso documentale mirato al consolidamento formale dei processi dell’organizzazione aventi impatto sulla gestione dei dati e delle informazioni generalmente intesi.

 

La formalizzazione di che trattasi deve essere declinata tramite la redazione attenta di politiche, aventi lo scopo di enunciare le linee guida strategiche afferenti a tali processi e procedure descriventi le modalità operative di attuazione di quanto disposto ad alto livello dalle politiche citate poc’anzi; è in tal modo che il principio di accountability, che permea non solo la struttura del GDPR ma anche le misure relativa alla normativa del Perimetro Cibernetico, viene concretizzata dall’interno della compagine aziendale e diventa “visibile” all’esterno, trasformando un processo di compliance in una leva per il business.

Ancora una volta, l’attuazione di un problem solving convergente, porta i professionisti alla conoscenza tecnica dei sistemi e delle normative indispensabili per la tutela, da un lato aziendale e, per i motivi di cui sopra, nazionale.

 

 

Note:

[1] Per ulteriori informazioni v. Gazzetta Ufficiale

[2] v. DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 30 luglio 2020, n. 131

[3] Al fine di un approfondimento lineare v. DPCM 14 aprile 2021 n. 81

[4] DPCM 81/2021, art. 1, comma 1, lett. H

[5] DPCM 81/2021, All. A

[6] DPCM 81/2021, All. B

[7] Al fine di una linearità espositiva, si consiglia la lettura ISO 27001.doc (aicqsicev.it)

Tags:
, , , , , ,
ICT Cyber Consulting
ictcc_WP@ictcyberconsulting.com