Sicurezza lavoro

Direttiva PCM 29 dicembre 2023

Direttiva del Presidente del Consiglio dei Ministri 29 dicembre 2023

Direttiva del Presidente del Consiglio dei Ministri 29 dicembre 2023 

ID 21376 | 16.02.2024

Resilienza cibernetica del Paese - Protocolli di intesa per irrobustire la capacita' di risposta agli incidenti informatici. 

(GU Serie Generale n.39 del 16.02.2024)

...

1. Premessa

Il decreto-legge 10 agosto 2023, n. 105, convertito, con modificazioni, dalla legge 9 ottobre 2023, n. 137, ha introdotto all’art. 7, comma 1, del decreto-legge n. 82 del 2021, convertito, con modificazioni, dalla legge 4 agosto 2021,
n. 109 (istitutivo dell’ACN), la lettera n-bis), con cui si fa obbligo ai soggetti pubblici e privati interessati da un incidente informatico di prestare massima collaborazione al personale tecnico-specialistico dell’ACN che interviene per le cosiddette attività di remediation, ossia di contenimento e mitigazione delle conseguenze dell’incidente informatico, rivolte al ripristino quanto più possibile immediato dell’operatività dei sistemi compromessi.

A riprova della necessità che tale collaborazione si dispieghi nella misura massima possibile, nell’interesse stesso del soggetto impattato, e anche per scongiurare effetti sistemici - ossia capaci di propagare conseguenze anche oltre la superficie oggetto di attacco - la stessa novella legislativa prevede la possibilità di applicare sanzioni nei casi di mancata o inadeguata collaborazione.

La richiamata disposizione legislativa, che attribuisce cogenza a livello normativo a quanto si era anticipato con la direttiva presidenziale del 6 luglio 2023, assume un rilievo del tutto peculiare nell’attuale contesto geopolitico in cui si moltiplicano gli attacchi informatici verso quei paesi, come l’Italia, che risultano particolarmente esposti alla minaccia cyber per aver assunto, nell’ambito della comunità internazionale, posizioni di solidarietà e di sostegno degli attori statuali in conflitto, sia con riguardo alla crisi russo-ucraina, sia con riguardo allo scenario mediorientale.

La succitata norma, tuttavia, pur valorizzando il momento collaborativo e dichiarandone, dunque, l’importanza ai fini della resilienza del Paese, richiede uno sforzo organizzativo ad hoc perché le attività rispettivamente poste in essere dai soggetti impattati e da ACN vengano a corrispondere ad un preciso modello operativo capace di dare efficacia ed efficienza ad interventi di risposta in caso di attacco.

2. Indirizzi di attuazione e coordinamento

Per consentire che l’attività di supporto dell’ACN, sviluppata in occasione di eventi e incidenti cibernetici, venga a corrispondere alle esigenze esplicitate in premessa, seguendo, dunque, uno schema il più possibile predefinito che tracci un preciso modus operandi, appare indispensabile che l’intervento tecnico-operativo trovi in un atto di intesa un puntuale strumento di declinazione e precisazione delle attività che ACN e il soggetto colpito dall’attacco informatico sono rispettivamente chiamati a porre in essere.

Naturalmente, per quanto detto in premessa riguardo alla delicata situazione internazionale e alla conseguente necessità che vengano immediatamente protette le superfici digitali dei soggetti pubblici a cui sono demandate le funzioni nevralgiche del Paese, è evidente che gli atti di intesa di cui sopra dovranno interessare le amministrazioni governative destinatarie della presente direttiva, anche in ragione della particolare sensibilità dei servizi erogati a favore della comunità nazionale.

Onde far sì che il meccanismo collaborativo possa esprimere in caso di incidente la massima efficacia, è necessaria la preventiva messa in opera, ovvero implementazione, da parte dei soggetti pubblici interessati, di alcune indispensabili misure che di seguito vengono indicate e, nello specifico, di:

- un censimento dei sistemi, apparati, piattaforme, applicazioni e flussi di dati utilizzati nello svolgimento delle proprie attività, oltre che dei fornitori e/o partner terzi di sistemi informatici, componenti e servizi utilizzati;
- un documento in cui siano definiti ruoli e responsabilità inerenti alla cybersicurezza, sia del personale interno, sia di eventuali terze parti che supportano l’amministrazione, comprensivo dell’individuazione, tra il proprio personale, di un incaricato per la cybersicurezza (quale punto di contatto cyber ai fini delle comunicazioni e del necessario raccordo con l’ACN) e di un referente tecnico per la cybersicurezza (da identificarsi tra il personale responsabile della gestione operativa dei sistemi IT);
- piani per la gestione delle vulnerabilità, dei backup dei dati necessari per l’esercizio delle proprie funzioni essenziali, nonché del ciclo di vita dei sistemi, delle identità e dei relativi permessi;
- un piano di risposta in caso di incidente, nel quale vengano puntualmente definite le articolazioni interne che - in stretto raccordo con l’incaricato per la cybersicurezza (ove non direttamente dipendenti dallo stesso) - sono preposte all’attuazione del piano, definendone le competenze decisionali, finanziarie e tecniche, onde adeguatamente fronteggiare un incidente cibernetico.

Nondimeno, anche nelle more della piena attuazione dei presupposti del modello collaborativo di cui sopra, dovranno intervenire fin da subito intese speditive per la provvisionale definizione delle misure prioritarie e urgen- ti volte alla mitigazione del rischio cibernetico, in primis tra l’ACN e le amministrazioni rappresentate nel Comitato interministeriale per la cybersicurezza.

L’ACN avrà cura di monitorare, anche in seno al nucleo per la cybersicurezza, lo stato di attuazione e implementazione della presente direttiva, onde poterne successivamente informare l’Autorità delegata.

...

Collegati

Certifico s.r.l.

Sede: Via A. De Curtis, 28 - 06135 Perugia - IT
P. IVA: IT02442650541

Tel. 1: +39 075 599 73 63
Tel. 2: +39 075 599 73 43

Assistenza: +39 075 599 73 43

www.certifico.com
info@certifico.com

Testata editoriale iscritta al n. 22/2024 del registro periodici della cancelleria del Tribunale di Perugia in data 19.11.2024