Data protection

L’Agenza per la Cybersicurezza Nazionale ha pubblicato le Linee Guida[1] per il rafforzamento della resilienza dei soggetti di cui all’articolo 1, comma 1, della Legge 28 giugno 2024, n. 90.

Premessa

La legge 28 giugno 2024, n. 90 recante “disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici” mira a rafforzare la cybersicurezza nazionale e a contrastare i reati informatici, articolandosi in 24 articoli suddivisi in due Capi.

• Capo I (articoli 1-15): disposizioni in materia di rafforzamento della cybersicurezza nazionale, di resilienza delle pubbliche amministrazioni e del settore finanziario, di personale e funzionamento dell’Agenzia per la cybersicurezza nazionale e degli organismi di informazione per la sicurezza nonché di contratti pubblici di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici.

• Capo II (articoli 16-24): disposizioni per la prevenzione e il contrasto dei reati informatici nonché in materia di coordinamento degli interventi in caso di attacchi a sistemi informatici o telematici e di sicurezza delle banche di dati in uso presso gli uffici giudiziari.

Tra le varie disposizioni, la legge prevede degli obblighi specifici per i soggetti individuati dall’articolo 1 comma 1 – da qui in poi indicati come soggetti – ossia:

  • le pubbliche amministrazioni centrali individuate ai sensi dell’articolo 1, comma 3, della legge 31 dicembre 2009, n. 196,
  • le regioni e le province autonome di Trento e di Bolzano,
  • le città metropolitane,
  • i comuni con popolazione superiore a 100.000 abitanti
  • i comuni capoluoghi di regione,
  • le società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti,
  • le società di trasporto pubblico extraurbano operanti nell’ambito delle città metropolitane
  • le aziende sanitarie locali.

Sono altresì comprese:

  • le rispettive società in house che forniscono servizi informatici,
  • i servizi di trasporto di cui al precedente periodo
  • i servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali, come definite ai sensi dell’articolo 2, punti 1), 2) e 3), della direttiva 91/271/CEE del Consiglio, del 21 maggio 1991,
  • i servizi di gestione dei rifiuti, come definito ai sensi dell’articolo 3, punto 9), della direttiva 2008/98/CE del Parlamento europeo e del Consiglio, del 19 novembre 2008.

Si rammenta che i soggetti sopra elencati hanno l’obbligo di segnalare, senza ritardo e comunque entro il termine massimo di ventiquattro ore dal momento in cui ne sono venuti a conoscenza a seguito delle evidenze comunque ottenute, qualunque incidente riconducibile a una delle tipologie individuate nella tassonomia di cui al comma 1 ed effettuano, entro settantadue ore a decorrere dal medesimo momento, la notifica completa di tutti gli elementi informativi disponibili. La segnalazione e la successiva notifica sono effettuate tramite le apposite procedure disponibili nel sito internet istituzionale dell’Agenzia per la cybersicurezza nazionale.

Così come, gli stessi soggetti, in caso di segnalazioni puntuali dell’Agenzia per la cybersicurezza nazionale circa specifiche vulnerabilità cui essi risultino potenzialmente esposti, provvedono, senza ritardo e comunque non oltre quindici giorni dalla comunicazione, all’adozione degli interventi risolutivi indicati dalla stessa Agenzia. La mancata o ritardata adozione degli interventi risolutivi comporta l’applicazione delle sanzioni di cui all’articolo 1, comma 6[2], salvo il caso in cui motivate esigenze di natura tecnico-organizzativa, tempestivamente comunicate all’Agenzia per la cybersicurezza nazionale, ne impediscano l’adozione o ne comportino il differimento oltre il termine indicato al medesimo comma 1 del presente articolo.

 In particolare, per i soggetti sopra indicati la legge prevede, altresì:

• l’individuazione di una struttura, anche tra quelle esistenti, nell’ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente, che provvede a quanto indicato all’articolo 8, comma 1, della legge.

Le linee guida in esame sono tese al rafforzamento della resilienza dei soggetti in coerenza con tali disposizioni, nonché con quanto previsto dalla Direttiva del Presidente del Consiglio dei ministri del 29 dicembre 2023.[3]

Scopo del documento

Il documento indirizza i soggetti verso il rafforzamento della propria resilienza tramite l’individuazione di misure di sicurezza e fornendo indicazioni per la loro implementazione nel rispetto di quanto previsto all’articolo 8, lettera f), della legge.

Soggetti destinatari

I destinatari delle presenti linee guida sono i soggetti individuati dall’articolo 1 comma 1, della legge 28 giugno 2024, n. 90, ossia le pubbliche amministrazioni centrali individuate ai sensi dell’articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, le regioni e le province autonome di Trento e di Bolzano, le città metropolitane, i comuni con popolazione superiore a 100.000 abitanti e, comunque, i comuni capoluoghi di regione, nonché le società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti, le società di trasporto pubblico extraurbano operanti nell’ambito delle città metropolitane e le aziende sanitarie locali. Sono altresì comprese tra i soggetti destinatari le rispettive società in house che forniscono servizi informatici, i servizi di trasporto di cui al precedente periodo ovvero servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali, come definite ai sensi dell’articolo 2, punti 1), 2) e 3), della direttiva 91/271/CEE del Consiglio, del 21 maggio 1991, o di gestione dei rifiuti, come definita ai sensi dell’articolo 3, punto 9), della direttiva 2008/98/CE del Parlamento europeo e del Consiglio, del 19 novembre 2008.

Campo di applicazione

Le misure di sicurezza del presente documento si applicano ai sistemi informativi e di rete del soggetto, ossia:

1) una rete di comunicazione elettronica ai sensi dell’articolo 2, comma 1, lettera vv), del decreto legislativo 1° agosto 2003, n. 259;[4]

2) qualsiasi dispositivo o gruppo di dispositivi interconnessi o collegati, uno o più dei quali eseguono, in base ad un programma, un trattamento automatico di dati digitali;  

3) i dati digitali conservati, elaborati, estratti o trasmessi per mezzo di reti o dispositivi di cui ai numeri 1) e 2), per il loro funzionamento, uso, protezione e manutenzione.

Organizzazione del documento

Le Linee Guida sono organizzate in parti, capitoli, paragrafi e appendici. 

La prima parte individua le misure di sicurezza che i soggetti adottano per il rafforzamento della propria resilienza e dedica per ogni misura un capitolo articolato nei seguenti paragrafi:

• requisiti implementazione minima attesa, elenca i requisiti che devono essere soddisfatti per l’implementazione minima attesa della misura;

• descrizione, illustra la misura evidenziandone le peculiarità ai fini della sua implementazione;

• evidenze documentali, elenca i contenuti che devono essere presenti nell’impianto documentale prodotto dal soggetto.

La seconda parte è dedicata alla descrizione delle modalità di implementazione raccomandate per l’attuazione delle misure, indicando, altresì, i processi di cybersecurity da istituire per corrispondere alle misure di sicurezza. 

Al riguardo, si osserva che i soggetti possono implementare le misure di sicurezza secondo modalità alternative a quelle indicate, purché idonee a soddisfare le implementazioni minime attese. Il documento contiene inoltre le seguenti appendici:

• appendice A: implementazioni minime attese, indica le implementazioni minime attese per l’attuazione di ogni misura di sicurezza;

• appendice B corrispondenza ambiti misure, riporta la mappatura tra le misure di sicurezza individuate e gli ambiti di cui all’articolo 8, comma 1, della legge 28 giugno 2024, n. 90[5] e alla Direttiva del Presidente del Consiglio dei ministri del 29 dicembre 2023;

• appendice C: glossario, elenca le definizioni dei termini peculiari usati nel documento. All’interno del documento sono presenti riquadri di approfondimento recanti diverse tipologie di contenuto informativo secondo la seguente legenda

[1] Link:  https://www.acn.gov.it/portale/linee-guida-rafforzamento-resilienza

[2] Nei casi di reiterata inosservanza, nell’arco di cinque anni, dell’obbligo di notifica di cui ai commi 1 e 2, l’Agenzia per la cybersicurezza nazionale applica altresì, nel rispetto delle disposizioni dell’articolo 17, comma 4-quater, del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, introdotto dall’articolo 11 della presente legge, una sanzione amministrativa pecuniaria da euro 25.000 a euro 125.000 a carico dei soggetti di cui al comma 1 del presente articolo. La violazione delle disposizioni del comma 1 del presente articolo può costituire causa di responsabilità disciplinare e amministrativo-contabile per i funzionari e i dirigenti responsabili.

[3] Il  decreto-legge  10  agosto  2023,  n.   105,   convertito,   con modificazioni, dalla legge 9 ottobre  2023,  n.  137,  ha  introdotto all’art. 7, comma 1, del decreto-legge n. 82  del  2021,  convertito, con modificazioni, dalla legge 4  agosto  2021,  n.  109  (istitutivo dell’ACN), la lettera n-bis), con  cui  si  fa  obbligo  ai  soggetti pubblici  e  privati  interessati  da  un  incidente  informatico  di prestare massima collaborazione  al  personale  tecnico-specialistico dell’ACN che interviene per le cosiddette attivita’  di  remediation, ossia di contenimento e mitigazione delle conseguenze  dell’incidente

informatico, rivolte al ripristino quanto  piu’  possibile  immediato dell’operativita’ dei sistemi compromessi.    A riprova della necessita’ che  tale  collaborazione  si  dispieghi nella misura massima possibile, nell’interesse  stesso  del  soggetto impattato, e anche per scongiurare effetti sistemici –  ossia  capaci di  propagare  conseguenze  anche  oltre  la  superficie  oggetto  di attacco – la stessa novella legislativa prevede  la  possibilita’  di applicare sanzioni nei casi di mancata o inadeguata collaborazione.    La richiamata disposizione legislativa, che attribuisce  cogenza  a livello normativo  a  quanto  si  era  anticipato  con  la  direttiva presidenziale  del  6  luglio  2023,  assume  un  rilievo  del  tutto peculiare nell’attuale contesto geopolitico in  cui  si  moltiplicano gli  attacchi  informatici  verso  quei  paesi,  come  l’Italia,  che risultano  particolarmente  esposti  alla  minaccia  cyber  per  aver assunto, nell’ambito della  comunita’  internazionale,  posizioni  di solidarieta’ e di sostegno degli attori statuali  in  conflitto,  sia con riguardo alla crisi russo-ucraina, sia con riguardo allo scenario mediorientale.    La  succitata  norma,  tuttavia,  pur   valorizzando   il   momento collaborativo e dichiarandone, dunque,  l’importanza  ai  fini  della resilienza del  Paese,  richiede  uno  sforzo  organizzativo  ad  hoc perche’ le attivita’ rispettivamente poste  in  essere  dai  soggetti impattati e da ACN vengano a  corrispondere  ad  un  preciso  modello operativo capace di dare efficacia ed  efficienza  ad  interventi  di risposta in caso di attacco.  2. Indirizzi di attuazione e coordinamento    Per consentire che l’attivita’ di supporto dell’ACN, sviluppata  in occasione di eventi e incidenti cibernetici,  venga  a  corrispondere alle esigenze esplicitate in premessa, seguendo, dunque,  uno  schema il piu’ possibile predefinito che tracci un preciso  modus  operandi, appare indispensabile che l’intervento tecnico-operativo trovi in  un atto di intesa un puntuale strumento di declinazione  e  precisazione delle  attività  che  ACN  e  il   soggetto   colpito   dall’attacco informatico sono rispettivamente chiamati a porre in essere.    Naturalmente, per quanto detto in premessa riguardo  alla  delicata situazione internazionale e alla conseguente necessita’  che  vengano immediatamente protette le superfici digitali dei soggetti pubblici a cui sono demandate le funzioni nevralgiche del Paese, e’ evidente che

gli  atti  di  intesa  di   cui   sopra   dovranno   interessare   le amministrazioni governative destinatarie  della  presente  direttiva, anche in ragione della particolare sensibilita’ dei servizi erogati a favore della comunita’ nazionale.    Onde far si’ che il meccanismo  collaborativo  possa  esprimere  in caso di incidente la massima efficacia, e’ necessaria  la  preventiva messa  in  opera,  ovvero  implementazione,  da  parte  dei  soggetti pubblici interessati, di alcune indispensabili misure che di  seguito vengono indicate e, nello specifico, di:      un censimento dei sistemi, apparati, piattaforme, applicazioni  e flussi di dati utilizzati nello svolgimento delle proprie  attivita’, oltre che dei fornitori e/o partner  terzi  di  sistemi  informatici, componenti e servizi utilizzati;      un documento  in  cui  siano  definiti  ruoli  e  responsabilita’ inerenti alla cybersicurezza,  sia  del  personale  interno,  sia  di eventuali terze parti che supportano  l’amministrazione,  comprensivo dell’individuazione, tra il proprio personale, di un  incaricato  per la cybersicurezza (quale  punto  di  contatto  cyber  ai  fini  delle comunicazioni e del necessario raccordo con l’ACN) e di un  referente tecnico per la cybersicurezza  (da  identificarsi  tra  il  personale responsabile della gestione operativa dei sistemi IT);      piani per la gestione delle vulnerabilita’, dei backup  dei  dati necessari per l’esercizio delle proprie funzioni essenziali,  nonche’ del ciclo di  vita  dei  sistemi,  delle  identita’  e  dei  relativi permessi;      un piano di risposta in caso  di  incidente,  nel  quale  vengano puntualmente definite le  articolazioni  interne  che  –  in  stretto raccordo con l’incaricato per la cybersicurezza (ove non direttamente dipendenti dallo stesso) – sono preposte  all’attuazione  del  piano, definendone le competenze decisionali, finanziarie e  tecniche,  onde adeguatamente fronteggiare un incidente cibernetico.    Nondimeno, anche nelle more della piena attuazione dei  presupposti  del modello collaborativo di cui sopra, dovranno intervenire  fin  da subito intese speditive per la provvisionale definizione delle misure prioritarie e urgenti volte alla mitigazione del rischio cibernetico, in primis tra l’ACN e le amministrazioni rappresentate  nel  Comitato interministeriale per la cybersicurezza.    L’ACN avra’ cura di monitorare, anche in  seno  al  nucleo  per  la cybersicurezza,  lo  stato  di  attuazione  e  implementazione  della presente   direttiva,   onde   poterne   successivamente    informare l’Autorita’ delegata.

[4] vv) reti di comunicazione elettronica: i sistemi di trasmissione, basati o meno su un’infrastruttura permanente o una capacità di amministrazione centralizzata e, se del caso, le apparecchiature di commutazione o di instradamento e altre risorse, inclusi gli elementi di rete non attivi, che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, comprese le reti satellitari, le reti mobili e fisse (a commutazione di circuito e a commutazione di pacchetto, compresa internet), i sistemi per il trasporto via cavo della corrente elettrica, nella misura in cui siano utilizzati per trasmettere i segnali, le reti utilizzate per la diffusione radiotelevisiva e le reti televisive via cavo, indipendentemente dal tipo di informazione trasportato;

[5] Art. 8 Rafforzamento della resilienza delle pubbliche amministrazioni e referente per la cybersicurezza

1. I soggetti di cui all’articolo 1, comma 1, individuano, ove non sia già presente, una struttura, anche tra quelle esistenti, nell’ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente, che provvede:

a) allo sviluppo delle politiche e delle procedure di sicurezza delle informazioni;

b) alla produzione e all’aggiornamento di sistemi di analisi preventiva di rilevamento e di un piano per la gestione del rischio informatico;

c) alla produzione e all’aggiornamento di un documento che definisca i ruoli e l’organizzazione del sistema per la sicurezza delle informazioni dell’amministrazione;

d) alla produzione e all’aggiornamento di un piano programmatico per la sicurezza di dati, sistemi e infrastrutture dell’amministrazione;

e) alla pianificazione e all’attuazione di interventi di potenziamento delle capacità per la gestione dei rischi informatici, in coerenza con i piani di cui alle lettere b) e d);

f) alla pianificazione e all’attuazione dell’adozione delle misure previste dalle linee guida per la cybersicurezza emanate dall’Agenzia per la cybersicurezza nazionale;

g) al monitoraggio e alla valutazione continua delle minacce alla sicurezza e delle vulnerabilità dei sistemi per il loro pronto aggiornamento di sicurezza.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

AI Umani

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

sicurezza informatica
Le misure di sicurezza informatica declinata attraverso le prescrizioni contenute nel Piano triennale AGID per l’informatica nella P.A., 2024-2026.
25 Marzo 2025
La protezione dei dati. Diritto fondamentale dell'uomo
La protezione dei dati. Diritto fondamentale dell’uomo.
6 Aprile 2021
phishing
il phishing cosa è e come difendersi.
26 Gennaio 2024

Start typing and press Enter to search