contattaci  Richiedi un preventivo on-line o contattaci per informazioni                  Seguici su: Bottone da cliccare per seguirci su Twitter Bottone da cliccare per seguirci su Linkedin Bottone da cliccare per iscriverti alla Newsletter

SERVIZI OFFERTI

Servizi legali

Assistenza giudiziale e stragiudiziale in materia ambientale

Consulenza normativa

Consulenza giuridica ambiente e sicurezza, Audit di conformità

Consulenza certificazioni

Consulenza Sistemi di gestione e Certificazioni di prodotto

Servizi online

Pareri giuridici on-line, Servizio di aggiornamento normativo


News / Nazionali / Sicurezza informatica

18-06-2021

Sicurezza informatica - Nuove disposizioni in materia di Cybersicurezza nazionale

Nel mese di giugno sono state pubblicate alcune disposizioni in materia di cybersicurezza a completamento della strategia di cyber-resilienza nazionale avviata con la disciplina sul perimetro cibernetico.

In particolare, sono stati pubblicati:

  • nella GU del 14-06-2021, n. 140 il Decreto Legge 14 giugno 2021, n. 82 “Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale”,
  • nel sito del Governo il Comunicato su “Cyber: aggiornato l’elenco dei soggetti del “perimetro di sicurezza cibernetica nazionale”,
  • nella GU dell’11-06-2021, n. 138 il DPCM 14 aprile 2021, n. 81 “Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all'articolo 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza”.

Il decreto-legge n. 82/2021 completa la strategia di cyber-resilienza nazionale, avviata con la disciplina sul perimetro cibernetico (istituito dall’art. 1, c. 1, Dl 105/2019), e accresce, attraverso la promozione della cultura della sicurezza cibernetica, la consapevolezza del settore pubblico, privato e della società civile sui rischi e le minacce cyber.

L’Agenzia per la cybersicurezza nazionale (ACN), prevista dal DL, opererà sotto la responsabilità del Presidente del Consiglio dei ministri e dell’Autorità delegata per la sicurezza della Repubblica e in stretto raccordo con il Sistema di informazione per la sicurezza della Repubblica e sarà tra l’altro incaricata di:

  • esercitare le funzioni di Autorità nazionale in materia di cybersecurity, a tutela degli interessi nazionali e della resilienza dei servizi e delle funzioni essenziali dello Stato da minacce cibernetiche;
  • sviluppare capacità nazionali di prevenzione, monitoraggio, rilevamento e mitigazione, per far fronte agli incidenti di sicurezza informatica e agli attacchi informatici, anche attraverso il Computer Security Incident Response Team (CSIRT) italiano e l’avvio operativo del Centro di valutazione e certificazione nazionale;
  • contribuire all’innalzamento della sicurezza dei sistemi di Information and communications technology (ICT) dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica, delle pubbliche amministrazioni, degli operatori di servizi essenziali (OSE) e dei fornitori di servizi digitali (FSD);
  • supportare lo sviluppo di competenze industriali, tecnologiche e scientifiche, promuovendo progetti per l’innovazione e lo sviluppo e mirando a stimolare nel contempo la crescita di una solida forza di lavoro nazionale nel campo della cybersecurity in un’ottica di autonomia strategica nazionale nel settore;
  • assumere le funzioni di interlocutore unico nazionale per i soggetti pubblici e privati in materia di misure di sicurezza e attività ispettive negli ambiti del perimetro di sicurezza nazionale cibernetica, della sicurezza delle reti e dei sistemi informativi (direttiva NIS), e della sicurezza delle reti di comunicazione elettronica.

Inoltre, il decreto istituisce il Comitato interministeriale per la cybersicurezza (CIC) e prevede specifici poteri di controllo da parte del Comitato parlamentare per la sicurezza della Repubblica (COPASIR).

Infine, quale tempestivo adeguamento alla normativa europea, il Governo ha individuato l’Agenzia quale Centro nazionale di coordinamento italiano, che si interfaccerà con il “Centro europeo di competenza per la cybersicurezza nell'ambito industriale, tecnologico e della ricerca” di recente istituzione, concorrendo ad aumentare l’autonomia strategica europea nel settore.

Il Comunicato del Governo del 15 giugno 2021 - relativo sempre al tema della Cybersicurezza - riporta la notizia dell’aggiornamento dell’elenco dei soggetti del “perimetro di sicurezza cibernetica nazionale”.

Il Presidente del Consiglio a seguito della proposta formulata dal Comitato interministeriale per la sicurezza della Repubblica, ha firmato nella stessa data del comunicato, l’aggiornamento dell’elenco dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica. È stato, così, previsto un allargamento dell’ambito di applicazione del perimetro ad ulteriori soggetti pubblici e privati che, complessivamente, esercitano, attraverso reti, sistemi informativi e servizi informatici, 223 funzioni essenziali dello Stato, ovvero erogano servizi essenziali per il mantenimento di attività civili, sociali o economiche strategiche. Allo stesso tempo, si è provveduto ad un affinamento di alcune funzioni e servizi essenziali dello Stato già ricompresi nel perimetro.

Nei prossimi giorni, il Dipartimento delle informazioni per la sicurezza provvederà a darne comunicazione agli interessati che, entro sei mesi, saranno tenuti a comunicare le reti, i sistemi informativi ed i servizi informatici che impiegano rispettivamente per l’erogazione delle funzioni e dei servizi essenziali dello Stato inclusi nel perimetro.

Si alza, quindi, ulteriormente il livello di resilienza cibernetica degli attori maggiormente sensibili ai fini della sicurezza nazionale. Dal prossimo 23 giugno, il perimetro di sicurezza nazionale cibernetica inizierà ad essere “operativo” nei confronti dei soggetti inseriti il 22 dicembre scorso. Questi ultimi saranno, quindi, tenuti ad applicare le previste misure di sicurezza e a notificare allo CSIRT italiano gli eventuali incidenti che si dovessero verificare.

La lista delle misure di sicurezza e la tassonomia degli incidenti per cui il soggetto è tenuto a notificare sono state invece inserite nel DPCM 81/2021: per permettere una adeguata organizzazione ai soggetti inclusi nel perimetro per ottemperare alle procedure di notifica di incidenti, queste ultime procederanno in via sperimentale fino al 31 Dicembre 2021.

Infatti, il DPCM n. 81/2021 definisce le modalità per la notifica nel caso di incidenti riguardanti beni ITC e le misure di sicurezza da adottare (bene ITC: insieme di reti, sistemi informativi e servizi informatici, o parti di essi) e le misure volte a garantire elevati livelli di sicurezza.

Pertanto, dal 1° gennaio 2022, i soggetti inclusi nel perimetro, al verificarsi di uno degli incidenti avente impatto su un bene ICT di rispettiva pertinenza individuati nelle tabelle (Allegato A), devono procedere alla notifica al CSIRT italiano secondo le modalità previste dal regolamento (art. 3).

Sito internet: Governo

◊ Vai alla Sezione Consulenza Area Normativa …>>

 


Newsletter
ISCRIVITI
gratuitamente per
ricevere le novità
pubblicate nel sito
StudioBrancaleone.it