Attacchi agli enti di cybersicurezza: obbligo di notifica entro 72 ore

Per meglio comprendere l'ambito di operatività della norma approvata dal Senato il 13 settembre, è opportuno fare una rapida panoramica sul Perimetro di Sicurezza Nazionale Cibernetica (PSNC) e sui soggetti che sono stati chiamati a operare per difendere la sicurezza nazionale cibernetica.

Istituito con il DL 105/2019, il PSNC ha lo scopo di assicurare un elevato livello di sicurezza delle reti, dei sistemi informativi e di quelli informatici di alcune pubbliche amministrazioni e di aziende private opportunamente individuate in determinati settori ritenuti più “sensibili” e per i quali è necessario prevedere un livello di sicurezza maggiore. Tra questi settori emergono ad esempio la difesa, le telecomunicazioni, i sistemi bancari, finanziari ed i trasporti. 

I soggetti che rientrano in questo gruppo pertanto devono adottare requisiti di sicurezza e procedurali più stringenti rispetto ad organizzazioni non rientranti all'interno del perimetro, oltre a dichiarare quali sono gli asset tecnologici da includere nel Perimetro.

Altro elemento importante è il carattere di segretezza: solo le Pubbliche Amministrazioni e le Aziende individuate e rientranti all'interno del perimetro, ne sono a conoscenza. Dall'esterno, infatti, non è dato sapere quali siano i soggetti presenti nella lista, nonché le relative funzioni essenziali o servizi essenziali svolti.

Il quadro normativo del perimetro di sicurezza nazionale cibernetica è stato poi perfezionato, negli anni a seguire, da quattro decreti ministeriali l'ultimo dei quali, il DPCM n. 18 maggio 2022, ha completato lo scudo cibernetico a difesa delle infrastrutture critiche italiane stabilendo i dettagli utili all'accreditamento dei laboratori accreditati di prova (LAP) a supporto del Centro di valutazione e certificazione nazionale (CVCN).

Gli altri soggetti: ANC, CSIRT e CVCN

In tale contesto, acquisisce particolare rilievo la già citata Agenzia Nazionale per la Cybersicurezza(ANC) istituita dal governo Draghi con DL 82/2021, convertito, con modificazioni, nella Legge 109/2021.

All'ACN sono stati affidati compiti di resilienza e sicurezza in ambito informatico anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico, al fine di assicurare il coordinamento tra i soggetti pubblici coinvolti nella materia. La stessa, inoltre, attraverso il Computer Security Incident Response Team (CSIRT) e l'avvio operativo del Centro di Valutazione e Certificazione Nazionale (CVCN), assume la funzione di interlocutore unico nazionale per i soggetti pubblici e privati in materia di PSNC, confermando così il suo ruolo determinante nella garanzia e salvaguardia della sicurezza nazionale.

L'attuale contesto

A seguito dello scoppio del conflitto in Ucraina, si è assistito a un aumento esponenziale degli attacchi cyber nei confronti di reti, sistemi e servizi informatici di attori pubblici e privati nazionali tanto da rendere necessaria una riunione, lo scorso 2 settembre, dell'Agenzia per la Cybersicurezza Nazionale (ACN) che ha rilevato l'esistenza di <<diverse campagne globali di tipo DDoS e intrusivo, nell'ambito delle quali l'Italia risulta essere un target particolarmente colpito>>. In particolare, gli obiettivi sono sempre più spesso <<le principali aziende del settore energetico, ma anche tutta la catena di approvvigionamento e di distribuzione dei prodotti o servizi ad esse connesse>>.

In particolare, l'Italia è diventata target particolarmente appetibile dei cybercriminali come dimostrato dal recente attacco al gigante petrolifero ENI, al gruppo energetico Canarbino e al Gestore italiano dei Servizi Energetici (Gse s.p.a.).

Diventa quindi indispensabile monitorare, con sempre maggiore puntualità, il quadro delle minacce e delle contromisure, onde evitare il riproporsi di scenari drammatici simili all'attacco ransomware sferrato nel maggio del 2021 dal gruppo DarkSide ai danni di Colonial Pipeline Company, il più grande oleodotto di carburante negli Stati Uniti.

La novità introdotta

Va in questa direzione, dunque, quanto disposto dall'art. 37-ter DL 115/2022 (Decreto Aiuti bis), approvato dal Senato nella seduta dello scorso 13 settembre.

La norma modifica l'art. 1 Legge 133/2019 – che converte in legge il DL 105/2019 recante disposizioni urgenti in materia di Perimetro nazionale di sicurezza cibernetica (PSNC) – introducendo con il comma 3-bis l'obbligo di notifica entro72 ore degli incidenti di sicurezza aventi impatto su reti, sistemi informativi e servizi informatici di propria pertinenza diversi da quelli che riguardano direttamente i beni specificamente inseriti nel Perimetro stesso.

Gli incidenti cui fa riferimento l'art. 37-ter sono quelli individuati dall'art. 1, c. 1 lett. h), DPCM 14 aprile 2021, vale a dire: “[…] ogni evento di natura accidentale o intenzionale che determina il malfunzionamento, l'interruzione, anche parziali, ovvero l'utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici”.

Restano esclusi quelli aventi impatto sui servizi informatici del Ministero della difesa, per cui si applicano diverse modalità previste dalla legge.

Le modalità di notifica

Per le modalità di notifica, i soggetti come Pubbliche Amministrazioni e operatori pubblici e privati - già facenti parte del PSNC - dovranno attenersi a quanto indicato dall'art. 3, c. 4, DPCM 14 aprile 2021, vale a dire “tramite appositi canali di comunicazione del CSIRT italiano [Computer security incident response team, istituito presso il Dipartimento delle informazioni per la sicurezza della Presidenza del Consiglio dei ministri – n.d.r.]”. Uno specifico decreto direttoriale dell'ACN fornirà successive indicazioni circa la classificazione degli incidenti che debbono essere oggetto di notifica, ed eventuali ulteriori specifiche modalità di notifica.