Vediamo ogni giorno organizzazioni pubbliche o private alle prese con gravi incidenti informatici, con ransomware, data breach e perdite di dati. Come affrontare un incidente e, in particolare, il processo di notifica dello stesso all’ACN? Per rispondere a questa domanda, l’Agenzia per la Cybersicurezza Nazionale ha pubblicato la “Guida alla notifica degli incidenti al CSIRT Italia”.
Scopo della guida è indicare una corretta procedura di notifica degli incidenti cibernetici. Sapere come muoversi in caso di attacco cyber costituisce infatti un elemento cruciale nel garantire capacità efficace di risposta, e quindi, sicurezza e resilienza delle reti, dei sistemi informativi e dei servizi informatici.
A chi si rivolge la guida
La Guida pubblicata da ACN fornisce dettagliate istruzioni per i diversi soggetti, pubblici e privati, tenuti per legge alla notifica degli incidenti, soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica (PSNC), quelli operanti in ambito NIS e Telco, cui si aggiungono quelle puntualmente rivolte alle entità oggi considerate dalla legge n. 90/2024.
Le linee guida si rivolgono anche ai soggetti, pubblici e privati che, pur non essendo obbligati alla notifica intendono tuttavia, volontariamente segnalare l’incidente allo CSIRT, in questo modo contribuendo a una migliore condivisione della conoscenza del livello e dell’intensità della minaccia, per rafforzare la resilienza dell’ecosistema digitale italiano.
Quali sono i compiti del CSIRT
Il CSIRT Italia è il centro operativo all’interno dell’Agenzia per la Cybersicurezza Nazionale (ACN) incaricato delle azioni di preparazione, prevenzione, coordinamento e risposta agli eventi e incidenti informatici con impatto, effettivo o potenziale, sul territorio nazionale. Il CSIRT Italia assume quindi il ruolo di:
- Punto di riferimento per le notifiche degli incidenti occorsi in danno di tutte le infrastrutture digitali della pubblica amministrazione e private, con particolare riferimento alle notifiche previste ai sensi di legge; quindi, i soggetti visti in precedenza;
- Membro della rete composta dai CSIRT europei (CSIRT Network) che ha quale finalità quella di contribuire a sviluppare la fiducia tra gli Stati membri dell’UE e promuovere la cooperazione operativa in ambito internazionale.
Qual è il flusso informativo di un processo di notifica
Il flusso informativo verso ACN-CSIRT Italia si snoda nelle seguenti fasi:
- PREPARAZIONE ALLA NOTIFICA. A seguito della rilevazione di un incidente, il soggetto segnalante avvia una fase preparatoria alla notifica con l’obiettivo di raccogliere le informazioni minime per garantire che la comunicazione permetta al CSIRT Italia un’attivazione proporzionata alla potenziale criticità ed ai potenziali impatti di natura sistemica derivanti dall’incidente stesso. Rientrano in tale fase le attività di preparazione della segnalazione dell’incidente, ove prevista.
- NOTIFICA AL CSIRT ITALIA. Una volta raccolte le informazioni necessarie ad effettuare la segnalazione, ove prevista, e/o la notifica, si potrà procedere alla compilazione di un modulo online disponibile sul sito internet del CSIRT Italia (https://www.csirt.gov.it/segnalazione );
- GESTIONE DELLA NOTIFICA. Dopo aver ricevuto la segnalazione, ove prevista, e/o la notifica, sulla base del livello di servizio previsto per la specifica categoria di soggetto segnalante, il CSIRT Italia, compatibilmente con le risorse a disposizione e la criticità del soggetto segnalante, valuterà l’opportunità di fornire supporto nelle operazioni di incident handling, da remoto o in loco. Durante questa fase, in base alla tipologia del soggetto segnalante e alla normativa vigente, su richiesta del CSIRT Italia potranno essere effettuate ulteriori attività anche a seguito della risoluzione dell’incidente.
- CHIUSURA DELL’INCIDENTE. Una volta terminate le attività di gestione dell’incidente da parte del soggetto segnalante ed eventualmente pianificate le attività di rientro dell’incidente, il CSIRT Italia procederà alla chiusura dell’incidente.
Se questo vale a grandi linee per tutti, la guida articola poi, in sezioni chiave dedicate a ciascuna tipologia di soggetto segnalante, sulla base del contesto normativo di riferimento, quali sono le specifiche tempistiche da rispettare e relative sanzioni per il mancato adempimento nonché una descrizione delle fasi in cui si articola il flusso di processo per i diversi operatori.
Il processo di notifica previsto, ad esempio, per gli operatori Telco
Prendendo ad esempio il caso degli operatori TLC, nella guida si specifica:
- Riferimenti normativi: L’articolo 40, comma 3, lettera b, del D.lgs. n. 259/2003, stabilisce l’obbligo di notifica per i soggetti TELCO al fine di garantire un adeguato livello di sicurezza e una maggiore resilienza delle reti e dei sistemi nazionali.
- Definizione di incidente: Per i soggetti TELCO, un incidente di sicurezza è “un evento con un reale effetto pregiudizievole per la sicurezza delle reti o dei servizi di comunicazione elettronica” (art. 2, comma 1, lett. u, del D.lgs. n. 259/2003).
- Obbligatorietà: In accordo all’articolo 5, comma 2 del D.M. TELCO un incidente, considerato significativo, deve essere notificato obbligatoriamente al CSIRT Italia (entro 24 ore) sulla base di
- Durata del disservizio
- Percentuale di utenti colpiti
come specificato nella tabella successiva.
Scarica la Guida alla notifica degli incidenti al CSIRT Italia dell’ACN.