Attacchi informatici in tempo reale: obbligatoria la denuncia entro un’ora

Continua il percorso di adeguamento del nostro Paese verso un sistema più efficace di sicurezza ICT, che, tra l’altro, si ispira ai principi fondamentali del Regolamento europeo sulla protezione dei dati personali n. 2016/679.

 

In caso di attacco informatico, non c’è tempo da perdere

L’allarme deve scattare entro un’ora dalla scoperta. Nei casi meno gravi si può arrivare al massimo a sei ore. É ciò che prevede il nuovo Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici che dovrà essere sottoposto al vaglio del Parlamento.

 

La notifica e il quadro normativo

L’ultimo anno di pandemia ha messo a dura prova le infrastrutture ICT del Paese, che in molti casi hanno rappresentato l’unico “collegamento” a fronte del distanziamento forzato. Una situazione che ha destato una nuova attenzione nei riguardi della sicurezza informatica e dei possibili danni derivati da attacchi “hacker” o presunti tali. Il nuovo Regolamento porta con sé una svolta fondamentale, poiché può essere considerato un cyber attacco anche solo un’interruzione di energia o una violazione di un database.

 

Alcune anticipazioni del nuovo scenario

L’incidente va notificato al CSIRT (computer security incident response team) del DIS (Dipartimento informazioni e sicurezza) della Presidenza del Consiglio. In caso di soggetti pubblici, il Dis invia poi le notifiche al ministero dell’Interno; se sono privati, al dicastero dello Sviluppo Economico.

La novità rilevante è la breve tempistica di notifica prevista per i gravi attacchi informatici: il Regolamento prevede che l’Ente abbia il compito di ripristinare e comunicare quanto accaduto mediante una relazione tecnica al Dis. La normativa di riferimento fa capo all’attuazione del decreto-legge 21 settembre 2019 n.105, convertito con modificazioni dalla legge 18 novembre 2019, n. 133, che definisce:

  • le finalità del perimetro e le modalità di individuazione dei soggetti pubblici e privati che ne fanno parte, nonché delle rispettive reti, sistemi informativi e servizi informatici rilevanti per le finalità di sicurezza nazionale cibernetica;
  • il coinvolgimento del Comitato interministeriale per la sicurezza della Repubblica (CISR) nella fase attuativa;
  • l’istituzione di un meccanismo teso ad assicurare un procurement più sicuro per i soggetti inclusi nel perimetro che intendano procedere all’affidamento di forniture di beni e servizi di information and communication technology (ICT) destinati a essere impiegati sulle reti, sui sistemi e per i servizi rilevanti;

 

(prime) Conclusioni

Il quadro normativo che si sta delineando attraverso questi rilevanti interventi del legislatore contribuisce indubbiamente ad attivare quella fondamentale cultura della sicurezza. Difatti, al fine di realizzare gli indirizzi operativi dello stesso piano nazionale della sicurezza cibernetica i fattori cruciali restano il rafforzamento della collaborazione tra settore privato, amministrazioni ed istituzioni locali, una maggiore promozione della cultura della sicurezza informatica ed il pieno supporto dello sviluppo industriale e tecnologico del Paese.

Si attende ora il lavoro del Parlamento, Camera e Senato al fine di delineare in maniera definitiva il Regolamento.

E-learning: Data Protection Officer

realizzato in collaborazione con Euroconference

Il percorso intende fornire ai partecipanti una preparazione manageriale completa e multidisciplinare secondo quanto previsto dal GDPR – Regolamento UE 679/2016 per la protezione dei dati personali.

Il ruolo di DPO può essere rivestito da una persona fisica, da un’organizzazione o da un team, in possesso di idonee competenze professionali. Ai sensi all’art. 37, par. 6 del Regolamento, il Responsabile della Protezione dei dati: “può essere un dipendente del Titolare del trattamento o del Responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi”.

Il Percorso Professionalizzante “Data Protection Officer” è organizzato da Euroconference e Digital & Law Department con il patrocinio di ANORC Professioni.