Il decreto uscito in Gazzetta Ufficiale il 10 gennaio sul tema data breach e Perimetro Nazionale di Sicurezza Cibernetica è un’importante novità in tema di notifica degli incidenti di sicurezza.
Le novità del decreto su data breach
Difatti, il comma 3-bis (inserito dal decreto all’interno dell’articolo 1 del decreto-legge 21 settembre 2019 n. 105 recante Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica stabilisce che i soggetti facenti parte del già esistente Perimetro di sicurezza nazionale cibernetica (PSNC), dovranno notificare entro 72 ore gli incidenti “aventi impatto su reti, sistemi informativi e servizi informatici di propria pertinenza” diversi da quelli che riguardano direttamente i beni specificamente inseriti nel Perimetro stesso.
Incidenti informatici, ecco i nuovi obblighi di notifica che rafforzano il Perimetro cyber
In proposito, un’importante novità è rappresentata dalla recentissima pubblicazione della determinazione tecnica del Direttore Generale dell’ACN contenente la tassonomia degli incidenti che devono essere oggetto di notifica, ai sensi del sopracitato comma 3-bis, in modo da rendere più agevole la notifica e il processo di valutazione degli impatti.
In tal senso, occorre osservare un’analogia con il GDPR. Difatti, anche l’art. 33 del Regolamento (Ue) 2016/679 prevede lo stesso termine di segnalazione di un data breach all’Autorità Garante per la protezione dei dati personali. Nello specifico, il titolare del trattamento deve senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, notificare la violazione al Garante privacy, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche. Inoltre, il GDPR prevede che qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore deve essere corredata dei motivi del ritardo.
- Quello che emerge è quindi un’inevitabile contaminazione tra le diverse normative in tema di data protection e cybersecurity e tale circostanza richiede la creazione di un efficiente processo di coordinamento tra le disposizioni. Il tutto, allo scopo di evitare pericolose sovrapposizioni e incongruenze.
- In secondo luogo, la necessità di agire tempestivamente contro gli incidenti di sicurezza e frenare così la pericolosa “ascesa” dei cybercriminali, ha fatto sorgere delle discussioni in merito all’esigenza di creare un equilibrio, a livello mondiale, tra le procedure di reporting di un data breach. In proposito, con la Direttiva NIS 2 (Direttiva Ue 2022/2555) è stata introdotta la rete europea dell’organizzazione di collegamento per le crisi informatiche, cosiddetta Eu–CyClone, con l’obiettivo di sostenere la gestione coordinata degli incidenti di sicurezza informatica su larga scala.
Queste novità si collocano in un periodo di proliferazione degli attacchi cyber, le cui conseguenze travalicano il mero panorama digitale, dal momento che risultano avere impatti significativi sulla sicurezza delle persone e sulla tenuta stessa dei sistemi democratici. Ciò rende, quindi, sempre più impellente la predisposizione di una strategia di cybersicurezza rafforzata ed efficace.
Il decreto 10 gennaio in cinque punti
Una nota dell’Agenzia per la cybersecurity spiega i punti principali del decreto appena approvato.
- Al fine di rafforzare il Perimetro di Sicurezza Nazionale Cibernetica è stato esteso l’ambito delle notifiche obbligatorie in caso di incidenti informatici.
- In base al provvedimento, pubblicato nella Gazzetta Ufficiale del 10 gennaio, anche un tentativo di accesso agli altri beni “informatici” rispetto a quelli protetti dal Perimetro è da segnalare al Computer Security Incident Response Team (CSIRT Italia) dell’Agenzia per la Cybersicurezza Nazionale – ACN.
- L’ACN, pertanto, ha elaborato una tassonomia di tale ulteriore tipologia di incidenti informatici per renderne più agevole la notifica e il processo di valutazione degli impatti.
- A differenza del percorso di notifica dei beni conferiti sotto il Perimetro, le cui tempistiche vanno da 1 a 6 ore in relazione al tipo di evento, gli incidenti di cui sopra potranno essere notificati entro 72 ore (3 gg).
- Obiettivo della tassonomia è quello di fornire un’assistenza più rapida ed efficace ai soggetti perimetro attaccati e valutare in anticipo potenziali effetti sistemici e possibili spillover su asset conferiti nel perimetro dal soggetto.
