Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all'articolo 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 no

Nelle tabelle n. 1 e n. 2 dell'allegato A al presente regolamento sono classificati, in categorie, gli incidenti aventi impatto sui beni ICT. Nella tabella n. 1 sono indicati gli incidenti meno gravi e nella tabella n. 2 quelli piu' gravi. Tale classificazione e' funzionale alla diversa tempistica necessaria per una risposta efficace.

Nelle tabelle di cui al comma 1, per ciascuna tipologia di incidente, sono indicati un codice identificativo e la corrispondente categoria, accompagnata dalla descrizione di ciascuna tipologia di incidente.

Dal 1° gennaio 2022, i soggetti inclusi nel perimetro, al verificarsi di uno degli incidenti avente impatto su un bene ICT di rispettiva pertinenza individuati nelle tabelle di cui all'allegato A, procedono alla notifica al CSIRT italiano secondo le modalita' di cui al presente regolamento.

Dalla data di trasmissione degli elenchi dei beni ICT effettuata ai sensi dell'articolo 1, comma 2, lettera b), del decreto-legge, ovvero, qualora la trasmissione sia avvenuta in una data antecedente a quella di entrata in vigore del presente regolamento, da quest'ultima data, e sino al 31 dicembre 2021, i soggetti inclusi nel perimetro procedono, in via sperimentale, alle notifiche di cui al comma 1, secondo le modalita' di cui al comma 4.

I soggetti inclusi nel perimetro procedono alla notifica di cui ai commi 1 e 2 anche nei casi in cui uno degli incidenti individuati nelle tabelle di cui all'allegato A si verifichi a carico di un sistema informativo o un servizio informatico, o parti di essi, che, anche in esito all'analisi del rischio di cui all'articolo 7, comma 2, del DPCM n. 131 del 2020, condivide con un bene ICT funzioni di sicurezza, risorse di calcolo o memoria, ovvero software di base, quali sistemi operativi e di virtualizzazione.

I soggetti inclusi nel perimetro effettuano la notifica di cui ai commi 1, 2 e 3 entro sei ore, qualora si tratti di un incidente individuato nella tabella 1 dell'allegato A, ed entro un'ora, qualora si tratti di un incidente individuato nella tabella 2 del medesimo allegato. I predetti termini decorrono dal momento in cui i soggetti inclusi nel perimetro sono venuti a conoscenza, a seguito delle evidenze ottenute, anche mediante le attivita' di monitoraggio, test e controllo di cui all'articolo 1, comma 3, lettera b), numero 6, del decreto-legge, effettuate sulla base delle misure di sicurezza di cui all'allegato B, di un incidente riconducibile a una delle tipologie individuate nell'allegato A. La notifica e' effettuata tramite appositi canali di comunicazione del CSIRT italiano aventi i requisiti di cui al punto 1, lettera a), dell'allegato I, del decreto legislativo n. 65 del 2018, e secondo le modalita' definite dal CSIRT italiano e rese disponibili sul sito Internet del CSIRT italiano.

Qualora il soggetto incluso nel perimetro venga a conoscenza di nuovi elementi significativi, tra cui le specifiche vulnerabilita' sfruttate, la rilevazione di eventi comunque correlati all'incidente oggetto di notifica, ovvero gli indicatori di compromissione (IOC) rilevati, la notifica di cui al comma 1 e' integrata tempestivamente dal momento in cui il soggetto incluso nel perimetro ne e' venuto a conoscenza, salvo che l'autorita' giudiziaria procedente abbia previamente comunicato la sussistenza di specifiche esigenze di segretezza investigativa.

Dal 1° gennaio 2022, i soggetti di cui agli articoli 12 e 14 del decreto legislativo n. 65 del 2018, con la notifica di cui al presente articolo comunicano che la stessa, ai sensi dell'articolo 1, comma 8, lettera b), del decreto-legge, costituisce anche adempimento dell'obbligo di notifica di cui, rispettivamente, agli articoli 12, comma 5, indicando a tal fine l'autorita' competente NIS di cui all'articolo 7 del decreto legislativo n. 65 del 2018 alla quale la notifica deve essere inoltrata, e 14, comma 4, del decreto legislativo n. 65 del 2018. I soggetti di cui all'articolo 16-ter, comma 2, del decreto legislativo n. 259 del 2003, con la notifica di cui al presente articolo, comunicano che la stessa, ai sensi dell'articolo 1, comma 8, lettera b), del decreto-legge, costituisce anche adempimento dell'obbligo previsto ai sensi dell'articolo 16-ter del decreto legislativo n. 259 del 2003 e delle correlate disposizioni attuative. Restano fermi, per le notifiche degli incidenti non rientranti nell'ambito di applicazione del decreto-legge, gli obblighi e le procedure di notifica previsti dal decreto legislativo n. 65 del 2018 e dal decreto legislativo n. 259 del 2003.

Su richiesta del CSIRT italiano, il soggetto incluso nel perimetro che ha proceduto a effettuare una notifica ai sensi dei commi 1, 2 e 3 provvede, tramite i canali di comunicazione di cui al comma 4 ed entro sei ore dalla richiesta, a effettuare un aggiornamento della notifica, salvo che l'autorita' giudiziaria procedente abbia previamente comunicato la sussistenza di specifiche esigenze di segretezza investigativa.

Una volta definiti e avviati i piani di attuazione delle attivita' per il ripristino dei beni ICT impattati dall'incidente oggetto di notifica, il soggetto incluso nel perimetro che ha proceduto a effettuare una notifica ai sensi dei commi 1, 2 e 3, tramite i canali di comunicazione di cui al comma 4, ne da' tempestiva comunicazione al CSIRT italiano e trasmette, altresi', su richiesta del CSIRT italiano ed entro trenta giorni dalla stessa richiesta, una relazione tecnica che illustra gli elementi significativi dell'incidente, tra cui le conseguenze dell'impatto sui beni ICT derivanti dall'incidente e le azioni intraprese per porvi rimedio, salvo che l'autorita' giudiziaria procedente abbia previamente comunicato la sussistenza di specifiche esigenze di segretezza investigativa.

I soggetti inclusi nel perimetro assicurano che dell'avvenuta notifica sia fornita notizia all'articolazione per l'implementazione del perimetro prevista nell'ambito delle misure di sicurezza di cui alla sottocategoria 2.1.4 (ID.AM-6) dell'allegato B, ed in particolare all'incaricato e al referente tecnico di cui alla medesima sottocategoria.

Sino al 31 dicembre 2021, restano fermi per i soggetti inclusi nel perimetro, che effettuano, ai sensi del comma 2, le notifiche in via sperimentale, gli obblighi di notifica di cui agli articoli 12, comma 5, e 14, comma 4, del decreto legislativo n. 65 del 2018, nonche' quelli previsti ai sensi dell'articolo 16-ter del decreto legislativo n. 259 del 2003 e delle correlate disposizioni attuative.

Al di fuori dei casi di cui all'articolo 3, i soggetti inclusi nel perimetro possono notificare, su base volontaria, gli incidenti, relativi ai beni ICT, non indicati nelle tabelle di cui all'allegato A, ovvero gli incidenti, indicati nelle tabelle di cui all'allegato A, relativi a reti, sistemi informativi e servizi informatici di propria pertinenza diversi dai beni ICT. La notifica e' effettuata tramite appositi canali di comunicazione del CSIRT italiano aventi i requisiti di cui al punto 1, lettera a), dell'allegato I, del decreto legislativo n. 65 del 2018, e secondo le modalita' definite dal CSIRT italiano e rese disponibili sul sito Internet del CSIRT italiano.

Le notifiche volontarie sono trattate dal CSIRT italiano in subordine a quelle obbligatorie e qualora tale trattamento non costituisca un onere sproporzionato o eccessivo.

La notifica volontaria non puo' avere l'effetto di imporre al soggetto notificante alcun obbligo a cui non sarebbe stato sottoposto se non avesse effettuato tale notifica.

I soggetti inclusi nel perimetro assicurano che dell'avvenuta notifica sia fornita notizia all'articolazione per l'implementazione del perimetro prevista nell'ambito delle misure di sicurezza di cui alla sottocategoria 2.1.4 (ID.AM-6) dell'allegato B, ed in particolare all'incaricato e al referente tecnico di cui alla medesima sottocategoria.

Le notifiche volontarie, di cui all'articolo 4, sono trasmesse solo nel caso in cui siano state trattate.

Il CSIRT italiano, ai sensi dell'articolo 1, comma 8, lettera b), del decreto-legge, inoltra le notifiche ricevute dai soggetti inclusi nel perimetro, che siano identificati anche quali soggetti di cui agli articoli 12 e 14 del decreto legislativo n. 65 del 2018, all'autorita' competente NIS indicata ai sensi dell'articolo 3, comma 5.

Le modalita' di inoltro delle notifiche previste ai commi 1 e 2 possono essere concordate mediante apposite intese con ciascuna delle amministrazioni interessate e, tenuto anche conto di quanto previsto dall'articolo 8, comma 4, con il Ministero della difesa.

In materia di notifica degli incidenti relativi alle reti, ai sistemi informativi e ai servizi informatici attinenti alla gestione delle informazioni classificate, non inclusi nell'elenco dei beni ICT ai sensi dell'articolo 1, comma 2, lettera b), del decreto-legge, resta fermo quanto previsto dal regolamento adottato ai sensi dell'articolo 4, comma 3, lettera l), della legge n. 124 del 2007, e dalle correlate disposizioni attuative.

Le misure di sicurezza, articolate in funzioni, categorie, sottocategorie, punti e lettere, sono individuate nell'allegato B al presente regolamento. La corrispondenza tra le misure di sicurezza e gli ambiti elencati all'articolo 1, comma 3, lettera b), del decreto-legge, e' indicata nella tabella in appendice n. 1 dell'allegato B. Nella tabella in appendice n. 2 del medesimo allegato B e' indicata per ciascuna misura di sicurezza la corrispondente categoria di cui all'articolo 8, comma 1, lettera a), ovvero lettera b).

Modalita' e termini di adozione
delle misure di sicurezza

I soggetti di cui al comma 1, dopo l'avvenuta adozione delle misure di sicurezza di cui all'allegato B, ne danno tempestivamente comunicazione al DIS, descrivendo le relative modalita', mediante la piattaforma digitale costituita presso il DIS ai sensi dell'articolo 9, comma 1, del regolamento adottato con DPCM n. 131 del 2020.

Ai fini della comunicazione di cui al comma 2, il DIS predispone un apposito modello di cui da' informazione ai soggetti di cui al comma 1.

In ogni altro caso in cui un soggetto incluso nel perimetro abbia proceduto ad adeguare le misure di sicurezza adottate ai sensi del presente articolo, ne comunica, entro sei mesi, le relative modalita' con il modello di cui al comma 1.

Il DIS rende tempestivamente disponibili le comunicazioni ricevute ai sensi dei commi 1, 2 e 3 alla struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione e al Ministero dello sviluppo economico ai fini dello svolgimento delle rispettive attivita' di verifica e ispezione, fatta eccezione per quelle comunicazioni concernenti i beni ICT in relazione ai quali per le attivita' di ispezione e verifica sono competenti le strutture specializzate di cui all'articolo 1, comma 6, lettera c), terzo periodo, del decreto-legge.

Le misure di sicurezza di cui all'allegato C si applicano entro sessanta giorni dalla data di entrata in vigore del presente regolamento.

Resta ferma l'adozione, da parte dei soggetti inclusi nel perimetro, delle misure di sicurezza di livello piu' elevato di cui all'allegato B, entro i termini indicati dall'articolo 8.

In caso di attribuzione alle informazioni di cui al comma 1 di una classifica di segretezza, ai sensi dell'articolo 42 della legge n. 124 del 2007, si applicano le misure di sicurezza previste dalla normativa vigente in materia.

In materia di misure di sicurezza relative alle reti, ai sistemi informativi e ai servizi informatici attinenti alla gestione delle informazioni classificate, non inclusi nell'elenco dei beni ICT ai sensi dell'articolo 1, comma 2, lettera b), del decreto-legge, resta fermo quanto previsto dal regolamento adottato ai sensi dell'articolo 4, comma 3, lettera l), della legge n. 124 del 2007, e dalle correlate disposizioni attuative.

All'attuazione delle disposizioni di cui al presente decreto si provvede nei limiti delle risorse finanziarie, umane e strumentali disponibili a legislazione vigente e, comunque, senza nuovi o maggiori oneri a carico della finanza pubblica.