Art. 3
Notifica degli incidenti aventi impatto su beni ICT
1. Dal 1° gennaio 2022, i soggetti inclusi nel perimetro, al
verificarsi di uno degli incidenti avente impatto su un bene ICT di
rispettiva pertinenza individuati nelle tabelle di cui all'allegato
A, procedono alla notifica al CSIRT italiano secondo le modalita' di
cui al presente regolamento.
2. Dalla data di trasmissione degli elenchi dei beni ICT effettuata
ai sensi dell'articolo 1, comma 2, lettera b), del decreto-legge,
ovvero, qualora la trasmissione sia avvenuta in una data antecedente
a quella di entrata in vigore del presente regolamento, da
quest'ultima data, e sino al 31 dicembre 2021, i soggetti inclusi nel
perimetro procedono, in via sperimentale, alle notifiche di cui al
comma 1, secondo le modalita' di cui al comma 4.
3. I soggetti inclusi nel perimetro procedono alla notifica di cui
ai commi 1 e 2 anche nei casi in cui uno degli incidenti individuati
nelle tabelle di cui all'allegato A si verifichi a carico di un
sistema informativo o un servizio informatico, o parti di essi, che,
anche in esito all'analisi del rischio di cui all'articolo 7, comma
2, del DPCM n. 131 del 2020, condivide con un bene ICT funzioni di
sicurezza, risorse di calcolo o memoria, ovvero software di base,
quali sistemi operativi e di virtualizzazione.
4. I soggetti inclusi nel perimetro effettuano la notifica di cui
ai commi 1, 2 e 3 entro sei ore, qualora si tratti di un incidente
individuato nella tabella 1 dell'allegato A, ed entro un'ora, qualora
si tratti di un incidente individuato nella tabella 2 del medesimo
allegato. I predetti termini decorrono dal momento in cui i soggetti
inclusi nel perimetro sono venuti a conoscenza, a seguito delle
evidenze ottenute, anche mediante le attivita' di monitoraggio, test
e controllo di cui all'articolo 1, comma 3, lettera b), numero 6, del
decreto-legge, effettuate sulla base delle misure di sicurezza di cui
all'allegato B, di un incidente riconducibile a una delle tipologie
individuate nell'allegato A. La notifica e' effettuata tramite
appositi canali di comunicazione del CSIRT italiano aventi i
requisiti di cui al punto 1, lettera a), dell'allegato I, del decreto
legislativo n. 65 del 2018, e secondo le modalita' definite dal CSIRT
italiano e rese disponibili sul sito Internet del CSIRT italiano.
5. Qualora il soggetto incluso nel perimetro venga a conoscenza di
nuovi elementi significativi, tra cui le specifiche vulnerabilita'
sfruttate, la rilevazione di eventi comunque correlati all'incidente
oggetto di notifica, ovvero gli indicatori di compromissione (IOC)
rilevati, la notifica di cui al comma 1 e' integrata tempestivamente
dal momento in cui il soggetto incluso nel perimetro ne e' venuto a
conoscenza, salvo che l'autorita' giudiziaria procedente abbia
previamente comunicato la sussistenza di specifiche esigenze di
segretezza investigativa.
6. Dal 1° gennaio 2022, i soggetti di cui agli articoli 12 e 14 del
decreto legislativo n. 65 del 2018, con la notifica di cui al
presente articolo comunicano che la stessa, ai sensi dell'articolo 1,
comma 8, lettera b), del decreto-legge, costituisce anche adempimento
dell'obbligo di notifica di cui, rispettivamente, agli articoli 12,
comma 5, indicando a tal fine l'autorita' competente NIS di cui
all'articolo 7 del decreto legislativo n. 65 del 2018 alla quale la
notifica deve essere inoltrata, e 14, comma 4, del decreto
legislativo n. 65 del 2018. I soggetti di cui all'articolo 16-ter,
comma 2, del decreto legislativo n. 259 del 2003, con la notifica di
cui al presente articolo, comunicano che la stessa, ai sensi
dell'articolo 1, comma 8, lettera b), del decreto-legge, costituisce
anche adempimento dell'obbligo previsto ai sensi dell'articolo 16-ter
del decreto legislativo n. 259 del 2003 e delle correlate
disposizioni attuative. Restano fermi, per le notifiche degli
incidenti non rientranti nell'ambito di applicazione del
decreto-legge, gli obblighi e le procedure di notifica previsti dal
decreto legislativo n. 65 del 2018 e dal decreto legislativo n. 259
del 2003.
7. Su richiesta del CSIRT italiano, il soggetto incluso nel
perimetro che ha proceduto a effettuare una notifica ai sensi dei
commi 1, 2 e 3 provvede, tramite i canali di comunicazione di cui al
comma 4 ed entro sei ore dalla richiesta, a effettuare un
aggiornamento della notifica, salvo che l'autorita' giudiziaria
procedente abbia previamente comunicato la sussistenza di specifiche
esigenze di segretezza investigativa.
8. Una volta definiti e avviati i piani di attuazione delle
attivita' per il ripristino dei beni ICT impattati dall'incidente
oggetto di notifica, il soggetto incluso nel perimetro che ha
proceduto a effettuare una notifica ai sensi dei commi 1, 2 e 3,
tramite i canali di comunicazione di cui al comma 4, ne da'
tempestiva comunicazione al CSIRT italiano e trasmette, altresi', su
richiesta del CSIRT italiano ed entro trenta giorni dalla stessa
richiesta, una relazione tecnica che illustra gli elementi
significativi dell'incidente, tra cui le conseguenze dell'impatto sui
beni ICT derivanti dall'incidente e le azioni intraprese per porvi
rimedio, salvo che l'autorita' giudiziaria procedente abbia
previamente comunicato la sussistenza di specifiche esigenze di
segretezza investigativa.
9. I soggetti inclusi nel perimetro assicurano che dell'avvenuta
notifica sia fornita notizia all'articolazione per l'implementazione
del perimetro prevista nell'ambito delle misure di sicurezza di cui
alla sottocategoria 2.1.4 (ID.AM-6) dell'allegato B, ed in
particolare all'incaricato e al referente tecnico di cui alla
medesima sottocategoria.
10. Sino al 31 dicembre 2021, restano fermi per i soggetti inclusi
nel perimetro, che effettuano, ai sensi del comma 2, le notifiche in
via sperimentale, gli obblighi di notifica di cui agli articoli 12,
comma 5, e 14, comma 4, del decreto legislativo n. 65 del 2018,
nonche' quelli previsti ai sensi dell'articolo 16-ter del decreto
legislativo n. 259 del 2003 e delle correlate disposizioni attuative.
Note all'art. 3:
- Si riporta il testo del comma 2 dell'articolo 7 del
citato decreto del Presidente del Consiglio dei ministri 30
luglio 2020, n. 131:
«Art. 7. (Definizione dei criteri per la
predisposizione e l'aggiornamento degli elenchi delle reti,
dei sistemi informativi e dei servizi informatici). - 1.
(Omissis).
2. Ricevuta la comunicazione prevista dall'articolo 1,
comma 2-bis), secondo periodo, del decreto-legge, i
soggetti inclusi nel perimetro, in esito all'analisi del
rischio, per ogni funzione essenziale o servizio essenziale
di cui all'articolo 4, comma 1, lettera c), provvedono:
a) ad individuare i beni ICT necessari a svolgere la
funzione essenziale o il servizio essenziale. A tale fine
sono valutati:
1) l'impatto di un incidente sul bene ICT, in
termini sia di limitazione della operativita' del bene
stesso, sia di compromissione della disponibilita',
integrita', o riservatezza dei dati e delle informazioni da
esso trattati, ai fini dello svolgimento della funzione o
del servizio essenziali;
2) le dipendenze con altre reti, sistemi
informativi, servizi informatici o infrastrutture fisiche
di pertinenza di altri soggetti, ivi compresi quelli
utilizzati per fini di manutenzione e gestione;
b) a predisporre l'elenco dei beni ICT di cui
all'articolo 1, comma 2, lettera b), del decreto-legge. In
fase di prima applicazione e fino all'aggiornamento del
presente decreto, ai sensi dell'articolo 1, comma 5, del
decreto-legge, sono individuati, all'esito dell'analisi del
rischio, in ossequio al principio di gradualita', i beni
ICT che, in caso di incidente, causerebbero l'interruzione
totale dello svolgimento della funzione essenziale o del
servizio essenziale o una compromissione degli stessi con
effetti irreversibili sotto il profilo della integrita' o
della riservatezza dei dati e delle informazioni.
3. (Omissis).».
- Si riporta il testo del punto 1, lettera a),
dell'allegato I, del citato decreto legislativo 18 maggio
2018, n. 65:
«Allegato I
Requisiti e compiti dei gruppi di intervento per la
sicurezza informatica in caso di incidente (CSIRT)
I requisiti e i compiti del CSIRT sono adeguatamente e
chiaramente definiti ai sensi del presente decreto e del
decreto del Presidente del Consiglio dei ministri di cui
all'art. 8, comma 2. Essi includono quanto segue:
1. Requisiti per il CSIRT:
a) Il CSIRT garantisce un alto livello di
disponibilita' dei propri servizi di comunicazione,
evitando singoli punti di guasto, e dispone di vari mezzi
che permettono allo stesso di essere contattato e di
contattare altri in qualsiasi momento. Inoltre, i canali di
comunicazione sono chiaramente specificati e ben noti alla
loro base di utenti e ai partner con cui collaborano;
b). - d). (Omissis).».
- Si riporta il testo degli articoli 12 e 14 del citato
decreto legislativo 18 maggio 2018, n. 65:
«Art. 12. (Obblighi in materia di sicurezza e notifica
degli incidenti). - 1. Gli operatori di servizi essenziali
adottano misure tecniche e organizzative adeguate e
proporzionate alla gestione dei rischi posti alla sicurezza
della rete e dei sistemi informativi che utilizzano nelle
loro operazioni. Tenuto conto delle conoscenze piu'
aggiornate in materia, dette misure assicurano un livello
di sicurezza della rete e dei sistemi informativi adeguato
al rischio esistente.
2.Gli operatori di servizi essenziali adottano misure
adeguate per prevenire e minimizzare l'impatto di incidenti
a carico della sicurezza della rete e dei sistemi
informativi utilizzati per la fornitura dei servizi
essenziali, al fine di assicurare la continuita' di tali
servizi.
3.Nell'adozione delle misure di cui ai commi 1 e 2, gli
operatori di servizi essenziali tengono conto delle linee
guida predisposte dal gruppo di cooperazione di cui
all'articolo 10, nonche' delle linee guida di cui al comma
7.
4. Fatto salvo quanto previsto dai commi 1, 2 e 3, le
autorita' competenti NIS possono, se necessario, definire
specifiche misure, sentiti gli operatori di servizi
essenziali.
5. Gli operatori di servizi essenziali notificano al
CSIRT italiano e, per conoscenza, all'autorita' competente
NIS, senza ingiustificato ritardo, gli incidenti aventi un
impatto rilevante sulla continuita' dei servizi essenziali
forniti.
6. Il CSIRT italiano inoltra tempestivamente le
notifiche all'organo istituito presso il Dipartimento
informazioni per la sicurezza incaricato, ai sensi delle
direttive del Presidente del Consiglio dei ministri
adottate sentito il Comitato interministeriale per la
sicurezza della Repubblica (CISR), delle attivita' di
prevenzione e preparazione ad eventuali situazioni di crisi
e di attivazione delle procedure di allertamento.
7. Le notifiche includono le informazioni che
consentono al CSIRT italiano di determinare un eventuale
impatto transfrontaliero dell'incidente. La notifica non
espone la parte che la effettua a una maggiore
responsabilita' rispetto a quella derivante dall'incidente.
Le autorita' competenti NIS possono predisporre linee guida
per la notifica degli incidenti.
8. Per determinare la rilevanza dell'impatto di un
incidente si tiene conto in particolare dei seguenti
parametri:
a) il numero di utenti interessati dalla
perturbazione del servizio essenziale;
b) la durata dell'incidente;
c) la diffusione geografica relativamente all'area
interessata dall'incidente.
9. Sulla base delle informazioni fornite nella notifica
da parte dell'operatore di servizi essenziali, il CSIRT
italiano informa gli eventuali altri Stati membri
interessati in cui l'incidente ha un impatto rilevante
sulla continuita' dei servizi essenziali.
10. Ai fini del comma 9, il CSIRT italiano preserva,
conformemente al diritto dell'Unione europea e alla
legislazione nazionale, la sicurezza e gli interessi
commerciali dell'operatore di servizi essenziali, nonche'
la riservatezza delle informazioni fornite nella notifica
secondo quanto previsto dall'articolo 1, comma 5.
11. Ove le circostanze lo consentano, il CSIRT italiano
fornisce all'operatore di servizi essenziali, che effettua
la notifica, le pertinenti informazioni relative al seguito
della notifica stessa, nonche' le informazioni che possono
facilitare un trattamento efficace dell'incidente.
12. Su richiesta dell'autorita' competente NIS o del
CSIRT italiano, il punto di contatto unico trasmette,
previa verifica dei presupposti, le notifiche ai punti di
contatto unici degli altri Stati membri interessati.
13. Previa valutazione da parte dell'organo di cui al
comma 6, l'autorita' competente NIS, d'intesa con il CSIRT
italiano, dopo aver consultato l'operatore dei servizi
essenziali notificante, puo' informare il pubblico in
merito ai singoli incidenti, qualora ne sia necessaria la
sensibilizzazione per evitare un incidente o gestire un
incidente in corso.
14. Dall'attuazione del presente articolo non devono
derivare nuovi o maggiori oneri a carico della finanza
pubblica. Gli operatori di servizi essenziali provvedono
agli adempimenti previsti dal presente articolo a valere
sulle risorse finanziarie disponibili sui propri bilanci.»
«Art. 14. (Obblighi in materia di sicurezza e notifica
degli incidenti). - 1. I fornitori di servizi digitali
identificano e adottano misure tecniche e organizzative
adeguate e proporzionate alla gestione dei rischi relativi
alla sicurezza della rete e dei sistemi informativi che
utilizzano nel contesto dell'offerta di servizi di cui
all'allegato III all'interno dell'Unione europea.
2. Tenuto conto delle conoscenze piu' aggiornate in
materia, tali misure assicurano un livello di sicurezza
della rete e dei sistemi informativi adeguato al rischio
esistente e tengono conto dei seguenti elementi:
a) la sicurezza dei sistemi e degli impianti;
b) trattamento degli incidenti;
c) gestione della continuita' operativa;
d) monitoraggio, audit e test;
e) conformita' con le norme internazionali.
3. I fornitori di servizi digitali adottano misure per
prevenire e minimizzare l'impatto di incidenti a carico
della sicurezza della rete e dei sistemi informativi del
fornitore di servizi digitali sui servizi di cui
all'allegato III offerti all'interno dell'Unione europea,
al fine di assicurare la continuita' di tali servizi.
4. I fornitori di servizi digitali notificano al CSIRT
italiano e, per conoscenza, all'autorita' competente NIS,
senza ingiustificato ritardo, gli incidenti aventi un
impatto rilevante sulla fornitura di un servizio di cui
all'allegato III che essi offrono all'interno dell'Unione
europea.
5. Le notifiche includono le informazioni che
consentono al CSIRT italiano di determinare la rilevanza di
un eventuale impatto transfrontaliero. La notifica non
espone la parte che la effettua a una maggiore
responsabilita' rispetto a quella derivante dall'incidente.
6. Il CSIRT italiano inoltra tempestivamente le
notifiche all'organo di cui all'articolo 12, comma 6.
7. Al fine di determinare la rilevanza dell'impatto di
un incidente, sono tenuti in considerazione, in
particolare, i seguenti parametri:
a) il numero di utenti interessati dall'incidente, in
particolare gli utenti che dipendono dal servizio digitale
per la fornitura dei propri servizi;
b) la durata dell'incidente;
c) la diffusione geografica relativamente all'area
interessata dall'incidente;
d) la portata della perturbazione del funzionamento
del servizio;
e) la portata dell'impatto sulle attivita' economiche
e sociali.
8. L'obbligo di notificare un incidente si applica
soltanto qualora il fornitore di servizi digitali abbia
accesso alle informazioni necessarie per valutare l'impatto
di un incidente con riferimento ai parametri di cui al
comma 7.
9. Qualora un operatore di servizi essenziali dipenda
da una terza parte fornitrice di servizi digitali per la
fornitura di un servizio che e' indispensabile per il
mantenimento di attivita' economiche e sociali
fondamentali, l'operatore stesso notifica qualsiasi impatto
rilevante per la continuita' di servizi essenziali dovuto
ad un incidente a carico di tale operatore.
10. Qualora l'incidente di cui al comma 4 riguardi due
o piu' Stati membri, il CSIRT italiano informa gli altri
Stati membri coinvolti.
11. Ai fini del comma 9, il CSIRT italiano tutela, nel
rispetto del diritto dell'Unione europea e della
legislazione nazionale, la sicurezza e gli interessi
commerciali del fornitore del servizio digitale nonche' la
riservatezza delle informazioni fornite.
12. Previa valutazione da parte dell'organo di cui
all'articolo 12, comma 6, l'autorita' competente NIS,
d'intesa con il CSIRT italiano, dopo aver consultato il
fornitore di servizi digitali interessato e, se del caso,
le autorita' competenti o i CSIRT degli altri Stati membri
interessati, puo' informare il pubblico riguardo ai singoli
incidenti o chiedere al fornitore di servizi digitali di
provvedervi, qualora ne sia necessaria la sensibilizzazione
per evitare un incidente o gestirne uno in corso, o qualora
sussista comunque un interesse pubblico alla divulgazione
dell'incidente.
13. I fornitori di servizi digitali applicano le
disposizioni di attuazione degli atti di esecuzione della
Commissione europea che specificano ulteriormente le misure
tecnico-organizzative di cui al comma 1 e i parametri, ivi
compresi formati e procedure, relativi agli obblighi di
notifica di cui al comma 4.
14. Fatto salvo quanto previsto dall'articolo 1, comma
7, non sono imposti ulteriori obblighi in materia di
sicurezza o di notifica ai fornitori di servizi digitali.
15. Il presente capo non si applica alle microimprese e
alle piccole imprese quali definite nella raccomandazione
della Commissione europea del 6 maggio 2003, n.
2003/361/CE.».
- Si riporta il testo dell'articolo 1, comma 8, lettera
b), del citato decreto-legge 21 settembre 2019, n. 105,
convertito, con modificazioni, dalla legge 18 novembre
2019, n. 133:
«Art. 1. (Perimetro di sicurezza nazionale
cibernetica). - 1. - 7. (Omissis).
8. I soggetti di cui agli articoli 12 e 14 del decreto
legislativo 18 maggio 2018, n. 65, e quelli di cui
all'articolo 16-ter, comma 2, del codice delle
comunicazioni elettroniche di cui al decreto legislativo 1°
agosto 2003, n. 259, inclusi nel perimetro di sicurezza
nazionale cibernetica:
a) (Omissis);
b) assolvono l'obbligo di notifica di cui al comma 3,
lettera a), che costituisce anche adempimento,
rispettivamente, dell'obbligo di notifica di cui agli
articoli 12 e 14 del decreto legislativo 18 maggio 2018, n.
65, e dell'analogo obbligo previsto ai sensi dell'articolo
16-ter del codice di cui al decreto legislativo 1° agosto
2003, n. 259, e delle correlate disposizioni attuative; a
tal fine, oltre a quanto previsto dal comma 3, lettera a),
anche in relazione alle disposizioni di cui all'articolo
16-ter del codice di cui al decreto legislativo 1° agosto
2003, n. 259, il CSIRT italiano inoltra le notifiche
ricevute ai sensi del predetto comma 3, lettera a),
all'autorita' competente di cui all'articolo 7 del decreto
legislativo 18 maggio 2018, n. 65.
9. - 19-ter. (Omissis).».
- Si riporta il testo dell'articolo 16-ter, del citato
decreto legislativo 1° agosto 2003, n. 259 (Codice delle
comunicazioni elettroniche):
«Art. 16-ter (Attuazione e controllo). - 1. Le misure
adottate ai fini dell'attuazione del presente articolo e
dell'articolo 16-bis sono approvate con decreto del
Ministro dello sviluppo economico.
2. Ai fini del controllo del rispetto dell'articolo
16-bis le imprese che forniscono reti pubbliche di
comunicazioni o servizi di comunicazione elettronica
accessibili al pubblico sono tenute a:
a) fornire al Ministero, e se necessario
all'Autorita', le informazioni necessarie per valutare la
sicurezza e l'integrita' dei loro servizi e delle loro
reti, in particolare i documenti relativi alle politiche di
sicurezza; nonche';
b) sottostare a una verifica della sicurezza
effettuata dal Ministero, anche su impulso dell'Autorita',
in collaborazione con gli Ispettorati territoriali del
Ministero dello sviluppo economico, o da un organismo
qualificato indipendente designato dal Ministero. L'impresa
si assume l'onere finanziario della verifica.
3. Il Ministero e l'Autorita' hanno la facolta' di
indagare i casi di mancata conformita' nonche' i loro
effetti sulla sicurezza e l'integrita' delle reti.
4. Nel caso in cui il Ministero riscontri, anche su
indicazione dell'Autorita', il mancato rispetto degli
articoli 16-bis o 16-ter ovvero delle disposizioni
attuative previste dal comma 1 da parte delle imprese che
forniscono reti pubbliche di comunicazioni o servizi di
comunicazione elettronica accessibili al pubblico, si
applicano le sanzioni di cui all'articolo 98, commi da 4 a
12.».