Art. 4 Misure di sicurezza e integrita' delle reti 1. I fornitori di reti e servizi di comunicazione elettronica sono tenuti ad adottare le seguenti misure di sicurezza e integrita' delle reti e dei servizi: a) politica di sicurezza approvata dalla Direzione aziendale: 1) predisporre una documentata politica relativamente alla sicurezza e alla integrita' delle reti di comunicazione e dei servizi forniti; 2) definire una dettagliata politica di sicurezza per gli asset critici e i processi aziendali; 3) definire e mantenere aggiornata una politica di sicurezza per tutti gli aspetti elencati nelle successive lettere; b) gestione del rischio: 1) individuare i principali rischi per la sicurezza e l'integrita' delle reti e dei servizi di comunicazione elettronica forniti, tenendo conto delle minacce che insistono sugli asset critici; 2) definire una metodologia di gestione dei rischi e utilizzare strumenti basati sugli standard di settore; 3) verificare l'effettivo utilizzo di tali metodologie e strumenti di gestione del rischio da parte del personale; 4) assicurarsi che i rischi residui, anche derivanti da vincoli realizzativi, siano minimizzati rispetto alla probabilita' del verificarsi di incidenti significativi e che siano accettati dalla Direzione; c) struttura organizzativa: 1) identificare ruoli per il personale e le relative responsabilita' in autonomia di esercizio; 2) conferire, con formale nomina, ruoli e responsabilita' al personale; 3) assicurare la reperibilita', in caso di incidenti di sicurezza, del personale responsabile; d) servizi e prodotti forniti da terze parti: 1) definire i requisiti di sicurezza nei contratti con terze parti; 2) verificare il rispetto dei requisiti fissati nei contratti; 3) assicurare che i rischi residui che non sono gestiti dalla terza parte siano minimizzati rispetto alla probabilita' del verificarsi di incidenti e che siano accettati dalla Direzione; 4) tenere traccia ed eventualmente gestire gli incidenti di sicurezza relativi a terze parti o da esse causati che si ripercuotono sulla rete o sul servizio erogato; e) formazione e gestione del personale: 1) definire un piano di formazione del personale; 2) prevedere un'adeguata ed aggiornata formazione del personale con ruoli di responsabilita'; 3) organizzare corsi di formazione e sessioni di sensibilizzazione per tutto il personale; 4) verificare le conoscenze acquisite dal personale; 5) definire appropriate procedure per gestire le nuove assunzioni e la rotazione del personale che ricopre ruoli di responsabilita'; 6) revocare diritti di accesso, se non piu' giustificati; 7) definire procedure di intervento per violazioni delle politiche di sicurezza di cui alla lettera a), che mettano a rischio la sicurezza e l'integrita' delle reti e dei servizi di comunicazione elettronica; f) sicurezza fisica e logica: 1) definire condizioni, responsabilita' e procedure per l'assegnazione, la revoca dei diritti di accesso, e per l'approvazione delle eventuali eccezioni; 2) definire meccanismi di autenticazione appropriati, a seconda del tipo di accesso; 3) adottare meccanismi di protezione da accessi fisici non autorizzati o da eventi imprevisti quali, a titolo esemplificativo ma non esaustivo, furti con scasso, incendi, inondazioni; 4) adottare meccanismi di controllo di accesso logico appropriati per l'accesso alla rete e ai sistemi di informazione per consentirne solo l'uso autorizzato; 5) verificare che utenti e sistemi abbiano ID univoci e possano accedere ad altri servizi e sistemi previa autenticazione; 6) monitorare e registrare gli accessi; 7) prevedere meccanismi di protezione degli impianti funzionali all'erogazione del servizio, quali, a titolo esemplificativo ma non esaustivo, elettricita' e gas; g) integrita' della rete e dei sistemi informativi: 1) implementare sistemi di protezione e di rilevamento di codice malevolo che possa alterare la funzionalita' dei sistemi; 2) assicurarsi che il software impiegato nella rete e nei sistemi informativi non venga manomesso o alterato; 3) assicurarsi che i dati critici sulla sicurezza, quali, a titolo esemplificativo ma non esaustivo, password e chiavi private, non siano divulgati o manomessi; h) gestione operativa: 1) predisporre le procedure operative e individuare i responsabili per il funzionamento dei sistemi critici; 2) predisporre procedure per la gestione di eventuali cambiamenti; 3) attenersi alle procedure predefinite quando si effettuano attivita' sui sistemi critici; 4) registrare e documentare ogni modifica o attivita' effettuata sui sistemi critici; 5) predisporre e aggiornare un database delle configurazioni dei sistemi critici per eventuali ripristini delle stesse; 6) predisporre e aggiornare un inventario degli asset critici; i) gestione degli incidenti di sicurezza: 1) prevedere una struttura tecnica con adeguata competenza e disponibilita' incaricata della gestione degli incidenti; 2) predisporre e aggiornare un database degli incidenti; 3) esaminare i principali incidenti e redigere relazioni sugli stessi, che contengano informazioni sulle azioni intraprese e sulle raccomandazioni per ridurre il rischio del ripetersi di incidenti analoghi; 4) definire e implementare processi e sistemi per il rilevamento degli incidenti; 5) definire procedure per informare gli utenti su incidenti in corso o risolti, oltreche' il CSIRT italiano e l'Istituto superiore delle comunicazioni e delle tecnologie dell'informazione del Ministero dello sviluppo economico (di seguito anche ISCTI) secondo quanto previsto dal presente decreto, notiziando comunque preventivamente il CSIRT e l'ISCTI; 6) definire procedure per la segnalazione degli incidenti significativi ai sensi del successivo art. 5. j) continuita' operativa: 1) predisporre e implementare piani di emergenza per gli asset critici; 2) monitorare l'attivazione e l'esecuzione di piani di emergenza, registrando i tempi di ripristino dell'operativita' e del servizio; 3) predisporre e mantenere una appropriata capacita' di disaster recovery; 4) implementare procedure per le attivita' di ripristino dell'operativita' e dei servizi; k) monitoraggio, test e controllo: 1) sottoporre a test reti, sistemi informativi e nuove versioni del software prima di utilizzarli o collegarli a sistemi esistenti; 2) implementare il monitoraggio e la registrazione dello stato e degli eventi dei sistemi critici; 3) impostare gli strumenti per raccogliere e archiviare i registri dei sistemi critici; 4) configurare strumenti per la raccolta e l'analisi automatizzata di dati e registri di monitoraggio; 5) predisporre un programma per la realizzazione di esercitazioni periodiche per testare piani di disaster recovery e di ripristino dei backup; 6) implementare strumenti per test automatizzati; 7) assicurarsi che i sistemi critici siano sottoposti a scansioni e test di sicurezza regolarmente, in particolare quando vengono introdotti nuovi sistemi e in seguito a modifiche; 8) monitorare la conformita' agli standard e alle disposizioni normative. 2. Le misure di cui al comma 1 si riferiscono agli asset critici, individuati secondo le modalita' di cui all'Allegato 1 al presente decreto, in cui il valore della percentuale dell'utenza, che l'asset e' potenzialmente in grado di servire per ciascun servizio di cui al comma 1, e' pari o superiore all'1% della base di utenti nazionale per quel servizio, sulla base dei dati pubblicati dall'Osservatorio trimestrale delle comunicazioni a cura dell'Autorita' per le garanzie nelle comunicazioni. Le misure di cui al comma 1 si riferiscono altresi' agli asset critici individuati secondo i criteri di cui all'Allegato 1 al presente decreto in cui il numero della potenziale utenza servita e' pari o superiore ad un milione.