Art. 4
Misure di sicurezza e integrita' delle reti
1. I fornitori di reti e servizi di comunicazione elettronica sono
tenuti ad adottare le seguenti misure di sicurezza e integrita' delle
reti e dei servizi:
a) politica di sicurezza approvata dalla Direzione aziendale:
1) predisporre una documentata politica relativamente alla
sicurezza e alla integrita' delle reti di comunicazione e dei servizi
forniti;
2) definire una dettagliata politica di sicurezza per gli asset
critici e i processi aziendali;
3) definire e mantenere aggiornata una politica di sicurezza per
tutti gli aspetti elencati nelle successive lettere;
b) gestione del rischio:
1) individuare i principali rischi per la sicurezza e l'integrita'
delle reti e dei servizi di comunicazione elettronica forniti,
tenendo conto delle minacce che insistono sugli asset critici;
2) definire una metodologia di gestione dei rischi e utilizzare
strumenti basati sugli standard di settore;
3) verificare l'effettivo utilizzo di tali metodologie e strumenti
di gestione del rischio da parte del personale;
4) assicurarsi che i rischi residui, anche derivanti da vincoli
realizzativi, siano minimizzati rispetto alla probabilita' del
verificarsi di incidenti significativi e che siano accettati dalla
Direzione;
c) struttura organizzativa:
1) identificare ruoli per il personale e le relative
responsabilita' in autonomia di esercizio;
2) conferire, con formale nomina, ruoli e responsabilita' al
personale;
3) assicurare la reperibilita', in caso di incidenti di sicurezza,
del personale responsabile;
d) servizi e prodotti forniti da terze parti:
1) definire i requisiti di sicurezza nei contratti con terze parti;
2) verificare il rispetto dei requisiti fissati nei contratti;
3) assicurare che i rischi residui che non sono gestiti dalla terza
parte siano minimizzati rispetto alla probabilita' del verificarsi di
incidenti e che siano accettati dalla Direzione;
4) tenere traccia ed eventualmente gestire gli incidenti di
sicurezza relativi a terze parti o da esse causati che si
ripercuotono sulla rete o sul servizio erogato;
e) formazione e gestione del personale:
1) definire un piano di formazione del personale;
2) prevedere un'adeguata ed aggiornata formazione del personale con
ruoli di responsabilita';
3) organizzare corsi di formazione e sessioni di sensibilizzazione
per tutto il personale;
4) verificare le conoscenze acquisite dal personale;
5) definire appropriate procedure per gestire le nuove assunzioni e
la rotazione del personale che ricopre ruoli di responsabilita';
6) revocare diritti di accesso, se non piu' giustificati;
7) definire procedure di intervento per violazioni delle politiche
di sicurezza di cui alla lettera a), che mettano a rischio la
sicurezza e l'integrita' delle reti e dei servizi di comunicazione
elettronica;
f) sicurezza fisica e logica:
1) definire condizioni, responsabilita' e procedure per
l'assegnazione, la revoca dei diritti di accesso, e per
l'approvazione delle eventuali eccezioni;
2) definire meccanismi di autenticazione appropriati, a seconda del
tipo di accesso;
3) adottare meccanismi di protezione da accessi fisici non
autorizzati o da eventi imprevisti quali, a titolo esemplificativo ma
non esaustivo, furti con scasso, incendi, inondazioni;
4) adottare meccanismi di controllo di accesso logico appropriati
per l'accesso alla rete e ai sistemi di informazione per consentirne
solo l'uso autorizzato;
5) verificare che utenti e sistemi abbiano ID univoci e possano
accedere ad altri servizi e sistemi previa autenticazione;
6) monitorare e registrare gli accessi;
7) prevedere meccanismi di protezione degli impianti funzionali
all'erogazione del servizio, quali, a titolo esemplificativo ma non
esaustivo, elettricita' e gas;
g) integrita' della rete e dei sistemi informativi:
1) implementare sistemi di protezione e di rilevamento di codice
malevolo che possa alterare la funzionalita' dei sistemi;
2) assicurarsi che il software impiegato nella rete e nei sistemi
informativi non venga manomesso o alterato;
3) assicurarsi che i dati critici sulla sicurezza, quali, a titolo
esemplificativo ma non esaustivo, password e chiavi private, non
siano divulgati o manomessi;
h) gestione operativa:
1) predisporre le procedure operative e individuare i
responsabili per il funzionamento dei sistemi critici;
2) predisporre procedure per la gestione di eventuali
cambiamenti;
3) attenersi alle procedure predefinite quando si effettuano
attivita' sui sistemi critici;
4) registrare e documentare ogni modifica o attivita'
effettuata sui sistemi critici;
5) predisporre e aggiornare un database delle configurazioni
dei sistemi critici per eventuali ripristini delle stesse;
6) predisporre e aggiornare un inventario degli asset critici;
i) gestione degli incidenti di sicurezza:
1) prevedere una struttura tecnica con adeguata competenza e
disponibilita' incaricata della gestione degli incidenti;
2) predisporre e aggiornare un database degli incidenti;
3) esaminare i principali incidenti e redigere relazioni sugli
stessi, che contengano informazioni sulle azioni intraprese e sulle
raccomandazioni per ridurre il rischio del ripetersi di incidenti
analoghi;
4) definire e implementare processi e sistemi per il
rilevamento degli incidenti;
5) definire procedure per informare gli utenti su incidenti in
corso o risolti, oltreche' il CSIRT italiano e l'Istituto superiore
delle comunicazioni e delle tecnologie dell'informazione del
Ministero dello sviluppo economico (di seguito anche ISCTI) secondo
quanto previsto dal presente decreto, notiziando comunque
preventivamente il CSIRT e l'ISCTI;
6) definire procedure per la segnalazione degli incidenti
significativi ai sensi del successivo art. 5.
j) continuita' operativa:
1) predisporre e implementare piani di emergenza per gli asset
critici;
2) monitorare l'attivazione e l'esecuzione di piani di
emergenza, registrando i tempi di ripristino dell'operativita' e del
servizio;
3) predisporre e mantenere una appropriata capacita' di
disaster recovery;
4) implementare procedure per le attivita' di ripristino
dell'operativita' e dei servizi;
k) monitoraggio, test e controllo:
1) sottoporre a test reti, sistemi informativi e nuove versioni
del software prima di utilizzarli o collegarli a sistemi esistenti;
2) implementare il monitoraggio e la registrazione dello stato
e degli eventi dei sistemi critici;
3) impostare gli strumenti per raccogliere e archiviare i
registri dei sistemi critici;
4) configurare strumenti per la raccolta e l'analisi
automatizzata di dati e registri di monitoraggio;
5) predisporre un programma per la realizzazione di
esercitazioni periodiche per testare piani di disaster recovery e di
ripristino dei backup;
6) implementare strumenti per test automatizzati;
7) assicurarsi che i sistemi critici siano sottoposti a
scansioni e test di sicurezza regolarmente, in particolare quando
vengono introdotti nuovi sistemi e in seguito a modifiche;
8) monitorare la conformita' agli standard e alle disposizioni
normative.
2. Le misure di cui al comma 1 si riferiscono agli asset critici,
individuati secondo le modalita' di cui all'Allegato 1 al presente
decreto, in cui il valore della percentuale dell'utenza, che l'asset
e' potenzialmente in grado di servire per ciascun servizio di cui al
comma 1, e' pari o superiore all'1% della base di utenti nazionale
per quel servizio, sulla base dei dati pubblicati dall'Osservatorio
trimestrale delle comunicazioni a cura dell'Autorita' per le garanzie
nelle comunicazioni. Le misure di cui al comma 1 si riferiscono
altresi' agli asset critici individuati secondo i criteri di cui
all'Allegato 1 al presente decreto in cui il numero della potenziale
utenza servita e' pari o superiore ad un milione.