Art. 15
Gruppo nazionale di risposta agli incidenti di sicurezza
informatica - CSIRT Italia
1. Il CSIRT Italia, fermo restando quanto previsto dal
decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni,
dalla legge 4 agosto 2021, n. 109:
a) e' l'organo preposto alle funzioni di gestione degli incidenti
di sicurezza informatica per i settori, i sottosettori e le tipologie
di soggetti di cui agli allegati I, II, III e IV, conformemente a
modalita' e procedure definite dal CSIRT stesso;
b) dispone di un'infrastruttura di informazione e comunicazione
appropriata, sicura e resiliente a livello nazionale attraverso la
quale scambiare informazioni con i soggetti essenziali o importanti e
con gli altri portatori di interesse pertinenti;
c) coopera e, se opportuno, scambia informazioni pertinenti
conformemente all'articolo 17 con comunita' settoriali o
intersettoriali di soggetti essenziali e di soggetti importanti;
d) partecipa alla revisione tra pari di cui all'articolo 21;
e) garantisce la collaborazione effettiva, efficiente e sicura,
nella Rete di CSIRT nazionali di cui all'articolo 20;
f) ai sensi dell'articolo 7, comma 1, lettera s), del
decreto-legge n. 82 del 2021, puo' stabilire relazioni di
cooperazione con gruppi nazionali di risposta agli incidenti di
sicurezza informatica di Paesi terzi. Nell'ambito di tali relazioni
di cooperazione, facilita uno scambio di informazioni efficace,
efficiente e sicuro con tali CSIRT nazionali, o strutture nazionali
equivalenti di Paesi terzi, utilizzando i pertinenti protocolli di
condivisione delle informazioni, ivi inclusi quelli adottati e
sviluppati dalle principali comunita' nazionali, europee e
internazionali del settore. Il CSIRT Italia puo' scambiare
informazioni pertinenti con Gruppi nazionali di risposta agli
incidenti di sicurezza informatica di Paesi terzi o con organismi
equivalenti di Paesi terzi, compresi dati personali ai sensi della
normativa nazionale vigente e del diritto dell'Unione europea in
materia di protezione dei dati personali;
g) ai sensi dell'articolo 7, comma 1, lettera s), del
decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni,
dalla legge 4 agosto 2021, n. 109, puo' cooperare con Gruppi
nazionali di risposta agli incidenti di sicurezza informatica di
Paesi terzi o con organismi equivalenti di Paesi terzi, in
particolare al fine di fornire loro assistenza in materia di
sicurezza informatica.
2. Il CSIRT Italia:
a) e' dotato di un alto livello di disponibilita' dei propri
canali di comunicazione evitando singoli punti di malfunzionamento e
dispone di mezzi che gli permettono di essere contattato e di
contattare i soggetti essenziali o importanti e altri CSIRT nazionali
in qualsiasi momento. Il CSIRT Italia indica chiaramente i canali di
comunicazione e li rende noti ai soggetti essenziali e importanti e
agli altri CSIRT nazionali;
b) dispone di locali e sistemi informativi di supporto ubicati in
siti sicuri;
c) utilizza un sistema adeguato di gestione e inoltro delle
richieste, in particolare per facilitare i trasferimenti in maniera
efficace ed efficiente;
d) garantisce la riservatezza e l'affidabilita' delle proprie
attivita';
e) e' dotato di sistemi ridondanti e spazi di lavoro di backup al
fine di garantire la continuita' dei propri servizi;
f) partecipa, se del caso, a reti di cooperazione internazionale.
3. Il CSIRT Italia svolge i seguenti compiti:
a) monitora e analizza le minacce informatiche, le vulnerabilita'
e gli incidenti a livello nazionale e, su richiesta, fornisce
assistenza ai soggetti essenziali e ai soggetti importanti
interessati per quanto riguarda il monitoraggio in tempo reale o
prossimo al reale dei loro sistemi informativi e di rete, secondo un
ordine di priorita' delle attivita' definito dal medesimo CSIRT
Italia, onde evitare oneri sproporzionati o eccessivi;
b) emette preallarmi, allerte e bollettini e divulga informazioni
ai soggetti essenziali e ai soggetti importanti interessati, nonche'
alle autorita' nazionali competenti e agli altri pertinenti portatori
di interessi, in merito a minacce informatiche, vulnerabilita' e
incidenti, se possibile in tempo prossimo al reale;
c) fornisce una risposta agli incidenti e assistenza ai soggetti
essenziali e ai soggetti importanti interessati, ove possibile;
d) raccoglie e analizza dati forensi e fornisce un'analisi
dinamica dei rischi e degli incidenti, nonche' una consapevolezza
situazionale riguardo alla sicurezza informatica;
e) effettua, su richiesta di un soggetto essenziale o importante,
secondo modalita' e procedure definite, una scansione proattiva dei
sistemi informativi e di rete del soggetto interessato per rilevare
le vulnerabilita' con potenziale impatto significativo;
f) partecipa alla Rete di CSIRT nazionali di cui all'articolo 20
e fornisce assistenza reciproca secondo le proprie capacita' e
competenze agli altri membri della Rete di CSIRT nazionali su loro
richiesta;
g) agisce in qualita' di coordinatore ai fini del processo di
divulgazione coordinata delle vulnerabilita' di cui all'articolo 16;
h) contribuisce allo sviluppo di strumenti sicuri per la
condivisione delle informazioni di cui al comma 1, lettera b);
i) puo' effettuare, secondo modalita' e procedure definite, una
scansione proattiva e non intrusiva dei sistemi informativi e di rete
accessibili al pubblico di soggetti essenziali e di soggetti
importanti. Tale scansione e' effettuata per individuare sistemi
informativi e di rete vulnerabili o configurati in modo non sicuro e
per informare i soggetti interessati. Tale scansione non ha alcun
impatto negativo sul funzionamento dei servizi dei soggetti.
4. Il CSIRT Italia applica un approccio basato sul rischio per
stabilire l'ordine di priorita' nello svolgimento dei compiti di cui
al comma 3.
5. In caso di eventi malevoli per la sicurezza informatica, le
strutture pubbliche con funzione di computer emergency response team
(CERT) collaborano con il CSIRT Italia, anche ai fini di un piu'
efficace coordinamento della risposta agli incidenti.
6. Il CSIRT Italia instaura rapporti di cooperazione con i
pertinenti portatori di interesse nazionali del settore privato al
fine di perseguire gli obiettivi del presente decreto in relazione
alle proprie competenze.
7. Al fine di agevolare la cooperazione di cui al comma 5, il CSIRT
Italia promuove l'adozione e l'uso di pratiche, sistemi di
classificazione e tassonomie standardizzati o comuni per quanto
riguarda:
a) le procedure di gestione degli incidenti;
b) la divulgazione coordinata delle vulnerabilita' ai sensi
dell'articolo 16.
8. Ai fini dell'attuazione del presente articolo e' autorizzata la
spesa pari a euro 2.000.000 annui a decorrere dall'anno 2025, a cui
si provvede ai sensi dell'articolo 44.
Note all'art. 15:
- Per i riferimenti all'art. 7, comma 1, lettera s),
del decreto-legge 14 giugno 2021, n. 82, si veda nelle note
all'art. 9.