IL PRESIDENTE
DEL CONSIGLIO DEI MINISTRI
Ai signori Ministri della Repubblica
e, p.c. Al signor sottosegretario di Stato
alla Presidenza del Consiglio -
Autorita' delegata per la sicurezza
della Repubblica
Al signor segretario generale della
Presidenza del Consiglio dei
ministri
Loro sedi
1. Premessa
Il decreto-legge 10 agosto 2023, n. 105, convertito, con
modificazioni, dalla legge 9 ottobre 2023, n. 137, ha introdotto
all'art. 7, comma 1, del decreto-legge n. 82 del 2021, convertito,
con modificazioni, dalla legge 4 agosto 2021, n. 109 (istitutivo
dell'ACN), la lettera n-bis), con cui si fa obbligo ai soggetti
pubblici e privati interessati da un incidente informatico di
prestare massima collaborazione al personale tecnico-specialistico
dell'ACN che interviene per le cosiddette attivita' di remediation,
ossia di contenimento e mitigazione delle conseguenze dell'incidente
informatico, rivolte al ripristino quanto piu' possibile immediato
dell'operativita' dei sistemi compromessi.
A riprova della necessita' che tale collaborazione si dispieghi
nella misura massima possibile, nell'interesse stesso del soggetto
impattato, e anche per scongiurare effetti sistemici - ossia capaci
di propagare conseguenze anche oltre la superficie oggetto di
attacco - la stessa novella legislativa prevede la possibilita' di
applicare sanzioni nei casi di mancata o inadeguata collaborazione.
La richiamata disposizione legislativa, che attribuisce cogenza a
livello normativo a quanto si era anticipato con la direttiva
presidenziale del 6 luglio 2023, assume un rilievo del tutto
peculiare nell'attuale contesto geopolitico in cui si moltiplicano
gli attacchi informatici verso quei paesi, come l'Italia, che
risultano particolarmente esposti alla minaccia cyber per aver
assunto, nell'ambito della comunita' internazionale, posizioni di
solidarieta' e di sostegno degli attori statuali in conflitto, sia
con riguardo alla crisi russo-ucraina, sia con riguardo allo scenario
mediorientale.
La succitata norma, tuttavia, pur valorizzando il momento
collaborativo e dichiarandone, dunque, l'importanza ai fini della
resilienza del Paese, richiede uno sforzo organizzativo ad hoc
perche' le attivita' rispettivamente poste in essere dai soggetti
impattati e da ACN vengano a corrispondere ad un preciso modello
operativo capace di dare efficacia ed efficienza ad interventi di
risposta in caso di attacco.
2. Indirizzi di attuazione e coordinamento
Per consentire che l'attivita' di supporto dell'ACN, sviluppata in
occasione di eventi e incidenti cibernetici, venga a corrispondere
alle esigenze esplicitate in premessa, seguendo, dunque, uno schema
il piu' possibile predefinito che tracci un preciso modus operandi,
appare indispensabile che l'intervento tecnico-operativo trovi in un
atto di intesa un puntuale strumento di declinazione e precisazione
delle attivita' che ACN e il soggetto colpito dall'attacco
informatico sono rispettivamente chiamati a porre in essere.
Naturalmente, per quanto detto in premessa riguardo alla delicata
situazione internazionale e alla conseguente necessita' che vengano
immediatamente protette le superfici digitali dei soggetti pubblici a
cui sono demandate le funzioni nevralgiche del Paese, e' evidente che
gli atti di intesa di cui sopra dovranno interessare le
amministrazioni governative destinatarie della presente direttiva,
anche in ragione della particolare sensibilita' dei servizi erogati a
favore della comunita' nazionale.
Onde far si' che il meccanismo collaborativo possa esprimere in
caso di incidente la massima efficacia, e' necessaria la preventiva
messa in opera, ovvero implementazione, da parte dei soggetti
pubblici interessati, di alcune indispensabili misure che di seguito
vengono indicate e, nello specifico, di:
un censimento dei sistemi, apparati, piattaforme, applicazioni e
flussi di dati utilizzati nello svolgimento delle proprie attivita',
oltre che dei fornitori e/o partner terzi di sistemi informatici,
componenti e servizi utilizzati;
un documento in cui siano definiti ruoli e responsabilita'
inerenti alla cybersicurezza, sia del personale interno, sia di
eventuali terze parti che supportano l'amministrazione, comprensivo
dell'individuazione, tra il proprio personale, di un incaricato per
la cybersicurezza (quale punto di contatto cyber ai fini delle
comunicazioni e del necessario raccordo con l'ACN) e di un referente
tecnico per la cybersicurezza (da identificarsi tra il personale
responsabile della gestione operativa dei sistemi IT);
piani per la gestione delle vulnerabilita', dei backup dei dati
necessari per l'esercizio delle proprie funzioni essenziali, nonche'
del ciclo di vita dei sistemi, delle identita' e dei relativi
permessi;
un piano di risposta in caso di incidente, nel quale vengano
puntualmente definite le articolazioni interne che - in stretto
raccordo con l'incaricato per la cybersicurezza (ove non direttamente
dipendenti dallo stesso) - sono preposte all'attuazione del piano,
definendone le competenze decisionali, finanziarie e tecniche, onde
adeguatamente fronteggiare un incidente cibernetico.
Nondimeno, anche nelle more della piena attuazione dei presupposti
del modello collaborativo di cui sopra, dovranno intervenire fin da
subito intese speditive per la provvisionale definizione delle misure
prioritarie e urgenti volte alla mitigazione del rischio cibernetico,
in primis tra l'ACN e le amministrazioni rappresentate nel Comitato
interministeriale per la cybersicurezza.
L'ACN avra' cura di monitorare, anche in seno al nucleo per la
cybersicurezza, lo stato di attuazione e implementazione della
presente direttiva, onde poterne successivamente informare
l'Autorita' delegata.
Roma, 29 dicembre 2023
Il Presidente
del Consiglio dei ministri
Meloni
Registrato alla Corte dei conti il 31 gennaio 2024
Ufficio di controllo sugli atti della Presidenza del Consiglio dei
ministri, del Ministero della giustizia e del Ministero degli affari
esteri e della cooperazione internazionale, n. 286