Pubblicata in Gazzetta Ufficiale, Serie Generale n. 39 del 16 febbraio 2024, la Direttiva del Presidente del Consiglio dei Ministri del 29 dicembre 2023 sui protocolli di intesa per irrobustire la capacità di risposta agli incidenti informatici dei soggetti pubblici.
Il decreto-legge 10 agosto 2023, n. 105, in particolare, ha introdotto all’art. 7, comma 1, del decreto-legge n. 82 del 2021, (istitutivo dell’Agenzia per la cybersicurezza nazionale – ACN), la lettera n-bis), con cui viene fatto obbligo ai soggetti pubblici e privati interessati da un incidente informatico di prestare massima collaborazione al personale tecnico-specialistico dell’ACN, che interviene per le cosiddette attività di remediation, ossia di contenimento e mitigazione delle conseguenze dell’incidente informatico, rivolte al ripristino quanto più possibile immediato dell’operatività dei sistemi compromessi.
La Direttiva ricorda che, a riprova della necessità che tale collaborazione si dispieghi nel modo migliore possibile, nell’interesse stesso del soggetto impattato, e anche per scongiurare effetti sistemici – ossia capaci di propagare conseguenze anche oltre la superficie oggetto di attacco – tale novella legislativa prevede inoltre la possibilità di applicare sanzioni nei casi di mancata o inadeguata collaborazione.
Pertanto, onde far sì che il meccanismo collaborativo possa essere efficace, la Direttiva indica ai soggetti pubblici interessati, di porre in essere alcune indispensabili misure (per il cui dettaglio si rimanda alla lettura della Direttiva allegata) tra cui, in sintesi:
- un censimento dei sistemi, apparati, piattaforme, applicazioni e flussi di dati utilizzati nello svolgimento delle proprie attività, oltre che dei fornitori e/o partner terzi di sistemi informatici, componenti e servizi utilizzati;
- un documento in cui siano definiti ruoli e responsabilità inerenti alla cybersicurezza, sia del personale interno, sia di eventuali terze parti che supportano l’amministrazione, comprensivo dell’individuazione, tra il proprio personale, di un incaricato per la cybersicurezza (quale punto di contatto cyber ai fini delle comunicazioni e del necessario raccordo con l’ACN) e di un referente tecnico per la cybersicurezza (da identificarsi tra il personale responsabile della gestione operativa dei sistemi IT);
- dei piani per la gestione delle vulnerabilità, dei backup dei dati necessari per l’esercizio delle proprie funzioni essenziali, nonché del ciclo di vita dei sistemi, delle identità e dei relativi permessi;
- un piano di risposta in caso di incidente, nel quale vengano puntualmente definite le articolazioni interne che – in stretto raccordo con l’incaricato per la cybersicurezza (ove non direttamente dipendenti dallo stesso) – sono preposte all’attuazione del piano, definendone le competenze decisionali, finanziarie e tecniche, onde adeguatamente fronteggiare un incidente cibernetico.