Cybersicurezza e tassonomia degli incidenti.
Con la determina 3 gennaio 2023 - pubblicata sulla Gazzetta Ufficiale n. 7 del 10 gennaio 2023 - l'Agenzia per la cybersicurezza ha indicato indica la tassonomia degli incidenti
che hanno impatti su reti, sistemi informativi e servizi informatici diversi dai beni Ict. Le notifiche sono rese obbligatori ai sensi dell'art. 1 , comma 3-bis del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133.
Cybersicurezza e tassonomia degli incidenti: le notifiche
Nella sezione 1 della tabella di cui all'allegato A (riportato in coda al testo della determina pubblicato qui di seguito) sono classificati, in categorie, gli incidenti di cui all'art. 2, comma 1, indicando, per ciascuna tipologia di incidente, un codice identificativo e la corrispondente categoria, accompagnata dalla descrizione di ciascuna tipologia di incidente.
Qui di seguito in testo integrale della determina.
Agenzia per la cybersicurezza nazionale
Determina 3 gennaio 2023
Tassonomia degli incidenti che debbono essere oggetto di notifica.
(23A00114)
(Gazzetta Ufficiale n. 7 del 10 gennaio 2023)
IL DIRETTORE GENERALE
Visto il decreto-legge 14 giugno 2021, n. 82, convertito, con
modificazioni, dalla legge 4 agosto 2021, n. 109, recante
«Disposizioni urgenti in materia di cybersicurezza, definizione
dell'architettura nazionale di cybersicurezza e istituzione
dell'Agenzia per la cybersicurezza nazionale»;
Visto il decreto-legge 21 settembre 2019, n. 105, convertito, con
modificazioni, dalla legge 18 novembre 2019, n. 133, recante
«Disposizioni urgenti in materia di perimetro di sicurezza nazionale
cibernetica e di disciplina dei poteri speciali nei settori di
rilevanza strategica» e, in particolare, l'art. 1, comma 3-bis;
Visto il decreto del Presidente del Consiglio dei ministri 30
luglio 2020, n. 131, recante «Regolamento in materia di perimetro di
sicurezza nazionale cibernetica, ai sensi dell'art. 1, comma 2, del
decreto-legge 21 settembre 2019, n. 105, convertito, con
modificazioni, dalla legge 18 novembre 2019, n. 133»;
Visto il decreto del Presidente del Consiglio dei ministri 14
aprile 2021, n. 81, recante «Regolamento in materia di notifiche
degli incidenti aventi impatto su reti, sistemi informativi e servizi
informatici di cui all'art. 1, comma 2, lettera b), del decreto-legge
21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge
18 novembre 2019, n. 133, e di misure volte a garantire elevati
livelli di sicurezza»;
Ritenuto di dover dare attuazione a quanto previsto dal citato art.
1, comma 3-bis, del decreto-legge n. 105 del 2019, indicando la
tassonomia di incidenti che devono essere notificati ai sensi del
medesimo comma 3-bis;
Sentito il vice direttore generale;
Determina:
Art. 1
Definizioni
1. Ai fini del presente provvedimento si intende per:
a) «decreto-legge», il decreto-legge 21 settembre 2019, n. 105,
convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133;
b) «DPCM 2», il decreto del Presidente del Consiglio dei ministri
14 aprile 2021, n. 81, recante «Regolamento in materia di notifiche
degli incidenti aventi impatto su reti, sistemi informativi e servizi
informatici di cui all'art. 1, comma 2, lettera b), del decreto-legge
21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge
18 novembre 2019, n. 133, e di misure volte a garantire elevati
livelli di sicurezza»;
c) «perimetro», il perimetro di sicurezza nazionale cibernetica
istituito ai sensi dell'art. 1, comma 1, del decreto-legge;
d) «soggetti inclusi nel perimetro», i soggetti di cui all'art.
1, comma 2-bis, del decreto-legge;
e) «bene ICT» (Information and communication technology), un
insieme di reti, sistemi informativi e servizi informatici, o parti
di essi, incluso nell'elenco di cui all'art. 1, comma 2, lettera b),
del decreto-legge;
f) «incidente», ogni evento di natura accidentale o intenzionale
che determina il malfunzionamento, l'interruzione, anche parziali,
ovvero l'utilizzo improprio delle reti, dei sistemi informativi o dei
servizi informatici;
g) «impatto sul bene ICT», limitazione della operativita' del
bene ICT, ovvero compromissione della disponibilita', integrita', o
riservatezza dei dati e delle informazioni da esso trattati, ai fini
dello svolgimento della funzione o del servizio essenziali.
Art. 2
Oggetto
1. Il presente provvedimento indica la tassonomia degli incidenti
aventi impatto su reti, sistemi informativi e servizi informatici
diversi dai beni ICT di pertinenza dei soggetti inclusi nel
perimetro, che i soggetti medesimi sono tenuti a notificare ai sensi
dell'art. 1, comma 3-bis, del decreto-legge.
Art. 3
Tassonomia degli incidenti
1. Nella sezione 1 della tabella di cui all'allegato A al presente
provvedimento sono classificati, in categorie, gli incidenti di cui
all'art. 2, comma 1, indicando, per ciascuna tipologia di incidente,
un codice identificativo e la corrispondente categoria, accompagnata
dalla descrizione di ciascuna tipologia di incidente.
2. Al fine di fornire all'Agenzia per la cybersicurezza nazionale
un quadro di valutazione della minaccia piu' completo, nella sezione
2 della tabella di cui all'allegato A al presente provvedimento sono,
altresi', descritti gli eventi che i soggetti inclusi nel perimetro
potranno notificare, con le medesime modalita' previste dall'art. 1,
comma 3-bis, del decreto-legge.
Art. 4
Disposizioni finali
1. La presente determina ha efficacia dal quindicesimo giorno
successivo alla sua pubblicazione nella Gazzetta Ufficiale della
Repubblica italiana e sara' disponibile, dopo la pubblicazione, sui
siti istituzionali dell'Agenzia per la cybersicurezza nazionale
(https://www.acn.gov.it e https://www.csirt.gov.it).