Gazzetta n. 17 del 21 gennaio 2019 (vai al sommario) MINISTERO DELLO SVILUPPO ECONOMICO DECRETO 12 dicembre 2018 Misure di sicurezza ed integrita' delle reti di comunicazione elettronica e notifica degli incidenti significativi. IL MINISTRO DELLO SVILUPPO ECONOMICO Visto il decreto legislativo 1° agosto 2003, n. 259, recante il Codice delle comunicazioni elettroniche, modificato dal decreto legislativo 28 maggio 2012, n. 70 in attuazione delle direttive 2009/140/CE in materia di reti e servizi di comunicazione elettronica e 2009/136/CE in materia di trattamento dei dati personali e tutela della vita privata; Visti in particolare, gli articoli 16-bis e 16-ter del predetto decreto legislativo n. 259 del 2003 e successive modificazioni; Vista la legge 3 agosto 2007, n. 124, recante il sistema di informazione per la sicurezza della Repubblica e la nuova disciplina del segreto; Vista la direttiva adottata con decreto del Presidente del Consiglio dei ministri del 17 febbraio 2017, recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali, pubblicato nella Gazzetta Ufficiale n. 87 del 13 aprile 2017; Visto il decreto legislativo 18 maggio 2018, n. 65, che ha recepito la direttiva (UE) 2016/1148 in materia di sicurezza delle reti e dei sistemi informativi, ed in particolare l'art. 8 e l'art. 12, comma 6 relativi rispettivamente al CSIRT Italiano e all'organo istituito presso il Dipartimento informazioni per la sicurezza incaricato, ai sensi delle direttive del Presidente del Consiglio dei ministri adottate sentito il Comitato interministeriale per la sicurezza della Repubblica (CISR), delle attivita' di prevenzione e preparazione ad eventuali situazioni di crisi e di attivazione delle procedure di allertamento; Visto il decreto legislativo 30 giugno 2003, n. 196, recante il «Codice in materia di protezione dei dati personali»; Visto il decreto del Ministro delle comunicazioni di concerto con il Ministro dell'economia e delle finanze del 15 febbraio 2006, pubblicato nella Gazzetta Ufficiale del 7 aprile 2006, n. 82, e relativo ai compensi dovuti per prestazioni conto terzi eseguite dal Ministero delle comunicazioni, ai sensi dell'art. 6 del decreto legislativo 30 dicembre 2003, n. 366; Visto il decreto della Presidenza del Consiglio dei ministri 5 dicembre 2015, n. 158, recante il Regolamento di organizzazione del Ministero dello sviluppo economico, ed in particolare l'art. 14 che affida all'Istituto superiore delle comunicazioni e delle tecnologie dell'informazione l'individuazione delle misure tecnico-organizzative di sicurezza ed integrita' delle reti, la verifica del rispetto delle stesse e la notifica degli incidenti di sicurezza significativi agli organi europei competenti, ai sensi degli articoli 16-bis e 16-ter del decreto legislativo 1° agosto 2003, n. 259, in accordo con i soggetti istituzionali competenti e, in particolare, con l'Agenzia per l'Italia Digitale; Vista la legge 31 luglio 1997, n. 249, recante «Istituzione dell'Autorita' per le garanzie nelle comunicazioni e norme sui sistemi delle telecomunicazioni e radiotelevisivo» e, in particolare, l'art. 1; Tenuto conto delle indicazioni contenute nei documenti elaborati dall'Agenzia europea per la sicurezza delle reti e dell'informazione (ENISA) con il contributo degli Stati membri dell'Unione europea: «Technical guidance on the security measures in Article 13a» -Versione 2.0, Ottobre 2014 e «Technical guidance on the incident reporting in Article 13» Versione 2.1, Ottobre 2014; Considerata la necessita' di attuare le disposizioni dei suddetti articoli 16-bis e 16-ter, al fine di incrementare i livelli di sicurezza delle reti e la disponibilita' dei servizi su tali reti; Considerati i dati pubblicati nell'Osservatorio trimestrale delle comunicazioni a cura dell'Autorita' per le garanzie nelle comunicazioni relativamente alla base di utenti nazionali per i servizi voce e dati su rete fissa e rete mobile; Sentiti i fornitori di reti e servizi di comunicazione elettronica e le relative Associazioni; Sentite l'Autorita' per le garanzie nelle comunicazioni e l'Agenzia per l'Italia Digitale; Decreta: Art. 1 Definizioni 1. Ai fini del presente decreto si intende per: a) «incidente di sicurezza»: una violazione della sicurezza o perdita dell'integrita' che determina un malfunzionamento delle reti e dei servizi di comunicazione elettronica; b) «asset critico»: un'infrastruttura in grado di fornire servizi di comunicazione elettronica a un significativo numero di utenti, espresso in termini percentuali rispetto alla base di utenti nazionale dei medesimi servizi; c) «sicurezza e integrita' della rete»: condizioni che assicurano la disponibilita' e continuita' dei servizi di comunicazioni elettroniche forniti; d) «base di utenti nazionale»: il numero totale di utenti finali a livello nazionale per singolo servizio di comunicazioni elettroniche, da intendersi come: numero di accessi complessivi da rete fissa (sia voce che dati); numero complessivo delle SIM attive Human (per traffico voce e dati). 2. Per quanto non espressamente previsto dal comma 1, si applicano le definizioni del decreto legislativo 1° agosto 2003, n. 259, recante il «Codice delle comunicazioni elettroniche».   Allegato 1 Modalita' per l'individuazione degli asset critici di cui all'art. 4, comma 2 Il presente allegato si applica a ciascun servizio di cui all'art. 3, comma 1. 1. Identificazione degli asset. Valutazione degli asset utilizzati per erogare i servizi di cui all'art. 3, comma 1, identificando per ciascuno di tali servizi tutti gli asset, propri o di terzi, che contribuiscono anche parzialmente alla fornitura dei servizi alla propria base di utenti. 2. Descrizione degli asset. Individuazione degli asset identificati in termini funzionali e architetturali per ciascun servizio di cui all'art. 3, comma 1, sulla base della seguente ripartizione di elementi funzionali: a) accesso (concentratori di rete fissa e apparati della rete radio di accesso); b) commutazione (autocommutatori, router); c) trasporto (apparati e cavi della rete ottica); d) controllo e gestione (sistemi di segnalazione, sistemi di autenticazione, Domain Name System - DNS, Home Location Register - HLR, sistemi di gestione di rete). 3. Topologia, caratteristiche e distribuzione degli asset nella rete. a) Identificazione degli asset in termini topologici e dimensionali nella rete relativamente alle tipologie di elementi funzionali definite al punto precedente; b) distribuzione geografica e caratteristiche di ridondanza degli asset che compongono le tipologie degli elementi; c) numerosita' dei suddetti asset; d) interconnessioni tra i suddetti asset. 4. Esclusione degli asset. Individuazione degli asset dei quali, sulla base di opportune motivazioni, si prevede l'esclusione dall'insieme di quelli oggetto della valutazione.   Art. 2 Scopo del decreto 1. Il presente decreto attua le disposizioni degli articoli 16-bis e 16-ter del decreto legislativo 1° agosto 2003, n. 259, e, in particolare, persegue i seguenti obiettivi: a) individuare adeguate misure di natura tecnico - organizzativa per la sicurezza e l'integrita' delle reti e dei servizi di comunicazione elettronica, al fine di conseguire un livello di sicurezza delle reti adeguato al rischio esistente e di garantire la disponibilita' e continuita' dei servizi su tali reti, prevenendo e limitando gli impatti di incidenti che possono pregiudicare la sicurezza per gli utenti e per le reti interconnesse; b) definire i casi in cui le violazioni della rete o la perdita dell'integrita' sono da considerarsi significative, ai fini della notifica da parte dei fornitori di reti e servizi di comunicazione alle competenti Autorita', nonche' le relative modalita' di tale notifica.   Art. 3 Campo di applicazione 1. Il presente decreto si applica ai servizi di comunicazione elettronica di seguito riportati: a) accesso alla rete fissa o mobile da postazione fissa; b) accesso alla rete fissa o mobile da terminale mobile. 2. Il presente decreto si applica ai fornitori di reti e servizi di comunicazione elettronica che servono un numero di utenti effettivo pari o superiore all'1% della base di utenti nazionale per ciascun servizio di cui al comma 1, calcolato sulla base dei dati pubblicati dall'Osservatorio trimestrale delle comunicazioni a cura dell'Autorita' per le garanzie nelle comunicazioni. Il presente decreto si applica altresi' ai fornitori di reti e servizi di comunicazione elettronica che servono un numero di utenti effettivo pari o superiore ad un milione.   Art. 4 Misure di sicurezza e integrita' delle reti 1. I fornitori di reti e servizi di comunicazione elettronica sono tenuti ad adottare le seguenti misure di sicurezza e integrita' delle reti e dei servizi: a) politica di sicurezza approvata dalla Direzione aziendale: 1) predisporre una documentata politica relativamente alla sicurezza e alla integrita' delle reti di comunicazione e dei servizi forniti; 2) definire una dettagliata politica di sicurezza per gli asset critici e i processi aziendali; 3) definire e mantenere aggiornata una politica di sicurezza per tutti gli aspetti elencati nelle successive lettere; b) gestione del rischio: 1) individuare i principali rischi per la sicurezza e l'integrita' delle reti e dei servizi di comunicazione elettronica forniti, tenendo conto delle minacce che insistono sugli asset critici; 2) definire una metodologia di gestione dei rischi e utilizzare strumenti basati sugli standard di settore; 3) verificare l'effettivo utilizzo di tali metodologie e strumenti di gestione del rischio da parte del personale; 4) assicurarsi che i rischi residui, anche derivanti da vincoli realizzativi, siano minimizzati rispetto alla probabilita' del verificarsi di incidenti significativi e che siano accettati dalla Direzione; c) struttura organizzativa: 1) identificare ruoli per il personale e le relative responsabilita' in autonomia di esercizio; 2) conferire, con formale nomina, ruoli e responsabilita' al personale; 3) assicurare la reperibilita', in caso di incidenti di sicurezza, del personale responsabile; d) servizi e prodotti forniti da terze parti: 1) definire i requisiti di sicurezza nei contratti con terze parti; 2) verificare il rispetto dei requisiti fissati nei contratti; 3) assicurare che i rischi residui che non sono gestiti dalla terza parte siano minimizzati rispetto alla probabilita' del verificarsi di incidenti e che siano accettati dalla Direzione; 4) tenere traccia ed eventualmente gestire gli incidenti di sicurezza relativi a terze parti o da esse causati che si ripercuotono sulla rete o sul servizio erogato; e) formazione e gestione del personale: 1) definire un piano di formazione del personale; 2) prevedere un'adeguata ed aggiornata formazione del personale con ruoli di responsabilita'; 3) organizzare corsi di formazione e sessioni di sensibilizzazione per tutto il personale; 4) verificare le conoscenze acquisite dal personale; 5) definire appropriate procedure per gestire le nuove assunzioni e la rotazione del personale che ricopre ruoli di responsabilita'; 6) revocare diritti di accesso, se non piu' giustificati; 7) definire procedure di intervento per violazioni delle politiche di sicurezza di cui alla lettera a), che mettano a rischio la sicurezza e l'integrita' delle reti e dei servizi di comunicazione elettronica; f) sicurezza fisica e logica: 1) definire condizioni, responsabilita' e procedure per l'assegnazione, la revoca dei diritti di accesso, e per l'approvazione delle eventuali eccezioni; 2) definire meccanismi di autenticazione appropriati, a seconda del tipo di accesso; 3) adottare meccanismi di protezione da accessi fisici non autorizzati o da eventi imprevisti quali, a titolo esemplificativo ma non esaustivo, furti con scasso, incendi, inondazioni; 4) adottare meccanismi di controllo di accesso logico appropriati per l'accesso alla rete e ai sistemi di informazione per consentirne solo l'uso autorizzato; 5) verificare che utenti e sistemi abbiano ID univoci e possano accedere ad altri servizi e sistemi previa autenticazione; 6) monitorare e registrare gli accessi; 7) prevedere meccanismi di protezione degli impianti funzionali all'erogazione del servizio, quali, a titolo esemplificativo ma non esaustivo, elettricita' e gas; g) integrita' della rete e dei sistemi informativi: 1) implementare sistemi di protezione e di rilevamento di codice malevolo che possa alterare la funzionalita' dei sistemi; 2) assicurarsi che il software impiegato nella rete e nei sistemi informativi non venga manomesso o alterato; 3) assicurarsi che i dati critici sulla sicurezza, quali, a titolo esemplificativo ma non esaustivo, password e chiavi private, non siano divulgati o manomessi; h) gestione operativa: 1) predisporre le procedure operative e individuare i responsabili per il funzionamento dei sistemi critici; 2) predisporre procedure per la gestione di eventuali cambiamenti; 3) attenersi alle procedure predefinite quando si effettuano attivita' sui sistemi critici; 4) registrare e documentare ogni modifica o attivita' effettuata sui sistemi critici; 5) predisporre e aggiornare un database delle configurazioni dei sistemi critici per eventuali ripristini delle stesse; 6) predisporre e aggiornare un inventario degli asset critici; i) gestione degli incidenti di sicurezza: 1) prevedere una struttura tecnica con adeguata competenza e disponibilita' incaricata della gestione degli incidenti; 2) predisporre e aggiornare un database degli incidenti; 3) esaminare i principali incidenti e redigere relazioni sugli stessi, che contengano informazioni sulle azioni intraprese e sulle raccomandazioni per ridurre il rischio del ripetersi di incidenti analoghi; 4) definire e implementare processi e sistemi per il rilevamento degli incidenti; 5) definire procedure per informare gli utenti su incidenti in corso o risolti, oltreche' il CSIRT italiano e l'Istituto superiore delle comunicazioni e delle tecnologie dell'informazione del Ministero dello sviluppo economico (di seguito anche ISCTI) secondo quanto previsto dal presente decreto, notiziando comunque preventivamente il CSIRT e l'ISCTI; 6) definire procedure per la segnalazione degli incidenti significativi ai sensi del successivo art. 5. j) continuita' operativa: 1) predisporre e implementare piani di emergenza per gli asset critici; 2) monitorare l'attivazione e l'esecuzione di piani di emergenza, registrando i tempi di ripristino dell'operativita' e del servizio; 3) predisporre e mantenere una appropriata capacita' di disaster recovery; 4) implementare procedure per le attivita' di ripristino dell'operativita' e dei servizi; k) monitoraggio, test e controllo: 1) sottoporre a test reti, sistemi informativi e nuove versioni del software prima di utilizzarli o collegarli a sistemi esistenti; 2) implementare il monitoraggio e la registrazione dello stato e degli eventi dei sistemi critici; 3) impostare gli strumenti per raccogliere e archiviare i registri dei sistemi critici; 4) configurare strumenti per la raccolta e l'analisi automatizzata di dati e registri di monitoraggio; 5) predisporre un programma per la realizzazione di esercitazioni periodiche per testare piani di disaster recovery e di ripristino dei backup; 6) implementare strumenti per test automatizzati; 7) assicurarsi che i sistemi critici siano sottoposti a scansioni e test di sicurezza regolarmente, in particolare quando vengono introdotti nuovi sistemi e in seguito a modifiche; 8) monitorare la conformita' agli standard e alle disposizioni normative. 2. Le misure di cui al comma 1 si riferiscono agli asset critici, individuati secondo le modalita' di cui all'Allegato 1 al presente decreto, in cui il valore della percentuale dell'utenza, che l'asset e' potenzialmente in grado di servire per ciascun servizio di cui al comma 1, e' pari o superiore all'1% della base di utenti nazionale per quel servizio, sulla base dei dati pubblicati dall'Osservatorio trimestrale delle comunicazioni a cura dell'Autorita' per le garanzie nelle comunicazioni. Le misure di cui al comma 1 si riferiscono altresi' agli asset critici individuati secondo i criteri di cui all'Allegato 1 al presente decreto in cui il numero della potenziale utenza servita e' pari o superiore ad un milione.   Art. 5 Incidenti significativi 1. I parametri che definiscono la significativita' di un incidente di sicurezza sono la durata del disservizio e la percentuale degli utenti colpiti rispetto al totale degli utenti nazionali del servizio interessato. 2. In attuazione dei parametri di cui all'art. 3, comma 2, gli incidenti sono da considerarsi significativi, nei seguenti casi: a) durata superiore ad un'ora e percentuale degli utenti colpiti superiore al quindici per cento del totale degli utenti nazionali del servizio interessato; b) durata superiore a due ore e percentuale degli utenti colpiti superiore al dieci per cento del totale degli utenti nazionali del servizio interessato; c) durata superiore a quattro ore e percentuale degli utenti colpiti superiore al cinque per cento del totale degli utenti nazionali del servizio interessato; d) durata superiore a sei ore e percentuale degli utenti colpiti superiore al due per cento del totale degli utenti nazionali del servizio interessato; e) durata superiore ad otto ore e percentuale degli utenti colpiti superiore all'uno per cento del totale degli utenti nazionali del servizio interessato. 3. Nei casi di cui al comma 2, i fornitori di servizi di comunicazione elettronica segnalano tempestivamente l'incidente al CSIRT di cui all'art. 8 del decreto legislativo 18 maggio 2018, n. 65 e all'ISCTI. La comunicazione e' effettuata entro ventiquattro ore dall'avvenuta rilevazione dell'incidente, con l'indicazione almeno delle seguenti informazioni, qualora disponibili: a) servizio interessato; b) durata dell'incidente qualora concluso, ovvero la stima della conclusione se ancora in corso; c) impatto stimato sull'utenza del servizio interessato in termini percentuali rispetto alla base di utenti nazionale per il medesimo servizio. 4. Entro cinque giorni dalla segnalazione di cui al comma 3, i fornitori di servizi di comunicazione elettronica trasmettono al CSIRT e all'ISCTI un rapporto in cui sono riportati: a) descrizione dell'incidente; b) causa dell'incidente quale, a titolo meramente esemplificativo ma non esaustivo, errore umano, guasto, fenomeno naturale, azioni malevoli, guasti causati da terze parti; c) conseguenze sul servizio fornito; d) infrastrutture e sistemi colpiti; e) impatto sulle interconnessioni a livello nazionale; f) azioni di risposta per mitigare l'impatto dell'incidente; g) azioni per ridurre la probabilita' del ripetersi dell'incidente o di incidenti simili. Eventuali informazioni rilevanti emerse successivamente all'invio del suddetto rapporto saranno oggetto di un rapporto integrativo trasmesso con la massima sollecitudine al CSIRT e all'ISCTI. 5. L'ISCTI inoltra tempestivamente le comunicazioni di cui ai commi 3 e 4 all'organo di cui all'art. 12, comma 6, del decreto legislativo 18 maggio 2018, n. 65. 6. L'ISCTI invia all'Agenzia ENISA e alla Commissione europea con periodicita' annuale un report sugli incidenti segnalati, contenente le informazioni di cui ai commi 3 e 4, senza l'indicazione dei fornitori di reti e servizi di comunicazione elettronica interessati. 7. Nei casi in cui gli incidenti di cui al comma 3 possono avere un impatto su reti e servizi di un altro Stato membro, i fornitori di reti e servizi di comunicazione elettronica informano tempestivamente il CSIRT e l'ISCTI per la successiva notifica all'Agenzia ENISA e all'Autorita' dello Stato membro interessato.   Art. 6 Rispetto degli obblighi 1. Entro novanta giorni dall'entrata in vigore del presente decreto, i fornitori di reti e servizi di comunicazione elettronica trasmettono all'ISCTI l'elenco degli asset critici oggetto delle misure di cui all'art. 4, individuati secondo i criteri stabiliti nell'Allegato 1, e implementano tali misure nei successivi centoventi giorni. 2. Ai fini della valutazione del soddisfacimento delle misure definite nell'art. 4, comma 1 del presente decreto, l'ISCTI tiene conto anche dell'eventuale possesso di certificazioni di conformita' a standard riconosciuti a livello internazionale che attestano l'applicazione di tali misure. 3. Al fine di verificare la corretta applicazione delle disposizioni contenute nel presente decreto, l'ISCTI puo', autonomamente o su impulso dell'Autorita' per le garanzie nelle comunicazioni, effettuare verifiche e controlli presso le sedi dei fornitori di reti e servizi di comunicazione elettronica, anche avvalendosi degli Ispettorati territoriali o di un organismo qualificato indipendente. Ai sensi dell'art. 16-ter, comma 2, lettera b), del decreto legislativo 1° agosto 2003, n. 259, i relativi oneri finanziari sono sostenuti dai fornitori di reti e servizi di comunicazione elettronica. Qualora dette attivita' ispettive siano eseguite da personale del Ministero dello sviluppo economico si applica un rimborso delle spese sostenute calcolato sulla base delle disposizioni contenute nel decreto 15 febbraio 2006 del Ministro delle comunicazioni di concerto con il Ministro dell'economia e delle finanze. 4. Qualora a seguito delle verifiche e dei controlli di cui al comma 3 venga riscontrata la mancata applicazione delle disposizioni del presente decreto, l'ISCTI diffida i fornitori di reti e servizi di comunicazione elettronica a regolarizzare la propria posizione entro un termine congruo decorso il quale, in caso di inottemperanza, trovano applicazione le sanzioni di cui all'art. 98, commi da 4 a 12, del decreto legislativo 1° agosto 2003, n. 259.   Art. 7 Disposizioni finali 1. Dall'attuazione del presente decreto non devono derivare nuovi o maggiori oneri per la finanza pubblica. 2. Il presente decreto e' modificato almeno ogni due anni. 3. Il presente decreto entra in vigore il giorno successivo alla sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. Roma, 12 dicembre 2018 Il Ministro: Di Maio