| Gazzetta n. 7 del 10 gennaio 2023 (vai al sommario) |
| AGENZIA PER LA CYBERSICUREZZA NAZIONALE |
| DETERMINA 3 gennaio 2023 |
| Tassonomia degli incidenti che debbono essere oggetto di notifica. |
|
|
IL DIRETTORE GENERALE
Visto il decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, recante «Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale»;
Visto il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, recante «Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica» e, in particolare, l'art. 1, comma 3-bis;
Visto il decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131, recante «Regolamento in materia di perimetro di sicurezza nazionale cibernetica, ai sensi dell'art. 1, comma 2, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133»;
Visto il decreto del Presidente del Consiglio dei ministri 14 aprile 2021, n. 81, recante «Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all'art. 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza»;
Ritenuto di dover dare attuazione a quanto previsto dal citato art. 1, comma 3-bis, del decreto-legge n. 105 del 2019, indicando la tassonomia di incidenti che devono essere notificati ai sensi del medesimo comma 3-bis;
Sentito il vice direttore generale;
Determina:
Art. 1
Definizioni
1. Ai fini del presente provvedimento si intende per:
a) «decreto-legge», il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133;
b) «DPCM 2», il decreto del Presidente del Consiglio dei ministri 14 aprile 2021, n. 81, recante «Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all'art. 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza»;
c) «perimetro», il perimetro di sicurezza nazionale cibernetica istituito ai sensi dell'art. 1, comma 1, del decreto-legge;
d) «soggetti inclusi nel perimetro», i soggetti di cui all'art. 1, comma 2-bis, del decreto-legge;
e) «bene ICT» (Information and communication technology), un insieme di reti, sistemi informativi e servizi informatici, o parti di essi, incluso nell'elenco di cui all'art. 1, comma 2, lettera b), del decreto-legge;
f) «incidente», ogni evento di natura accidentale o intenzionale che determina il malfunzionamento, l'interruzione, anche parziali, ovvero l'utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici;
g) «impatto sul bene ICT», limitazione della operativita' del bene ICT, ovvero compromissione della disponibilita', integrita', o riservatezza dei dati e delle informazioni da esso trattati, ai fini dello svolgimento della funzione o del servizio essenziali.
|
| | Allegato A
(articolo 3)
TASSONOMIA DEGLI INCIDENTI
(in attuazione dell'articolo 1, comma 3-bis, del D.L. n. 105/2019)
Parte di provvedimento in formato grafico
|
| | Art. 2
Oggetto
1. Il presente provvedimento indica la tassonomia degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici diversi dai beni ICT di pertinenza dei soggetti inclusi nel perimetro, che i soggetti medesimi sono tenuti a notificare ai sensi dell'art. 1, comma 3-bis, del decreto-legge.
|
| | Art. 3
Tassonomia degli incidenti
1. Nella sezione 1 della tabella di cui all'allegato A al presente provvedimento sono classificati, in categorie, gli incidenti di cui all'art. 2, comma 1, indicando, per ciascuna tipologia di incidente, un codice identificativo e la corrispondente categoria, accompagnata dalla descrizione di ciascuna tipologia di incidente.
2. Al fine di fornire all'Agenzia per la cybersicurezza nazionale un quadro di valutazione della minaccia piu' completo, nella sezione 2 della tabella di cui all'allegato A al presente provvedimento sono, altresi', descritti gli eventi che i soggetti inclusi nel perimetro potranno notificare, con le medesime modalita' previste dall'art. 1, comma 3-bis, del decreto-legge.
|
| | Art. 4
Disposizioni finali
1. La presente determina ha efficacia dal quindicesimo giorno successivo alla sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana e sara' disponibile, dopo la pubblicazione, sui siti istituzionali dell'Agenzia per la cybersicurezza nazionale (https://www.acn.gov.it e https://www.csirt.gov.it).
Roma, 3 gennaio 2023
Il direttore generale: Baldoni
|
| |
|
|