IL PRESIDENTE
DEL CONSIGLIO DEI MINISTRI
Ai signori Ministri della Repubblica
e, p.c. Al signor sottosegretario di Stato
alla Presidenza del Consiglio -
Autorita' delegata per la sicurezza
della Repubblica
Al signor segretario generale della
Presidenza del Consiglio dei
ministri
Loro sedi 1. Premessa
Il decreto-legge 10 agosto 2023, n. 105, convertito, con modificazioni, dalla legge 9 ottobre 2023, n. 137, ha introdotto all'art. 7, comma 1, del decreto-legge n. 82 del 2021, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109 (istitutivo dell'ACN), la lettera n-bis), con cui si fa obbligo ai soggetti pubblici e privati interessati da un incidente informatico di prestare massima collaborazione al personale tecnico-specialistico dell'ACN che interviene per le cosiddette attivita' di remediation, ossia di contenimento e mitigazione delle conseguenze dell'incidente informatico, rivolte al ripristino quanto piu' possibile immediato dell'operativita' dei sistemi compromessi.
A riprova della necessita' che tale collaborazione si dispieghi nella misura massima possibile, nell'interesse stesso del soggetto impattato, e anche per scongiurare effetti sistemici - ossia capaci di propagare conseguenze anche oltre la superficie oggetto di attacco - la stessa novella legislativa prevede la possibilita' di applicare sanzioni nei casi di mancata o inadeguata collaborazione.
La richiamata disposizione legislativa, che attribuisce cogenza a livello normativo a quanto si era anticipato con la direttiva presidenziale del 6 luglio 2023, assume un rilievo del tutto peculiare nell'attuale contesto geopolitico in cui si moltiplicano gli attacchi informatici verso quei paesi, come l'Italia, che risultano particolarmente esposti alla minaccia cyber per aver assunto, nell'ambito della comunita' internazionale, posizioni di solidarieta' e di sostegno degli attori statuali in conflitto, sia con riguardo alla crisi russo-ucraina, sia con riguardo allo scenario mediorientale.
La succitata norma, tuttavia, pur valorizzando il momento collaborativo e dichiarandone, dunque, l'importanza ai fini della resilienza del Paese, richiede uno sforzo organizzativo ad hoc perche' le attivita' rispettivamente poste in essere dai soggetti impattati e da ACN vengano a corrispondere ad un preciso modello operativo capace di dare efficacia ed efficienza ad interventi di risposta in caso di attacco. 2. Indirizzi di attuazione e coordinamento
Per consentire che l'attivita' di supporto dell'ACN, sviluppata in occasione di eventi e incidenti cibernetici, venga a corrispondere alle esigenze esplicitate in premessa, seguendo, dunque, uno schema il piu' possibile predefinito che tracci un preciso modus operandi, appare indispensabile che l'intervento tecnico-operativo trovi in un atto di intesa un puntuale strumento di declinazione e precisazione delle attivita' che ACN e il soggetto colpito dall'attacco informatico sono rispettivamente chiamati a porre in essere.
Naturalmente, per quanto detto in premessa riguardo alla delicata situazione internazionale e alla conseguente necessita' che vengano immediatamente protette le superfici digitali dei soggetti pubblici a cui sono demandate le funzioni nevralgiche del Paese, e' evidente che gli atti di intesa di cui sopra dovranno interessare le amministrazioni governative destinatarie della presente direttiva, anche in ragione della particolare sensibilita' dei servizi erogati a favore della comunita' nazionale.
Onde far si' che il meccanismo collaborativo possa esprimere in caso di incidente la massima efficacia, e' necessaria la preventiva messa in opera, ovvero implementazione, da parte dei soggetti pubblici interessati, di alcune indispensabili misure che di seguito vengono indicate e, nello specifico, di:
un censimento dei sistemi, apparati, piattaforme, applicazioni e flussi di dati utilizzati nello svolgimento delle proprie attivita', oltre che dei fornitori e/o partner terzi di sistemi informatici, componenti e servizi utilizzati;
un documento in cui siano definiti ruoli e responsabilita' inerenti alla cybersicurezza, sia del personale interno, sia di eventuali terze parti che supportano l'amministrazione, comprensivo dell'individuazione, tra il proprio personale, di un incaricato per la cybersicurezza (quale punto di contatto cyber ai fini delle comunicazioni e del necessario raccordo con l'ACN) e di un referente tecnico per la cybersicurezza (da identificarsi tra il personale responsabile della gestione operativa dei sistemi IT);
piani per la gestione delle vulnerabilita', dei backup dei dati necessari per l'esercizio delle proprie funzioni essenziali, nonche' del ciclo di vita dei sistemi, delle identita' e dei relativi permessi;
un piano di risposta in caso di incidente, nel quale vengano puntualmente definite le articolazioni interne che - in stretto raccordo con l'incaricato per la cybersicurezza (ove non direttamente dipendenti dallo stesso) - sono preposte all'attuazione del piano, definendone le competenze decisionali, finanziarie e tecniche, onde adeguatamente fronteggiare un incidente cibernetico.
Nondimeno, anche nelle more della piena attuazione dei presupposti del modello collaborativo di cui sopra, dovranno intervenire fin da subito intese speditive per la provvisionale definizione delle misure prioritarie e urgenti volte alla mitigazione del rischio cibernetico, in primis tra l'ACN e le amministrazioni rappresentate nel Comitato interministeriale per la cybersicurezza.
L'ACN avra' cura di monitorare, anche in seno al nucleo per la cybersicurezza, lo stato di attuazione e implementazione della presente direttiva, onde poterne successivamente informare l'Autorita' delegata.
Roma, 29 dicembre 2023
Il Presidente
del Consiglio dei ministri
Meloni
Registrato alla Corte dei conti il 31 gennaio 2024 Ufficio di controllo sugli atti della Presidenza del Consiglio dei ministri, del Ministero della giustizia e del Ministero degli affari esteri e della cooperazione internazionale, n. 286
|