La proposta di Stefano Mele all’ACN: “Comunicare solo attacchi cyber con impatto medio-alto su reti, sistemi informativi e servizi informatici al di fuori del Perimetro di sicurezza nazionale cibernetica. Così si potranno fornire dati di valore per il futuro hyper SOC dell’Agenzia”.
Nuovi obblighi per i soggetti all’interno del Perimetro di sicurezza nazionale cibernetica (Psnc) con l’obiettivo di rafforzare la cyber-resilienza del Paese. Dovranno notificare entro 72 ore anche gli attacchi informatici “aventi impatto su reti, sistemi informativi e servizi informatici di propria pertinenza”, che sono al di fuori del Psnc, e con i quali non erogano servizi essenziali al Paese. L’obiettivo è avere una fotografia generale degli attacchi informatici ai danni dei soggetti nel perimetro cyber, anche se l’incidente ha impatto su un device o rete non utilizzati per erogare un servizio strategico per l’Italia.
Lo prevede un emendamento approvato dal Senato nella conversione in legge del decreto Aiuti bis, che ieri ha ricevuto il via libera di Palazzo Madama (qui il testo integrale). Ora passa alla Camera dei deputati.
Perimetro cyber, nuove notifiche di attacchi entro 72 ore. Il parere dell’esperto Stefano Mele
“È una novità positiva”, commenta a Cybersecurity Italia Stefano Mele, partner presso Gianni&Origoni, responsabile del dipartimento di cybersecurity law, “perché contribuisce a fornire all’Agenzia per la cybersicurezza nazionale (ACN) un quadro complessivo di tutti gli incidenti informatici nei confronti di tutti gli asset dei soggetti all’interno del Perimetro di sicurezza nazionale cibernetica e non più solo relativi a reti, sistemi informativi e servizi informatici utilizzati dai soggetti nel Psnc per erogare i servizi essenziali per il Paese”.
“In questo modo”, spiega Mele, “tutti i dati confluiranno nel futuro hyper SOC gestito dall’ACN per monitorare, praticamente, in tempo reale, gli attacchi informatici su tutto il territorio nazionale ai danni delle infrastrutture critiche”.
Ora, serviranno le “determinazioni tecniche” del direttore generale, sentito il vicedirettore generale, dell’Agenzia per la cybersicurezza nazionale (Acn), per indicare la “tassonomia degli incidenti che debbono essere oggetto di notifica”.
E proprio sulle prossime indicazioni dell’Agenzia ecco l’idea di Stefano Mele per valorizzare la nuova normativa.
“La mia proposta”, continua l’esperto cybersecurity law, “è estendere l’obbligo di notifica entro 72 ore solo ad attacchi informatici con un impatto medio-alto (seguendo per esempio la classificazione dell’ENISA) riguardanti reti, sistemi informativi e servizi informatici che non sono stati inseriti nel perimetro cyber, ma che sono di propria pertinenza dei soggetti del Psnc”. “In questo modo”, conclude Stefano Mele, “si eviterebbe agli stessi soggetti di comunicare ‘piccoli guasti’, ma solo gli incidenti che possono portare valore alle analisi dell’ACN per avere lo scenario completo degli attacchi cyber ai danni di chi fa parte del Perimetro di sicurezza nazionale cibernetica”.