Pubblicate le nuove linee guida dell’Agenzia europea per la sicurezza informatica (ENISA) per facilitare la segnalazione di incidenti informatici da parte delle autorità nazionali di sicurezza.
L’Agenzia europea per la sicurezza informatica (ENISA) ha pubblicato le nuove linee guida per facilitare la segnalazione di incidenti informatici da parte delle autorità nazionali all’ENISA e alla Commissione europea, ai sensi del Codice europeo delle comunicazioni elettroniche (EECC).
Le nuove linee guida sostituiscono le precedenti pubblicate dall’ENISA sulla segnalazione degli incidenti ai sensi dell’articolo 13 bis della direttiva quadro sulle telecomunicazioni dell’UE. Questa versione rivista tiene conto del campo di applicazione e delle disposizioni dell’EECC e fornisce orientamenti tecnici non vincolanti alle autorità nazionali preposte al controllo della sicurezza nel settore delle comunicazioni elettroniche.
Il documento include inoltre informazioni su come e quando le autorità di sicurezza possono segnalare gli incidenti di sicurezza all’ENISA, alla Commissione europea e ad altre autorità di sicurezza.
Ecco i tre tipi di segnalazione degli incidenti previsti dall’articolo 40 della EECC:
- Segnalazione di incidenti nazionali dai fornitori alle autorità di sicurezza nazionale;
- Segnalazione ad hoc degli incidenti tra le autorità di sicurezza nazionale e l’ENISA;
- Relazione di sintesi annuale delle autorità di sicurezza nazionali alla Commissione europea e all’ENISA.
Le informazioni fornite considerano i servizi e gli incidenti che rientrano nell’ambito di applicazione dell’EECC – incidenti che incidono sulla riservatezza, disponibilità, integrità e autenticità di reti e servizi. Sono inoltre definite le soglie necessarie per la rendicontazione annuale. Queste soglie sono sia di natura quantitativa che qualitativa.
Gli elementi quantitativi considerati includono il numero di utenti interessati e la durata dell’incidente. Sono state utilizzate anche informazioni qualitative, come la copertura geografica dell’incidente e l’impatto sull’economia, sulla società e sugli utenti.
Le nuove linee guida includono anche un modello di rapporto sugli incidenti e tracciano la distinzione tra rapporti nazionali e annuali.