L’ACN ha reso pubblica la Guida alla notifica degli incidenti al CSIRT Italia, lo scorso 24 luglio. Si tratta di un vademecum per adottare correttamente la procedura di notifica degli incidenti informatici al fine di garantire cyber sicurezza e resilienza delle reti, dei sistemi IT e dei servizi.

“Rappresenta un’utile sintesi delle modalità di notifica al CSIRT Italia degli incidenti informatici”, commenta Claudio Telmon, Senior Partner – Information & Cyber Security presso P4I – Partners4Innovation: “Non è, infatti, un semplice tutorial su come utilizzare il sito del CSIRT per le notifiche. Inquadra, invece, la notifica nell’ambito delle norme applicabili e dei processi aziendali che dovrebbero portare alla notifica“.

“La guida è un ulteriore strumento che l’Agenzia mette a disposizione della propria constituency per il rafforzamento della sicurezza e resilienza delle reti, dei sistemi informativi e dei servizi informatici”, conferma il Prefetto Milena Antonella Rizzi, Direttore del Servizio Regolazione dell’Agenzia per la Cybersicurezza nazionale: “La notifica degli incidenti riveste pertanto un ruolo estremamente rilevante per il potenziamento di un ecosistema cyber resiliente“.

Guida ACN per le notifiche degli incidenti: a chi si rivolge

Il tutorial dell’ACN si propone come un “testo unico” delle istruzioni per le varie realtà, sia pubbliche che private, che, per legge, devono notificare i cyber incidenti. Il tutorial è dunque destinato a chi ricade nel Perimetro di Sicurezza Nazionale Cibernetica (PSNC), a chi opera in ambito NIS e Telco, oltre ai soggetti oggi presi in considerazione dalla legge n. 90/2024.

Le linee guida sono, inoltre, dedicate ai soggetti pubblici e privati che, sebbene non tenuti alla notifica, tuttavia intendono segnalare volontariamente l’incidente al CSIRT, in modo tale da dare il proprio contributo a una più efficace condivisione della conoscenza del grado e della magnitudo della cyber minaccia, per migliorare la resilienza dell’ecosistema digitale italiano.

Infatti “Il documento si rivolge ai soggetti, pubblici e privati, tenuti per legge alla notifica degli incidenti (come, ad esempio, quelli inclusi nel Perimetro di Sicurezza Nazionale Cibernetica, quelli in ambito NIS e Telco e quelli rientranti nell’ambito di applicazione della legge n. 90/2024) e a tutti coloro i quali volontariamente procedono alla segnalazione di un incidente”, sottolinea il Prefetto Milena Antonella Rizzi.

“La Guida dedica una specifica sezione per ciascuno dei gruppi di soggetti che, ad oggi, sono tenuti a notificare incidenti allo CSIRT: soggetti in perimetro PSNC, OSE e FSD (che, presumibilmente, saranno prossimamente affiancati e poi sostituiti dai soggetti in perimetro NIS 2), operatori Telco e, infine, i soggetti individuati dalla legge 90/2024, la cosiddetta ‘legge sulla cyber security’ in vigore dal 17 luglio 2024“, spiega Claudio Telmon.

Che continua: “È probabilmente per questi ultimi che la guida è più interessante, dato che la maggior parte degli altri soggetti è tenuta alla notifica già da anni e dovrebbe avere ormai compreso il processo. Tuttavia, anche nuovi soggetti che entrino nel PSNC o nuovi operatori Telco potrebbero trovarla interessante. Per ognuna delle categorie indicate, vengono dettagliate le norme di riferimento e gli obblighi che ne derivano. Già solo per questo, la Guida rappresenta un ottimo riferimento per orientarsi fra le diverse tipologie di incidente, notifica e scadenza“.

I fattori determinanti per allertare e ottenere supporto per il ripristino

L’immediatezza e la puntualità delle informazioni fornite nel corso del processo di notifica ricoprono un ruolo cruciale affinché il CSIRT Italia acquisisca una conoscenza a 360 gradi dell’incidente informatico al fine di allertare e offrire alle entità impattate il sostegno necessario per ripristinare i servizi.

“Per il rafforzamento della sicurezza e resilienza nella dimensione digitale occorre infatti non solo indirizzare i soggetti obbligati a notificare gli incidenti ma anche incentivare le notifiche volontarie“, mette in evidenza il Direttore del Servizio Regolazione dell’Agenzia per la Cybersicurezza nazionale: “Ciò al fine di consentire all’Agenzia di acquisire una conoscenza quanto più completa ed esaustiva dell’incidente occorso, tassello fondamentale per porre in essere una più efficace attività di allertamento della costituency e fornire ai soggetti impattati il supporto necessario al ripristino dei servizi“.

“Per ciascuna delle categorie”, infatti, “una sezione particolarmente interessante è ‘Come riconoscere un incidente da notificare‘, che è quanto deve essere incluso nei processi aziendali di gestione incidenti per assicurarsi di intercettare correttamente quelli che necessitano di notifica”, evidenzia Telmon: “Importanti naturalmente anche i tempi, che definiscono dei vincoli spesso estremamente sfidanti per il processo di gestione”.

Le 4 fasi del flusso informativo verso il CSIRT

Il flusso informativo verso il CSIRT Italia si declina in quattro fasi:

• una fase preparatoria, dedicata alla raccolta delle prime informazioni per conoscere adeguatamente l’evento;
• segue la fase di segnalazione dell’incidente;
• la vera e propria gestione della notifica;
• la chiusura dell’incidente che chiude il processo.

“Nel complesso, quindi”, la Guida rappresenta “un utile strumento soprattutto per quei soggetti che nei prossimi mesi dovranno adeguarsi ai requisiti posti dalla legge 90/2024“, conclude Telmon.

Durante la segnalazione dell’incidente, si compila un modulo sul sito internet del CSIRT Italia. Si comunica al Csirt secondo una tempistica stabilita nelle linee guida, che dipende dai differenti presidi normativi cui appartiene il soggetto.

In ogni caso, la segnalazione si associa al principio di prontezza della conoscenza dell’incidente. Sia nei termini della sua intensità che del suo eventuale impatto sistemico.

Infine, la gestione della notifica riguarda le operazioni di incident handling. Il personale del CSIRT Italia fornisce supporto alla vittima consigliando utili ed efficaci azioni di contenimento e di ripristino dei servizi.