Articolo 15 – Gruppo nazionale di risposta agli incidenti di sicurezza informatica – CSIRT Italia

Home » CAPO II – Quadro nazionale di sicurezza informatica (art.9-17) » Articolo 15 – Gruppo nazionale di risposta agli incidenti di sicurezza informatica – CSIRT Italia

Sintesi Articolo 15

Il decreto introduce la figura del Gruppo nazionale di risposta agli incidenti di sicurezza informatica (CSIRT Italia).
Detto organo è incaricato della gestione degli incidenti di sicurezza informatica e propone una infrastruttura di informazioni e comunicazione sicura e resiliente atta a veicolare lo scambio di informazioni coi soggetti importanti ed essenziali, nonchè con strutture nazionali equivalenti di Paesi Terzi. Il CSIRT si occupa del monitoraggio e dell’analisi dei rischi e interviene in risposta a incidenti prestando assistenza ai soggetti colpiti. Inoltre, su richiesta dei soggetti importanti o essenziali, il CSIRT Italia può svolgere una scansione proattiva dei sistemi di rete al fine di rilevare eventuali vulnerabilità aventi potenziale impatto significativo. Laddove si ravvisino eventi malevoli per la sicurezza informatica a supporto del CSIRT Italia interviene il computer emergency response team ai fini di un coordinamento efficace della risposta agli incidenti.
Per attuare quanto sancito al presente articolo è stanziata una spesa annua di euro 2.000.000 a decorrere dall’anno 2025.

  1. Il CSIRT Italia, fermo restando quanto previsto dal decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109:

a) è l’organo preposto alle funzioni di gestione degli incidenti di sicurezza informatica per i settori, i sottosettori e le tipologie di soggetti di cui agli allegati I, II, III e IV, conformemente a modalità e procedure definite dal CSIRT stesso;

b) dispone di un’infrastruttura di informazione e comunicazione appropriata, sicura e resiliente a livello nazionale attraverso la quale scambiare informazioni con i soggetti essenziali o importanti e con gli altri portatori di interesse pertinenti;

c) coopera e, se opportuno, scambia informazioni pertinenti conformemente all’articolo 17 con comunità settoriali o intersettoriali di soggetti essenziali e di soggetti importanti;

d) partecipa alla revisione tra pari di cui all’articolo 21;

e) garantisce la collaborazione effettiva, efficiente e sicura, nella Rete di CSIRT nazionali di cui all’articolo 20;

f) ai sensi dell’articolo 7, comma 1, lettera s), del decreto-legge n. 82 del 2021, può stabilire relazioni di cooperazione con gruppi nazionali di risposta agli incidenti di sicurezza informatica di Paesi terzi. Nell’ambito di tali relazioni di cooperazione, facilita uno scambio di informazioni efficace, efficiente e sicuro con tali CSIRT nazionali, o strutture nazionali equivalenti di Paesi terzi, utilizzando i pertinenti protocolli di condivisione delle informazioni, ivi inclusi quelli adottati e sviluppati dalle principali comunità nazionali, europee e internazionali del settore. Il CSIRT Italia può scambiare informazioni pertinenti con Gruppi nazionali di risposta agli incidenti di sicurezza informatica di Paesi terzi o con organismi equivalenti di Paesi terzi, compresi dati personali ai sensi della normativa nazionale vigente e del diritto dell’Unione europea in materia di protezione dei dati personali;

g) ai sensi dell’articolo 7, comma 1, lettera s), del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, può cooperare con Gruppi nazionali di risposta agli incidenti di sicurezza informatica di Paesi terzi o con organismi equivalenti di Paesi terzi, in particolare al fine di fornire loro assistenza in materia di sicurezza informatica.

  1. Il CSIRT Italia:

a) è dotato di un alto livello di disponibilità dei propri canali di comunicazione evitando singoli punti di malfunzionamento e dispone di mezzi che gli permettono di essere contattato e di contattare i soggetti essenziali o importanti e altri CSIRT nazionali in qualsiasi momento. Il CSIRT Italia indica chiaramente i canali di comunicazione e li rende noti ai soggetti essenziali e importanti e agli altri CSIRT nazionali;

b) dispone di locali e sistemi informativi di supporto ubicati in siti sicuri;

c) utilizza un sistema adeguato di gestione e inoltro delle richieste, in particolare per facilitare i trasferimenti in maniera efficace ed efficiente;

d) garantisce la riservatezza e l’affidabilità delle proprie attività;

e) è dotato di sistemi ridondanti e spazi di lavoro di backup al fine di garantire la continuità dei propri servizi;

f) partecipa, se del caso, a reti di cooperazione internazionale.

  1. Il CSIRT Italia svolge i seguenti compiti:

a) monitora e analizza le minacce informatiche, le vulnerabilità e gli incidenti a livello nazionale e, su richiesta, fornisce assistenza ai soggetti essenziali e ai soggetti importanti interessati per quanto riguarda il monitoraggio in tempo reale o prossimo al reale dei loro sistemi informativi e di rete, secondo un ordine di priorità delle attività definito dal medesimo CSIRT Italia, onde evitare oneri sproporzionati o eccessivi;

b) emette preallarmi, allerte e bollettini e divulga informazioni ai soggetti essenziali e ai soggetti importanti interessati, nonché alle autorità nazionali competenti e agli altri pertinenti portatori di interessi, in merito a minacce informatiche, vulnerabilità e incidenti, se possibile in tempo prossimo al reale;

c) fornisce una risposta agli incidenti e assistenza ai soggetti essenziali e ai soggetti importanti interessati, ove possibile;
d) raccoglie e analizza dati forensi e fornisce un’analisi dinamica dei rischi e degli incidenti, nonché una consapevolezza situazionale riguardo alla sicurezza informatica;

e) effettua, su richiesta di un soggetto essenziale o importante, secondo modalità e procedure definite, una scansione proattiva dei sistemi informativi e di rete del soggetto interessato per rilevare le vulnerabilità con potenziale impatto significativo;

f) partecipa alla Rete di CSIRT nazionali di cui all’articolo 20 e fornisce assistenza reciproca secondo le proprie capacità e competenze agli altri membri della Rete di CSIRT nazionali su loro richiesta;

g) agisce in qualità di coordinatore ai fini del processo di divulgazione coordinata delle vulnerabilità di cui all’articolo 16;

h) contribuisce allo sviluppo di strumenti sicuri per la condivisione delle informazioni di cui al comma 1, lettera b);

i) può effettuare, secondo modalità e procedure definite, una scansione proattiva e non intrusiva dei sistemi informativi e di rete accessibili al pubblico di soggetti essenziali e di soggetti importanti. Tale scansione è effettuata per individuare sistemi informativi e di rete vulnerabili o configurati in modo non sicuro e per informare i soggetti interessati. Tale scansione non ha alcun impatto negativo sul funzionamento dei servizi dei soggetti.

  1. Il CSIRT Italia applica un approccio basato sul rischio per stabilire l’ordine di priorità nello svolgimento dei compiti di cui al comma 3.

  2. In caso di eventi malevoli per la sicurezza informatica, le strutture pubbliche con funzione di computer emergency response team (CERT) collaborano con il CSIRT Italia, anche ai fini di un più efficace coordinamento della risposta agli incidenti.

  3. Il CSIRT Italia instaura rapporti di cooperazione con i pertinenti portatori di interesse nazionali del settore privato al fine di perseguire gli obiettivi del presente decreto in relazione alle proprie competenze.

  4. Al fine di agevolare la cooperazione di cui al comma 5, il CSIRT Italia promuove l’adozione e l’uso di pratiche, sistemi di classificazione e tassonomie standardizzati o comuni per quanto riguarda:

a) le procedure di gestione degli incidenti;

b) la divulgazione coordinata delle vulnerabilità ai sensi dell’articolo 16.

  1. Ai fini dell’attuazione del presente articolo è autorizzata la spesa pari a euro 2.000.000 annui a decorrere dall’anno 2025, a cui si provvede ai sensi dell’articolo 44.

Articolo precedente

Articolo successivo

Tutti gli articoli