Articolo 16 – Divulgazione coordinata delle vulnerabilità

Home » CAPO II – Quadro nazionale di sicurezza informatica (art.9-17) » Articolo 16 – Divulgazione coordinata delle vulnerabilità

Sintesi Articolo 16

Il decreto designa il CSIRT come intermediario di fiducia, laddove necessario, tra la persona fisica o giuridica che segnala la vulnerabilità (anonimamente) e il fabbricante/fornitore TIC.
Nelle vesti di coordinatore delle vulnerabilità, il CSIRT è tenuto all’ individuazione, al contatto dei soggetti interessati e a prestare assistenza a coloro che segnalano. Una volta data segnalazione ai soggetti, il compito del CSIRT Italia prosegue garantendo lo svolgimento diligente delle azioni che danno seguito alla segnalazione ed eventualmente a mettersi in contatto con i team di cybersicurezza degli altri stati membri agendo nel contesto di rete di cooperazione, qualora la vulnerabilità comportasse conseguenze anche in altri Stati membri.
L’operato del CSIRT quale collaboratore è reso possibile dalla politica nazionale di divulgazione coordinata delle vulnerabilità adottata dall’ Autorità nazionale competente NIS e dall’ implementazione dei mezzi per agevolare l’attuazione di quest’ultima realizzata dall’Agenzia per la cybersicurezza nazionale.

  1.  Il CSIRT Italia è designato coordinatore ai fini della divulgazione coordinata delle vulnerabilità ai sensi dell’articolo 12 della direttiva (UE) 2022/2555 e agisce da intermediario di fiducia agevolando, se necessario, l’interazione tra la persona fisica o giuridica che segnala la vulnerabilità e il fabbricante o fornitore di servizi TIC o prodotti TIC potenzialmente vulnerabili, su richiesta di una delle parti.

  2.  I compiti del CSIRT Italia in veste di coordinatore comprendono:

    a) l’individuazione e il contatto dei soggetti interessati;

    b) l’assistenza alle persone fisiche o giuridiche che segnalano una vulnerabilità;

    c) la negoziazione dei tempi di divulgazione e la gestione delle vulnerabilità che interessano più soggetti.

  3. Le persone fisiche o giuridiche possono segnalare in forma anonima, qualora lo richiedano, una vulnerabilità al CSIRT Italia.
    Quest’ultimo, in veste di coordinatore, garantisce lo svolgimento di diligenti azioni per dare seguito alla segnalazione di vulnerabilità e assicura l’anonimato della persona fisica o giuridica segnalante.
    Se la vulnerabilità segnalata è suscettibile di avere un impatto significativo su soggetti in più di uno Stato membro, il CSIRT Italia coopera, ove opportuno, con altri CSIRT designati in qualità di coordinatori nell’ambito della Rete di CSIRT nazionali di cui all’articolo 20.
  4.  L’Autorità nazionale competente NIS adotta, secondo le modalità di cui all’articolo 40, comma 5, una politica nazionale di divulgazione coordinata delle vulnerabilità in linea con le previsioni del presente decreto e tenuto conto degli orientamenti non vincolanti del Gruppo di cooperazione NIS. L’Agenzia per la cybersicurezza nazionale implementa mezzi tecnici per agevolare l’attuazione della politica nazionale di divulgazione coordinata delle vulnerabilità.

Articolo precedente

Articolo successivo

Tutti gli articoli