Articolo 17 – Accordi di condivisione delle informazioni sulla sicurezza informatica

Home » CAPO II – Quadro nazionale di sicurezza informatica (art.9-17) » Articolo 17 – Accordi di condivisione delle informazioni sulla sicurezza informatica

Sintesi Articolo 17

Il decreto ammette la possibilità per i soggetti a cui si applicano gli obblighi, di scambiarsi pertinenti informazioni sulla sicurezza informatica, comprese minacce informatiche, tattiche avversarie, tecniche e procedure, al fine di prevenire o rilevare gli incidenti e aumentano la consapevolezza e il livello di sicurezza informatica. Lo scambio di informazioni avviene tra soggetti importanti ed essenziali ed eventualmente esteso nell’ambito dei loro fornitori previ accordi di condivisione, che tengano conto della natura potenzialmente sensibile delle informazioni, di cui l’Agenzia per la cybersicurezza nazionale può specificare gli elementi operativi. I soggetti che aderiscono agli accordi di condivisione delle informazioni sulla sicurezza informatica notificano la loro partecipazione all’Autorità nazionale competente NIS e autorizzano così l’accesso alle informazioni riguardanti l’elenco dei soggetti da parte degli organismi di informazione per la sicurezza.

1. I soggetti che rientrano nell’ambito di applicazione del presente decreto e laddove opportuno anche ulteriori soggetti, possono scambiarsi, su base volontaria, pertinenti informazioni sulla sicurezza informatica, comprese informazioni relative a minacce informatiche, quasi-incidenti, vulnerabilità, tecniche e procedure, indicatori di compromissione, tattiche avversarie, informazioni specifiche sugli attori delle minacce, allarmi di sicurezza informatica e raccomandazioni concernenti la configurazione degli strumenti di sicurezza informatica per individuare le minacce informatiche, se tale condivisione di informazioni:

a) mira a prevenire o rilevare gli incidenti, a recuperare dagli stessi o a mitigarne l’impatto;

b) aumenta il livello di sicurezza informatica, in particolare sensibilizzando in merito alle minacce informatiche, limitando o inibendo la capacità di diffusione di tali minacce e sostenendo una serie di capacità di difesa, la risoluzione e la divulgazione delle vulnerabilità, tecniche di rilevamento, contenimento e prevenzione delle minacce, strategie di mitigazione o fasi di risposta e recupero, oppure promuovendo la ricerca collaborativa sulle minacce informatiche tra soggetti pubblici e privati.

2. Lo scambio di informazioni di cui al comma 1 avviene nell’ambito di comunità di soggetti essenziali e di soggetti importanti e, se opportuno, nell’ambito dei loro fornitori o fornitori di servizi.
   Tale scambio è attuato mediante accordi di condivisione delle informazioni sulla sicurezza informatica che tengono conto della natura potenzialmente sensibile delle informazioni condivise.
3. L’Agenzia per la cybersicurezza nazionale, nello svolgimento delle funzioni di Autorità nazionale competente NIS e di CSIRT Italia, ove possibile, tenuto conto degli orientamenti e delle migliori pratiche non vincolanti elaborati dall’ENISA, favorisce la conclusione degli accordi di condivisione delle informazioni sulla sicurezza informatica di cui al comma 2 e può specificare gli elementi operativi, compreso l’uso di piattaforme TIC dedicate e di strumenti di automazione, i contenuti e le condizioni degli accordi di condivisione delle informazioni. Nello stabilire i dettagli relativi alla partecipazione delle autorità pubbliche a tali accordi, l’Autorità nazionale competente NIS può imporre condizioni, secondo le modalità di cui all’articolo 40, comma 5, alinea, per le informazioni messe a disposizione dalle autorità competenti e dal CSIRT Italia. L’Agenzia per la cybersicurezza nazionale, nello svolgimento delle funzioni di Autorità nazionale competente NIS e di CSIRT Italia, supporta i soggetti essenziali e i soggetti importanti per l’applicazione di tali accordi conformemente alle loro misure strategiche di cui all’articolo 9, comma 3, lettera h).
4. I soggetti essenziali e i soggetti importanti notificano all’Autorità nazionale competente NIS la loro partecipazione agli accordi di condivisione delle informazioni sulla sicurezza informatica di cui al comma 2 al momento della conclusione di tali accordi o, ove applicabile, del loro ritiro da tali accordi, una volta che questo è divenuto effettivo.
5. È assicurato l’accesso degli Organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della legge n. 124 del 2007 alle informazioni riguardanti l’elenco dei soggetti essenziali e dei soggetti importanti, tramite la piattaforma digitale di cui all’articolo 7, le notifiche di cui agli articoli 25 e 26, le vulnerabilità rilevate nell’applicazione del presente decreto, e le ulteriori informazioni rispetto a quelle di cui al presente comma che dovessero essere ritenute utili, relative alle attività di cui al presente decreto, previe intese tra i predetti Organismi e l’Agenzia per la cybersicurezza nazionale.

Tutti gli articoli