Home » CAPO IV – Obblighi in materia di gestione del rischio per la sicurezza informatica e di notifica di incidente (art.23-33) » Articolo 24 – Obblighi in materia di misure di gestione dei rischi per la sicurezza informatica
Sintesi Articolo 24
Il decreto pone in capo ai soggetti importanti e ai soggetti essenziali l’obbligo di adottare misure tecniche operative e organizzative adeguate e proporzionate tali da gestire i rischi per la sicurezza informatica. L’intento dell’articolo è quello di far adoperare ai soggetti un livello di misure di gestione adeguato ai rishi esistenti e proporzionato ai rischi a cui è esposto il soggetto in relazione alla dimensione, alla probabilità che si manifestino gli incidenti e alla gravità degli incidenti stessi in termini di impatto sociale ed economico.
Le misure tecniche mirano alla protezione dei sistemi informativi e di rete nonchè alla protezione fisica dell’ambiente in cui si opera. Il decreto elenca le misure minime che ciascun soggetto deve implementare, quali la garanzia della continuità operativa, l’adozione di un sistema di gestione e analisi dei rischi, pratiche di igiene informatica,la messa in sicurezza della catena di approvvigionamento nonchè l’ utilizzo di crittografia o cifratura, considerando oltre che l’impatto sui propri servizi e la dimensione, anche le vulnerabilità specifiche per ogni rapporto diretto con il fornitore e per il prodotto nel suo complesso e per la sicurezza informatica applicata. Il soggetto nel identificare il livello di misure tecniche più indicato alla sua attività si serve dei risultati delle valutazioni coordinate dei rischi per la sicurezza informatica effettuate dal Gruppo di coordinamento NIS.
Qualora il soggetto non fosse conforme con gli obblighi di adozione e implementazione di misure di gestione, deve tempestivamente porre in essere le correzioni appropriate e proporzionate.
- I soggetti essenziali e i soggetti importanti adottano misure tecniche, operative e organizzative adeguate e proporzionate, secondo le modalità e i termini di cui agli articoli 30, 31 e 32, alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi. Tali misure:
a) assicurano un livello di sicurezza dei sistemi informativi e di rete adeguato ai rischi esistenti, tenuto conto delle conoscenze più aggiornate e dello stato dell’arte in materia e, ove applicabile, delle pertinenti norme nazionali, europee e internazionali, nonché dei costi di attuazione;
b) sono proporzionate al grado di esposizione a rischi del soggetto, alle dimensioni del soggetto e alla probabilità che si verifichino incidenti, nonché alla loro gravità, compreso il loro impatto sociale ed economico.
- Le misure di cui al comma 1 sono basate su un approccio multi-rischio, volto a proteggere i sistemi informativi e di rete nonché il loro ambiente fisico da incidenti, e comprendono almeno i seguenti elementi:
a) politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete;
b) gestione degli incidenti, ivi incluse le procedure e gli strumenti per eseguire le notifiche di cui agli articoli 25 e 26;
c) continuità operativa, ivi inclusa la gestione di backup, il ripristino in caso di disastro, ove applicabile, e gestione delle crisi;
d) sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
e) sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete, ivi comprese la gestione e la divulgazione delle vulnerabilità;
f) politiche e procedure per valutare l’efficacia delle misure di gestione dei rischi per la sicurezza informatica;
g) pratiche di igiene di base e di formazione in materia di sicurezza informatica;
h) politiche e procedure relative all’uso della crittografia e, ove opportuno, della cifratura;
i) sicurezza e affidabilità del personale, politiche di controllo dell’accesso e gestione dei beni e degli assetti;
l) uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette, e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, ove opportuno.
- Nel valutare quali misure di cui al comma 2, lettera d), siano adeguate, i soggetti tengono conto delle vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di sicurezza informatica dei propri fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro. Per la medesima finalità i soggetti tengono altresì conto dei risultati delle valutazioni coordinate dei rischi per la sicurezza delle catene di approvvigionamento critiche effettuate dal Gruppo di cooperazione NIS.
- Qualora un soggetto rilevi di non essere conforme alle misure di cui al comma 2, esso adotta, senza indebito ritardo, tutte le misure appropriate e proporzionate correttive necessarie.