Articolo 25 – Obblighi in materia di notifica di incidente

Home » CAPO IV – Obblighi in materia di gestione del rischio per la sicurezza informatica e di notifica di incidente (art.23-33) » Articolo 24 – Articolo 25 – Obblighi in materia di notifica di incidente

Sintesi Articolo 25

Il decreto impone un obbligo di notifica al CSIRT Italia da parte dei soggetti importanti ed essenziali, senza ingiustificato ritardo, di ogni incidente avente impatto significativo. La notifica consente al CSIRT Italia di determinare l’estensione dell’incidente anche oltre il territorio nazionale. L’impatto di cui al presente articolo è ritenuto significativo qualora cagioni gravi perturbazioni operative ai servizi o comporti perdite finanziarie per il soggetto interessato e laddove l’incidente provochi ripercussioni su altre persone fisiche o giuridiche causando perdite consistenti. Qualora l’incidente che si intenda notificare sia risultato di atti malevoli o illegittimi con impatto potenzialmente significativo transfrontaliero, deve essere inviata una pre-notifica successivamente integrata da una relazione finale dettagliata che individui la causa originale.
Una volta ricevuta la notifica, il CSIRT Italia risponde al soggetto interessato fornendo un riscontro sull’incidente e, se richiesto presta consulenza e supporto tecnico e dà comunicazione ai soggetti su cui l’incidente sta avendo ripercussioni, indicando come meglio procedere e quali misure correttive e mitigative adottare e informa il pubblico riguardo l’incidente in corso.

  1. I soggetti essenziali e i soggetti importanti notificano, senza ingiustificato ritardo, al CSIRT Italia ogni incidente che, ai sensi del comma 4, ha un impatto significativo sulla fornitura dei loro servizi, secondo le modalità e i termini di cui agli articoli 30, 31 e 32.
  2. Le notifiche includono le informazioni che consentono al CSIRT Italia di determinare un eventuale impatto transfrontaliero dell’incidente.
  3. La notifica non espone il soggetto che la effettua a una maggiore responsabilità rispetto a quella derivante dall’incidente.
  4. Un incidente è considerato significativo se:

a) ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato;

b) ha avuto ripercussioni o è idoneo a provocare ripercussioni su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

  1. Ai fini della notifica di cui al comma 1, i soggetti interessati trasmettono al CSIRT Italia:
    a) senza ingiustificato ritardo, e
    comunque entro 24 ore da quando sono venuti a conoscenza dell’incidente significativo, una pre-notifica che, ove possibile, indichi se l’incidente significativo possa ritenersi il risultato di atti illegittimi o malevoli o può avere un impatto transfrontaliero;

b) senza ingiustificato ritardo, e comunque entro 72 ore da quando sono venuti a conoscenza dell’incidente significativo, una notifica dell’incidente che, ove possibile, aggiorni le informazioni di cui alla lettera a) e indichi una valutazione iniziale dell’incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione;

c) su richiesta del CSIRT Italia, una relazione intermedia sui pertinenti aggiornamenti della situazione;

d) una relazione finale entro un mese dalla trasmissione della notifica dell’incidente di cui alla lettera b), che comprenda:

1) una descrizione dettagliata dell’incidente, ivi inclusi la sua gravità e il suo impatto;

2) il tipo di minaccia o la causa originale (root cause) che ha probabilmente innescato l’incidente;

3) le misure di attenuazione adottate e in corso;

4) ove noto, l’impatto transfrontaliero dell’incidente;

e) in caso di incidente in corso al momento della trasmissione della relazione finale di cui alla lettera d), una relazione mensile sui progressi e una relazione finale entro un mese dalla conclusione della gestione dell’incidente.

  1. In deroga a quanto previsto dal comma 5, lettera b), un prestatore di servizi fiduciari, in relazione a incidenti significativi che abbiano un impatto sulla fornitura dei suoi servizi fiduciari, provvede alla notifica di cui alla medesima lettera, senza indebito ritardo e comunque entro 24 ore da quando sono venuti a conoscenza dell’incidente significativo.
  2. Fermo restando quanto previsto dall’articolo 15, comma 4, senza ingiustificato ritardo e ove possibile entro 24 ore dal ricevimento della pre-notifica di cui al comma 5, lettera a), il CSIRT Italia fornisce una risposta al soggetto notificante, comprensiva di un riscontro iniziale sull’incidente significativo e, su richiesta del soggetto, orientamenti o consulenza sull’attuazione di possibili misure tecniche di mitigazione. Su richiesta del soggetto notificante, il CSIRT Italia fornisce ulteriore supporto tecnico.
  3. Qualora si sospetti che l’incidente significativo abbia carattere criminale, il CSIRT Italia fornisce al soggetto notificante anche orientamenti sulla segnalazione dell’incidente significativo, all’organo centrale del Ministero dell’interno per la sicurezza e per la regolarità dei servizi di telecomunicazione, di cui all’articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155 (Autorità di contrasto).
  4. Sentito il CSIRT Italia, se ritenuto opportuno e qualora possibile, i soggetti essenziali e i soggetti importanti comunicano, senza ingiustificato ritardo, ai destinatari dei loro servizi gli incidenti significativi che possono ripercuotersi negativamente sulla fornitura di tali servizi.
  5. I soggetti essenziali e i soggetti importanti, se ritenuto opportuno e qualora possibile, sentito il CSIRT Italia, comunicano senza ingiustificato ritardo, ai destinatari dei loro servizi che sono potenzialmente interessati da una minaccia informatica significativa, misure o azioni correttive o di mitigazione che tali destinatari possono adottare in risposta a tale minaccia. Inoltre, sentito il CSIRT Italia, se ritenuto opportuno, i soggetti essenziali e i soggetti importanti comunicano ai medesimi destinatari anche la natura di tale minaccia informatica significativa.
  6. L’Agenzia per la cybersicurezza nazionale, nello svolgimento delle funzioni di Autorità nazionale competente NIS e di CSIRT Italia, anche sentendo, se del caso, le autorità competenti e gli CSIRT nazionali degli altri Stati membri interessati, può informare il pubblico riguardo all’incidente significativo per evitare ulteriori incidenti significativi o per gestire un incidente significativo in corso, o qualora ritenga che la divulgazione dell’incidente significativo sia altrimenti nell’interesse pubblico.
  7. L’Agenzia per la cybersicurezza nazionale adotta mezzi tecnici e relative procedure per semplificare le notifiche di cui al presente articolo e le notifiche volontarie di cui all’articolo 26, informando i soggetti essenziali e i soggetti importanti.

Articolo precedente

Articolo successivo

Tutti gli articoli