In data 23 novembre 2019 è parzialmente entrato in vigore il decreto del Presidente del Consiglio dei ministri dell’8 agosto 2019, pubblicato lo scorso 8 novembre in Gazzetta Ufficiale, e concernente le disposizioni sulla costituzione, sull’organizzazione e sul funzionamento del Computer Security Incident Response Team italiano – c.d. CSIRT presso il Dipartimento delle Informazioni per la Sicurezza della Presidenza del Consiglio dei ministri.
L’organismo riveste un ruolo fondamentale all’interno della strategia nazionale di sicurezza cibernetica, introdotta dal Decreto Legislativo 65/2018 in attuazione della direttiva europea Direttiva UE 2016/1148, e volta a prevedere misure per un comune ed elevato livello di sicurezza delle reti e dei sistemi informativi in ambito nazionale, al fine anche di incrementare quello nell’Unione.
In particolare, spetterà a questo organismo definire le procedure tecniche per la prevenzione e la gestione degli incidenti informatici; ricevere le notifiche di incidenti; fornire le informazioni per facilitare la gestione efficace dell’ attacco cibernetico; informare gli altri Stati dell’UE eventualmente coinvolti dall’incidente, tutelando la sicurezza e la riservatezza delle informazioni fornite; garantire la collaborazione nella rete di CSIRT, attraverso l’individuazione di forme di cooperazione operativa appropriate, lo scambio di informazioni e la condivisione di best practices, così sostituendo il CERT nazionale italiano e quello della Pubblica Amministrazione (CERT-PA).
Com’è noto, infatti, con il Decreto Legislativo 65/2018 sono stati introdotti nuovi obblighi in capo sia agli operatori di servizi essenziali, sia in capo agli operatori di e-commerce (ossia persone giuridiche fornitrici di servizi digitali in mercati online) così come i fornitori di servizi digitali di ricerca online e di cloud computing.
Gli operatori di e-commerce hanno quindi l’obbligo di assicurare la sicurezza delle loro reti e dei loro sistemi informativi, adottando misure tecniche e organizzative proporzionate e adeguate, e di notificare al CSIRT gli incidenti aventi impatto rilevante, includendo al loro interno ogni tipo di informazione utile per permettere una corretta e precisa valutazione delle effettive conseguenze scaturite da un incidente, sulla base anche dei parametri espressamente previsti dal D.lgs. 65/2018, quali la durata dell’incidente, il suo impatto sulle attività economiche e sociali e il numero di utenti interessati dall’incidente stesso. La notifica, comunque, non espone la parte che la effettua a una responsabilità maggiore rispetto a quella derivata dall’incidente. L’obbligo, tuttavia, si applica solo qualora il fornitore di servizi digitali abbia accesso alle informazioni necessarie per valutare l’impatto dell’incidente.
Le disposizioni, tuttavia, non si applicano né alle imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico, che devono adottare misure di natura tecnica e organizzativa per assicurare la sicurezza delle reti e dei servizi di comunicazione elettronica accessibili al pubblico e per garantire la loro integrità; né ai prestatori di servizi fiduciari, che adottano invece quelle appropriate per gestire i rischi legati alla sicurezza dei servizi fiduciari da essi prestati.
L’obiettivo dell’intera disciplina, ora integrata in una delle sue parti fondamentali, è quello di minimizzare e di prevenire l’impatto degli incidenti a carico della sicurezza della rete e dei sistemi informativi, assicurando un maggiore livello di monitoraggio e di sicurezza di sistemi e impianti, e permettendo, conseguentemente, la continuità dei servizi digitali offerti nell’Unione.