La guida alla notifica degli incidenti informatici al Csirt

L’Agenzia per la cybersecurity si avvale al proprio interno dello CSIRT Italia (Computer Security Incident Response Team), il centro operativo incaricato delle azioni di preparazione, prevenzione, gestione e risposta a eventi ed incidenti cibernetica.

Le nuove linee guida in oggetto sono finalizzate illustrare le informazioni necessarie per effettuare la notifica di incidente al CSIRT Italia. La corretta adozione della procedura di notifica degli incidenti cibernetici da parte delle imprese e PA al CSIRT Italia costituisce un elemento cruciale per garantire la sicurezza e resilienza delle risorse digitali.

Il CSIRT mette a disposizione dei diversi soggetti segnalanti l’apposito modulo sul proprio sito istituzionale https://www.csirt.gov.it/segnalazione).

La guida ha il pregio di illustrare in modo semplice e diretto le tempistiche e la tipologie di informazioni da raccogliere da parte dei soggetti come previsto dalla normativa cyber e si rivolge, pertanto, ai soggetti pubblici e privati, tenuti per legge alla notifica degli incidenti, ai soggetti inclusi nel Perimetro di Sicurezza Nazionale

Cibernetica (Psnc), ai soggetti operanti in ambito Nis e Telco, e ai soggetti pubblici agli individuati dalla recente legge n. 90/2024 in materia di cybersicurezza.

La guida fornisce un prezioso schema di base per il processo di notifica degli incidenti informatici che sarà personalizzato per ciascuna categoria di soggetti, adattandosi alle specifiche esigenze e ai relativi obblighi normativi. Si tratta di un documento utile per le imprese e PA impegnate nella protezione dei propri sistemi e reti.

Il flusso di notifica si articola, secondo la guida, in quattro fasi: la preparazione della notifica, la notifica al Csirt, la gestione della notifica e la chiusura dell’incidente.

Nella fase di preparazione della notifica a seguito della rilevazione di un incidente, il soggetto segnalante raccoglie le informazioni minime per garantire che la comunicazione permetta al CSIRT Italia un’attivazione proporzionata alla potenziale criticità ed ai potenziali impatti di natura sistemica derivanti dall’incidente stesso. Rientrano in tale fase le attività di preparazione della segnalazione dell’incidente, ove prevista.

Una volta raccolte le informazioni necessarie ad effettuare la segnalazione, ove prevista, e/o la notifica, si potrà procedere alla compilazione del sopra citato modulo online disponibile sul sito internet istituzionale.

Nella fase di gestione della notifica il CSIRT Italia, dopo aver ricevuto la segnalazione, ove prevista, e/o la notifica, sulla base del livello di servizio previsto per la specifica categoria di soggetto segnalante, compatibilmente con le risorse a disposizione e la criticità del soggetto segnalante, valuterà l’opportunità di fornire supporto nelle operazioni di incident handling, da remoto o in loco. Durante questa fase, in base alla tipologia del soggetto

segnalante e alla normativa vigente, su richiesta del CSIRT Italia potranno essere effettuate ulteriori attività anche a seguito della risoluzione dell’incidente.

Nella fase di chiusura il CSIRT Italia, una volta terminate le attività di gestione dell’incidente da parte del soggetto segnalante ed eventualmente pianificate le attività di rientro dell’incidente, procederà alla chiusura dell’incidente.

Per ogni tipologia di ente, la guida specifica in modo chiaro e comprensibile: perché notificare gli incidenti, cosa notificare al CSIRT Italia, come effettuare la notifica, come riconoscere un incidente da notificare, quali sono i tempi da rispettare, quali sanzioni sono previste per il mancato adempimento dell’obbligo di notifica e descrive il relativo flusso di notifica e cosa aspettarsi da CSIRT Italia in termini di supporto alle attività di incident handling.

Il documento in esame costituisce uno strumento prezioso per guidare le imprese nel percorso di consapevolezza in ambito cybersicurezza, per facilitare la comprensione e l’implementazione del processo di notificazione degli incidenti con conseguente accrescimento dei relativi livelli di sicurezza, anche attraverso un maggiore scambio di informazioni.

Nel documento non viene citato il termine attacco informatico ma viene utilizzato il termine più ampio di incidente e viene prevista anche la notifica degli incidenti in forma volontaria da parte di piccole e medie imprese e cittadini che non sono tenuti dalla normativa cyber ad effettuare le notifiche.