Continuano gli aggiornamenti in tema di Perimetro Nazionale di Sicurezza Cibernetica.
Il 15 giugno il Presidente del Consiglio ha firmato il decreto con cui viene estesa la superficie del Perimetro di Sicurezza Nazionale Cibernetica, allargando l’elenco delle funzioni essenziali per lo Stato a 223, e ampliando di conseguenza la platea dei soggetti inclusi. Allo stesso tempo, si è provveduto ad un affinamento di alcune funzioni e servizi essenziali dello Stato già ricompresi nel perimetro.
La politica del Governo in merito alla sicurezza nazionale acquista una sempre maggiore rilevanza anche alla luce della quantità di dati sensibili che vengono trattati dalle strutture sanitarie pubbliche dall’inizio dell’emergenza Covid. L’aumento dell’uso di strumenti digitali nell’ambito della Pubblica Amministrazione, e l’incremento degli strumenti per agevolare il proseguimento della campagna vaccinale, impongono misure di sicurezza straordinarie per evitare che si verifichino incidenti o accessi non autorizzati a dati personali e sensibili.
I nuovi enti a cui sarà notificata l’entrata a far parte del Perimetro Nazionale di Sicurezza Cibernetica avranno così sei mesi di tempo per adeguare le proprie reti e i loro sistemi informatici, così come è accaduto per gli enti inclusi nel perimetro sin dalla sua entrata in vigore il 22 dicembre scorso.
Per gli enti inizialmente inseriti nel perimetro, oggi, 23 giugno, scade il semestre di prova, e i soggetti inclusi saranno così tenuti a notificare allo CSIRT – il Computer Security Incident Response Team interno al DIS – gli incidenti e le situazioni elencate in Gazzetta Ufficiale l’11 giugno, e a mettere in pratica tutte le misure e le best practices consigliate dallo CSIRT stesso.
L’entrata in vigore degli obblighi però, vista la quantità di procedure e novità introdotte, non prevede la contemporanea entrata in vigore delle sanzioni, che rimangono sospese fino al 31 dicembre 2021 per gli enti che non notificano per tempo un incidente allo CSIRT o che non mettono in atto le misure raccomandate a protezione delle loro architetture informatiche.
In questo allegato è possibile vedere un primo elenco delle tipologie di incidenti per cui è necessario procedere con la notifica – entro una o sei ore a seconda dell’evidenza pubblica o meno dell’incidente – allo CSIRT.
Image by xponentialdesign on giphy