Attacchi hacker, aziende obbligate a notifiche entro 72 ore: cosa cambia
Un emendamento al Decreto Aiuti bis, che ha ottenuto il via libera del Senato, prevede l’obbligo di notifica entro 72 ore per gli eventi di sicurezza che riguardano le realtà incluse nel Perimetro: un successivo decreto direttoriale stabilirà la tassonomia degli incidenti
Si punta ad avere un quadro “puntuale e aggiornato” sugli eventi ai danni di realtà che fanno parte del Perimetro di cybersicurezza nazionale, anche se non relativi a beni inclusi nel Perimetro stesso: è questo lo scopo dell’emendamento al Decreto Aiuti bis, approvato martedì 13 settembre in Senato, con cui scatta l’obbligo di notifica degli incidenti entro settantadue ore.
All’origine della proposta, l’aumento di attacchi registrati dopo lo scoppio del conflitto in Ucraina: “Negli ultimi tempi, si sta assistendo al progressivo rafforzamento dei meccanismi di cybersicurezza, soprattutto a seguito dello scoppio del conflitto in Ucraina nel febbraio scorso, il quale ha costituito (e costituisce tuttora) terreno fertile per la proliferazione di attacchi cyber nei confronti di attori pubblici e privati”, ha commentato l’avvocata Anna Cataleta, senior partner di P4I.
Cosa dice il Decreto
L’articolo 37 ter del Decreto Aiuti bis indica una modifica all’articolo 1 della legge 133 del 18 novembre 2019, cioè la conversione in legge del DL 105 del 21 settembre 2019 recante disposizioni urgenti in materia di Perimetro nazionale di sicurezza cibernetica. Viene inserito in particolare un comma 3 bis che indica come “i soggetti di cui al comma 2-bis – cioè quei soggetti come PA e operatori pubblici e privati inclusi nel Perimetro – notificano gli incidenti di cui all’articolo 1, comma 1, lettera h), del regolamento di cui al decreto del Presidente del Consiglio dei ministri 14 aprile 2021, n. 81 (cioè, dice la norma citata “incidente, ogni evento di natura accidentale o intenzionale che determina il malfunzionamento, l’interruzione, anche parziali, ovvero l’utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici”, NdR), aventi impatto su reti, sistemi informativi e servizi informatici di propria pertinenza diversi da quelli di cui al comma 2, lettera b, del presente articolo, fatta eccezione per quelli aventi impatto sulle reti, sui sistemi informativi e sui servizi informatici del Ministero della difesa”, per cui si applicano diverse modalità previste dalla legge.
Come spiegato da Cataleta, “la novità consiste nel fatto che tale comma 3-bis stabilisce che i soggetti facenti parte del già esistente Perimetro di sicurezza nazionale cibernetica, dovranno notificare entro 72 ore gli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di propria pertinenza diversi da quelli che riguardano direttamente i beni specificamente inseriti nel Perimetro stesso”.