Gestione dei rischi cyber: pubblicata la nuova Determina ACN sulla tassonomia degli incidenti da notificare

La Determina si applica ai soggetti individuati dall’art. 1, comma 1, della legge n. 90/2024, ossia alle amministrazioni pubbliche -quali regioni, provincie e città metropolitane-, nonché alle società che gestiscono i servizi di trasporto pubblico urbano ed extraurbano, alle aziende sanitarie locali e, più in generale, alle rispettive società in house di tali organizzazioni che forniscono servizi informatici, di trasporto ovvero servizi di raccolta, smaltimento o trattamento delle acque reflue o di gestione dei rifiuti. Tali soggetti sono tenuti a segnalare al CSIRT ogni incidente significativo che impatti sulle proprie reti, sistemi informativi e servizi informatici secondo le modalità e tempistiche stabilite dalla normativa applicabile.

Come noto, molti dei soggetti appartenenti ai settori sopra richiamati – in particolare trasporto pubblico, sanità, gestione delle acque reflue, gestione dei rifiuti e pubbliche amministrazioni – rientrano altresì nel perimetro del decreto legislativo 4 settembre 2024, n. 138 (recante il recepimento della direttiva NIS2), in qualità di soggetti “essenziali” o “importanti”. Ne deriva pertanto una possibile sovrapposizione tra gli obblighi previsti dalla legge n. 90/2024 e quelli previsti dalla disciplina NIS2, che la Determina ACN mira a coordinare, evitando duplicazioni e garantendo un sistema integrato di notifica verso il CSIRT.

la Determina individua tre principali categorie di incidenti che devono essere oggetto di segnalazione o notifica:

Nel fornire una classificazione delle tipologie di incidenti che devono essere oggetto di segnalazione o notifica, la Determina precisa che l’obbligo scatta nel momento in cui il soggetto ha “evidenza” dell’avvenuta perdita di riservatezza, integrità o della violazione dei livelli di servizio attesi. 

Il concetto di “evidenza” assume, quindi, un ruolo centrale. Infatti, l’obbligo di notifica sorge quando l’organizzazione dispone di elementi oggettivi dai quali può evincere, con sufficiente certezza, il verificarsi di una delle fattispecie sopra indicate. Non è necessario aver completato l’analisi tecnica o individuato con precisione la causa dell’evento: ciò che rileva è la consapevolezza dell’impatto riconducibile a una delle categorie previste. Questo criterio si pone in continuità con l’impostazione già adottata dal GDPR in materia di data breach, dove il momento della “conoscenza” dell’evento rappresenta il punto di partenza per il calcolo dei termini di notifica dell’incidente che ha comportato una violazione dei dati personali.

Venendo alle tre tipologie di categorie individuate dalla Determina, le prime due richiamano concetti familiari in tema di protezione dei dati personali (ossia, la perdita di riservatezza e perdita di integrità), ma la loro portata è significativamente più ampia. La tassonomia della ACN fa infatti riferimento ai “dati digitali” in senso lato e non solo a quelli di natura personale. Ne deriva pertanto che un incidente ai sensi della legge n. 90/2024 può essere notificabile anche in assenza di una violazione di dati personali ai sensi del GDPR, ampliando significativamente il perimetro di valutazione dei casi in cui è necessario procedere alla notifica.

Di particolare rilievo è la terza categoria, che introduce un collegamento diretto all’importanza di assicurare la continuità operativa e la resilienza dei servizi. La violazione dei livelli di servizio attesi presuppone infatti che tali livelli siano stati previamente definiti e documentati, anche a livello contrattuale. In assenza di una chiara individuazione degli SL, diventerebbe infatti difficile stabilire quando si configuri un incidente notificabile. Sotto questo profilo, la tassonomia sembrerebbe incentivare le organizzazioni verso una maggiore maturità nella gestione e misurazione delle proprie performance operative.

Come anticipato la Determina prevede inoltre un espresso coordinamento tra la legge n. 90/2024 e il decreto legislativo di recepimento della direttiva NIS2. In particolare, l’art. 1, comma 2, stabilisce che, in un’ottica di semplificazione degli oneri, qualora il soggetto abbia già effettuato la prenotifica e la notifica ai sensi dell’art. 25 del decreto legislativo n. 138/2024, l’obbligo di notifica previsto dall’art. 1, comma 1, della legge n. 90/2024 si considera assolto.

La previsione assume un rilievo operativo significativo: le organizzazioni che rientrano anche nel perimetro NIS2 possono evitare duplicazioni procedurali ed adempiere a entrambi gli obblighi mediante un unico flusso di comunicazione verso il CSIRT, con evidenti benefici in termini di efficienza e coerenza del sistema di gestione degli incidenti.

La Determina dell’ACN segna un passaggio importante nella definizione degli obblighi di notifica in ambito di cybersecurity nazionale. In un contesto in cui la resilienza digitale è sempre più connessa alla sicurezza nazionale e alla continuità dei servizi essenziali, la gestione documentata, strutturata e integrata degli incidenti non costituisce soltanto un adempimento normativo, ma un elemento essenziale di governance e accountability, rappresentando un parametro oggettivo rispetto al quale verrà misurata la maturità organizzativa dei soggetti obbligati.

Per tale motivo è opportuno che le organizzazioni individuate dalla legge n. 90/2024 verifichino e procedano a un aggiornamento strutturato della propria governance cyber, ponendo attenzione ai seguenti profili:

La capacità di dimostrare non solo di aver notificato correttamente un incidente, ma di aver strutturato un sistema organizzativo idoneo a prevenirlo, rilevarlo e gestirlo, rappresenterà sempre più un indicatore essenziale di compliance e di solidità della governance digitale.