Linee guida ACN per il rafforzamento della resilienza

L’Agenzia per la cybersicurezza nazionale – ACN, ha pubblicato le Linee guida per il rafforzamento della resilienza -vers.1.0 Novembre 2024- in attuazione dell’articolo 8 della legge n. 90/2024, Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici.

Le linee guida che mirano al rafforzamento della resilienza sono rivolte ai soggetti pubblici indicati dall’articolo 1, comma 1 della legge 90/2024[1] destinatari, in particolare, dei seguenti obblighi:

• di segnalazione e notifica degli incidenti indicati nella tassonomia di cui all’articolo 1, comma 3-bis, del decreto-legge 21 settembre 2019, n. 105 aventi impatto su reti, sistemi informativi e servizi informatici;
• di adozione tempestiva degli interventi risolutivi segnalati dall’Agenzia per la cybersicurezza nazionale circa specifiche vulnerabilità cui essi risultino potenzialmente esposti;
• di individuazione di una struttura, anche tra quelle esistenti, nell’ambito delle risorse umane, strumentali
• e finanziarie disponibili a legislazione vigente, che provvede a quanto indicato all’articolo 8, comma 1,
• della legge.

Relativamente a quest’ultimo punto ACN ha già definito le modalità, da parte dei soggetti obbligati, di comunicazione della nomina del Referente per la cybersicurezza. La PEC deve essere inviata all’indirizzo acn@pec.acn.gov.it e deve contenere:

• la nomina del referente per la cybersicurezza (redatta in forma libera) firmata digitalmente dal rappresentante legale del soggetto, o da persona da lui delegata;
• il modulo referente per la cybersicurezza, compilato e firmato dal referente per la cybersicurezza.

Le Linee Guida: una struttura in due parti

Prima parte

Individua le misure di sicurezza che i soggetti obbligati devono adottare per il rafforzamento della propria resilienza e dedica, per ogni misura, un capitolo articolato in tre paragrafi:

1. i requisiti implementazione minima attesa, con l’indicazione requisiti che devono essere soddisfatti per l’implementazione minima attesa della misura;
2. descrizione, illustra la misura evidenziandone le peculiarità ai fini della sua implementazione;
3. evidenze documentali, elenca i contenuti che devono essere presenti nell’impianto documentale in possesso dei soggetti sia per chiarire policy, responsabilità e attribuzioni all’interno dell’organizzazioni, sia per rendicontare la conformità.

Seconda parte

Vengono descritte le modalità di implementazione raccomandate per l’attuazione delle misure, indicati i processi di cybersecurity da istituire per corrispondere alle misure di sicurezza che possono essere implementate con modalità alternative purché idonee a soddisfare le implementazioni minime attese. Viene anche indicata una possibile roadmap di implementazione.

Le Appendici

Tre le Appendici:

A – indica le implementazioni minime attese per l’attuazione di ogni misura di sicurezza;

B – riporta la mappatura tra le misure di sicurezza individuate;

C – riporta il glossario con le definizioni dei termini utilizzati nel documento.

Impianto documentale adeguato

Ogni soggetto obbligato, al fine di poter attestare l’effettiva implementazione delle misure, per ogni tipologia di misura adottata, deve predisporre e conservare la specifica documentazione prevista. L’impianto deve:

• essere approvato dal vertice da un rappresentante legale, o da una figura formalmente delegata;
• riprodurre la situazione corrente ed essere aggiornato in caso di variazioni dello stato di fatto;
• essere sottoposto a revisione periodica e al verificarsi di eventi interni o eventi esterni o mutamenti dell’esposizione alle minacce e ai relativi rischi;
• dare evidenza della corrispondenza dei propri contenuti con quelli richiesti da ogni capitolo dedicato alle misure di sicurezza.

I contenuti

Parte I

Contiene l’elenco delle Misure di Sicurezza richieste per il rafforzamento della resilienza dei soggetti pubblici; ovviamente costituiscono anche un riferimento per il mondo privato. Le misure indicate fanno riferimento naturalmente al Framework Nazionale per la Cybersecurity e la Data Protection italiano (FNCS). Ogni misura è preceduta dal suo codice identificativo utile a raccordarle con le indicazioni della Parte II, una guida alla loro implementazione.

In grassetto sono evidenziate le più significative che tracciano la via per la strategia di sicurezza della  PA: si parte da un inventario completo di sistemi e apparati, piattaforme e applicazioni, quale strumento di governance e di consapevolezza di cosa occorre proteggere, alla valutazione sistematica dei rischi, che consentirà anche di attribuire priorità alle azioni di mitigazione e pianificare investimenti mirati ma anche di organizzare un piano di risposta, una reazione tempestiva ed efficace per fronteggiare gli attacchi e contenere gli impatti di eventuali compromissioni. Tutto senza dimenticare la sensibilizzazione e la formazione del personale. La consapevolezza dei rischi, la conoscenza del quadro di riferimento e delle azioni da porre in essere da parte degli operatori è uno dei presupposti per creare un ambiente resiliente.

• D.AM-1 Sono censiti i sistemi e gli apparati fisici in uso nell’organizzazione.
• ID.AM-2 Sono censite le piattaforme e le applicazioni software in uso nell’organizzazione.
• ID.AM-3 I flussi di dati e comunicazioni inerenti all’organizzazione sono identificati.
• ID.AM-6 Sono definiti e resi noti ruoli e responsabilità inerenti alla cybersecurity per tutto il personale e per eventuali terze parti rilevanti (es. fornitori, clienti, partner).
• ID.GV-1 È identificata e resa nota una policy di cybersecurity.
• ID.GV-4 La governance ed i processi di risk management includono la gestione dei rischi legati alla cybersecurity.
• ID.RA-1 Le vulnerabilità delle risorse (es. sistemi, locali, dispositivi) dell’organizzazione sono identificate e documentate.
• ID.RA-5 Le minacce, le vulnerabilità, le relative probabilità di accadimento e conseguenti impatti sono utilizzati per determinare il rischio.
• ID.RA-6 Sono identificate e prioritizzate le risposte al rischio.
• ID.SC-2 I fornitori e i partner terzi di sistemi informatici, componenti e servizi sono identificati, prioritizzati e valutati utilizzando un processo di valutazione del rischio inerente la catena di approvvigionamento cyber.
• PR.AC-1 Le identità digitali e le credenziali di accesso per gli utenti, i dispositivi e i processi autorizzati sono amministrate, verificate, revocate e sottoposte ad audit sicurezza.
• PR.AC-3 L’accesso remoto alle risorse è amministrato.
• PR.AC-4 I diritti di accesso alle risorse e le relative autorizzazioni sono amministrati secondo il principio del privilegio minimo e della separazione delle funzioni.
• PR.AT-1 Tutti gli utenti sono informati e addestrati.
• PR.AT-2 Gli utenti con privilegi (es. Amministratori di Sistema) comprendono i loro ruoli e responsabilità.
• PR.DS-1 I dati memorizzati sono protetti.
• PR.IP-4 I backup delle informazioni sono eseguiti, amministrati e verificati.
• PR.IP-9 Sono attivi ed amministrati piani di risposta (Incident Response e Business Continuity) e recupero (Incident Recovery e Disaster Recovery) in caso di incidente/disastro.
• PR.IP-12 Viene sviluppato e implementato un piano di gestione delle vulnerabilità.
• PR.MA-1 La manutenzione e la riparazione delle risorse e dei sistemi è eseguita e registrata con strumenti controllati ed autorizzati.
• PR.PT-4 Le reti di comunicazione e controllo sono protette.
• DE.CM-1 Viene svolto il monitoraggio della rete informatica per rilevare potenziali eventi di cybersecurity.
• DE.CM-4 Il codice malevolo viene rilevato.
• RS.RP-1 Esiste un piano di risposta (response plan) e questo viene eseguito durante o dopo un incidente.
• RS.AN-5 Sono definiti processi per ricevere, analizzare e rispondere a informazioni inerenti vulnerabilità rese note da fonti interne o esterne all’organizzazione (es. test interni, bollettini di sicurezza, o ricercatori in sicurezza).
• RC.RP-1 Esiste un piano di ripristino (recovery plan) e viene eseguito durante o dopo un incidente di Cybersecurity

Ulteriori garanzie

Rimane in capo a ciascun soggetto, in relazione alla differente esposizione alle minacce e alla propria analisi del rischio, la valutazione in merito all’individuazione e conseguente adozione di ulteriori misure di sicurezza per il rafforzamento della propria resilienza.

Parte II: Modalità di Implementazione delle Misure

Sono indicati i processi di cybersecurity da istituire per corrispondere alle misure di sicurezza individuate nella prima parte e le modalità di implementazione raccomandate per l’attuazione delle misure stesse. I soggetti possono implementare le misure di sicurezza secondo modalità alternative a quelle indicate, purché idonee a soddisfare le implementazioni minime attese.

Le modalità di implementazione raccomandate per l’attuazione delle misure vengono, nella maggior parte dei casi, riportate sotto forma di indicazioni operative e di dettaglio, proprio per agevolare l’attività di implementazione.

I prossimi passi

Le linee guida dell’ACN, pubblicate in attuazione della legge 90/2024, rappresentano un passo fondamentale per rafforzare sicurezza e resilienza delle infrastrutture digitali di pubbliche amministrazioni, grandi comuni, aziende sanitarie, società di trasporto pubblico e altri soggetti strategici. Non solo: potranno costituire un’occasione concreta per trasformare la conformità normativa in un’opportunità per migliorare i processi e il livello di sicurezza ma, soprattutto, creare i presupposti per quella compliance più generale e preparare i soggetti strategici alle ulteriori azioni previste dal decreto legislativo 4 settembre 2024, n.138[2] che ha recepito la Direttiva NIS 2[3].

È una tappa del lungo cammino verso quell’elevato livello di sicurezza necessariamente raccordato a livello europeo: sarà attiva dal prossimo 1° dicembre 2024 la piattaforma dedicata al censimento e alla registrazione dei soggetti pubblici e privati, che rientrano nell’ambito di applicazione della disciplina NIS2, presentata ufficialmente a Roma il 27 novembre 2024. La registrazione dovrà avvenire entro il 28 febbraio 2025.

Termini, modalità, procedimenti di utilizzo e di accesso alla piattaforma ACN nonché le informazioni da fornire all’Autorità nazionale competente NIS, sono delineate dall’articolo 7 del decreto NIS e sono oggetto dalla Determinazione del direttore generale ACN n.0038565 adottata il 26 novembre 2024[4].

La mancata registrazione è una violazione soggetta a sanzione amministrativa pecuniaria con un importo fino al 0.1% del fatturato annuo su scala mondiale del soggetto.

A valle della fase di registrazione, nel mese di aprile 2025, i soggetti che si sono registrati riceveranno una comunicazione per confermare, o meno, il loro l’inserimento nell’elenco dei soggetti NIS e la conferma del loro livello di criticità (essenziale, importante o fuori ambito).

Seguirà una lunga fase regolatoria e di implementazione, caratterizzata anche da uno scambio informativo e di supporto tra ACN e soggetti interessati, che si concluderà entro aprile 2026. Da quel momento in avanti il ruolo protagonisti sarà assunto dai soggetti NIS che dovranno provvedere ad implementare misure di sicurezza e porre in essere le altre attività previste dalla normativa, sempre proporzionali al livello di rischio e al settore di appartenenza.

Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA.

[1] Cfr. Art. 1 c.1 legge 28 giugno 2024, n. 90 “Le pubbliche amministrazioni centrali individuate ai sensi dell’articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, le regioni e le province autonome di Trento e di Bolzano, le città metropolitane, i comuni con popolazione superiore a 100.000 abitanti e, comunque, i comuni capoluoghi di regione, nonché le società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti, le società di trasporto pubblico extraurbano operanti nell’ambito delle città metropolitane e le aziende sanitarie locali… Tra i soggetti di cui al presente comma sono altresì comprese le rispettive società in house che forniscono servizi informatici, i servizi di trasporto di cui al primo periodo del presente comma ovvero servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali, come definite ai sensi dell’articolo 2, punti 1), 2) e 3), della direttiva 91/271/CEE del Consiglio, del 21 maggio 1991, o di gestione dei rifiuti, come definita ai sensi dell’articolo 3, punto 9), della direttiva 2008/98/CE del Parlamento europeo e del Consiglio, del 19 novembre 2008.

[2] Decreto legislativo 4 settembre 2024, n. 138 “Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148”. Pubblicato GU n.230 del 1.10.2024 – Entrata in vigore del provvedimento: 16/10/2024

[3] Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2)

[4] Determinazione 26.11.2024 del Direttore generale dell’Agenzia per la cybersicurezza nazionale di cui all’articolo 7, comma 6, e all’articolo 40, comma 5, lettera b), del decreto legislativo 4 settembre 2024, n. 138, recante termini, modalità procedimenti di utilizzo e accesso alla piattaforma digitale nonché ulteriori informazioni che i soggetti devono fornire all’Autorità nazionale competente NIS e termini, modalità e procedimenti di designazione dei rappresentanti NIS nell’Unione.