Articoli
19/04/2022
Corporate and Commercial

La cybersecurity in Italia in cinque contributi – Il codice delle comunicazioni elettroniche e gli obblighi a carico dei fornitori di reti pubbliche di comunicazioni e di servizi di comunicazione elettronica accessibili al pubblico

Il terzo contributo sulla normativa italiana in materia di cybersecurity. In questo contributo, gli obblighi previsti dal codice delle comunicazioni elettroniche a carico dei fornitori di reti pubbliche di comunicazioni e di servizi di comunicazione elettronica accessibili al pubblico relativi alle misure di sicurezza da adottare e alla comunicazione degli incidenti rilevanti.

Per talune imprese, esistono obblighi in materia di sicurezza informatica che si aggiungono a quelli a cui sono soggette ai sensi del GDPR.

È il caso, ad esempio, delle imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico. Tra queste sono compresi gli operatori di telecomunicazione, i fornitori di servizi di messaggistica e chiamate via Internet e i fornitori di altri servizi di comunicazione via Internet.

Gli obblighi a carico dei fornitori di reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico sono due.

Il primo è quello di adottare le misure – di natura tecnica e organizzativa – individuate dall’Agenzia per gestire i rischi per la sicurezza delle reti e dei servizi di comunicazione elettronica accessibili al pubblico (ad esempio, il ricorso a tecniche crittografiche).

L’Agenzia può peraltro impartire ai fornitori di reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico istruzioni vincolanti per porre rimedio a un incidente ovvero per evitare che si verifichi nel caso in cui sia stata rilevata una minaccia significativa.

Ad oggi, l’Agenzia non ha ancora provveduto a individuare le misure di cui sopra. Pertanto, deve ancora farsi riferimento alle misure individuate dall’art. 4 del Decreto 12 dicembre 2018 del Ministero dello Sviluppo Economico in relazione agli asset critici.

Tra le misure individuate dal Decreto figurano, in particolare:

  • la definizione e l’aggiornamento nel tempo di politiche di sicurezza, approvate dalla Direzione aziendale;
  • l’individuazione dei principali rischi per la sicurezza e l’integrità di reti e servizi e la definizione delle modalità di gestione degli stessi;
  • la definizione di ruoli e l’attribuzione di responsabilità al personale, di cui deve essere assicurata la reperibilità in caso di incidenti di sicurezza;
  • la definizione (e la verifica del rispetto) dei requisiti che i servizi e i prodotti forniti da terzi devono rispettare e la definizione delle modalità di gestione degli incidenti di sicurezza relativi a terze parti o da esse causati che si ripercuotono sulla rete o sul servizio erogato;
  • l’erogazione di corsi di formazione al personale, la rotazione del personale che ricopre ruoli di responsabilità e la definizione di procedure di intervento per violazioni delle politiche di sicurezza;
  • l’adozione di misure di sicurezza fisica e logica (ad esempio, procedure per l’assegnazione e la revoca dei diritti di accesso; meccanismi di autenticazione calibrati sulla base del tipo di accesso; meccanismi di protezione da accessi fisici non autorizzati o da eventi imprevisti; monitoraggio e registrazione degli accessi, etc.);
  • l’implementazione di sistemi di protezione e di rilevamento di malware e l’adozione di misure atte a scongiurare la manomissione o l’alterazione del software impiegato nella rete e nei sistemi informativi, oltre che la divulgazione di dati critici sulla sicurezza, quali password e chiavi private;
  • l’adozione (e la verifica del rispetto) di procedure operative relative al funzionamento dei sistemi critici e la predisposizione e aggiornamento nel tempo di un database delle configurazioni dei sistemi per eventuali ripristini delle stesse nonché di un inventario degli asset critici;
  • l’assegnazione di una struttura tecnica con adeguata competenza e disponibilità alla gestione degli incidenti di sicurezza nonché l’adozione di procedure per il rilevamento, la gestione e la risoluzione degli incidenti;
  • la predisposizione di un piano di emergenza e l’adozione di procedure di disaster recovery;
  • l’esecuzione periodica di test, controlli e altre attività di monitoraggio.

Il secondo obbligo è quello di comunicare all’Agenzia e al CSIRT gli incidenti di sicurezza che sono da considerarsi significativi ai fini del corretto funzionamento delle reti e dei servizi.

L’individuazione degli incidenti di sicurezza significativi è rimessa all’Agenzia, limitandosi la legge a indicare i parametri che l’Agenzia deve considerare ai fini della loro individuazione, e cioè:

a) il numero di utenti interessati dall’incidente di sicurezza;
b) la durata dell’incidente di sicurezza;
c) la diffusione geografica della zona interessata dall’incidente di sicurezza;
d) la misura in cui è colpito il funzionamento della rete o del servizio;
e) la portata dell’incidenza sulle attività economiche e sociali.

In attesa che l’Agenzia provveda alla loro individuazione, trovano applicazione i criteri definiti dall’art. 5 del Decreto 12 dicembre 2018 del Ministero dello Sviluppo Economico per cui un incidente di sicurezza – da intendersi come “una violazione della sicurezza o perdita dell’integrità che determina un malfunzionamento delle reti e dei servizi di comunicazione elettronica” – è significativo quando:

a) ha durata superiore ad un’ora e la percentuale degli utenti colpiti è superiore al quindici per cento del totale degli utenti nazionali del servizio interessato;
b) ha durata superiore a due ore e la percentuale degli utenti colpiti è superiore al dieci per cento del totale degli utenti nazionali del servizio interessato;
c) ha durata superiore a quattro ore e la percentuale degli utenti colpiti è superiore al cinque per cento del totale degli utenti nazionali del servizio interessato;
d) ha durata superiore a sei ore e la percentuale degli utenti colpiti è superiore al due per cento del totale degli utenti nazionali del servizio interessato;
e) ha durata superiore ad otto ore e la percentuale degli utenti colpiti è superiore all’uno per cento del totale degli utenti nazionali del servizio interessato.

Nelle more del trasferimento di funzioni in materia di cybersicurezza dal Ministero dello Sviluppo Economico all’Agenzia, la comunicazione deve essere effettuata al CSIRT e all’ISCTI.

Il termine per la comunicazione è di 24 ore dalla rilevazione dell’incidente. La comunicazione effettuata nel termine di 24 ore deve almeno contenere informazioni circa:

a) il servizio interessato;
b) la durata dell’incidente qualora concluso, ovvero la stima della conclusione se ancora in corso;
c) l’impatto stimato sull’utenza del servizio interessato in termini percentuali rispetto alla base di utenti nazionale per il medesimo servizio.

Entro 5 giorni dalla comunicazione, deve poi essere trasmesso un rapporto recante:

a) una descrizione dell’incidente;
b) la causa dell’incidente quale, a titolo meramente esemplificativo ma non esaustivo, errore umano, guasto, fenomeno naturale, azioni malevoli, guasti causati da terze parti;
c) le conseguenze sul servizio fornito;
d) le infrastrutture e i sistemi colpiti;
e) l’impatto sulle interconnessioni a livello nazionale;
f) le azioni di risposta per mitigare l’impatto dell’incidente;
g) le azioni per ridurre la probabilità del ripetersi dell’incidente o di incidenti simili.

Per verificare gli obblighi appena descritti, l’Agenzia può richiedere ai fornitori di reti e servizi ogni e qualsiasi informazione necessaria per valutare la sicurezza delle reti e dei servizi (in particolare i documenti relativi alle politiche di sicurezza) nonché effettuare, direttamente o per il tramite di un terzo incaricato, verifiche e ispezioni.

Le sanzioni, in caso di violazione degli obblighi descritti sopra, sono piuttosto elevate.

L’inosservanza delle misure di sicurezza è punita con una sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000 e la mancata comunicazione degli incidenti di sicurezza significativi con una sanzione amministrativa pecuniaria da euro 300.000 ad euro 1.800.000. Infine, per la mancata fornitura delle informazioni necessarie per valutare la sicurezza è prevista una sanzione amministrativa pecuniaria da euro 200.000 a euro 1.000.000.

Le sanzioni possono, in ogni caso, essere ridotte fino ad un terzo, tenuto conto della minima entità della violazione; dell’opera svolta dall’agente per l’eventuale eliminazione o attenuazione delle conseguenze della violazione e delle dimensioni economiche dell’operatore.

Nel prossimo contributo, la Direttiva NIS e gli obblighi a carico degli operatori di servizi essenziali e dei fornitori di servizi digitali.

 

Il contenuto di questo elaborato ha valore meramente informativo e non costituisce, né può essere interpretato, quale parere professionale sugli argomenti in oggetto. Per ulteriori informazioni si prega di contattare Paolo GallaratiGiulio Uras e Marco Cappa.

Ricevi i nostri aggiornamenti