SICUREZZA INFORMATICA - DEFINITE LE REGOLE PER IL FUNZIONAMENTO DEL CSIRT ITALIANO
E' stato pubblicato, sulla Gazzetta Ufficiale n. 262 del 8 novembre 2019, il Decreto del Presidente del Consiglio dei Ministri 8 agosto 2019, recante "Disposizioni sull'organizzazione e il funzionamento del Computer security incident response team - CSIRT italiano". . Il presente decreto, adottato ai sensi dell'art. 8, comma 2, del decreto legislativo 18 maggio 2018, n. 65 (c.d. "Decreto NIS"), definisce la costituzione, l'organizzazione e il funzionamento del Computer security incident response team - CSIRT italiano. Il CSIRT Italiano è costituito presso il Dipartimento delle informazioni per la sicurezza (DIS) della Presidenza del Consiglio dei Ministri, ai sensi del D.Lgs. n. 65/2018 che recepisce in Italia la Direttiva (UE) 2016/1148 (c.d. "Direttiva NIS") e svolge i compiti e le funzioni del Computer Emergency Response Team (CERT) nazionale, di cui all'articolo 16-bis del decreto legislativo 1° agosto 2003, n. 259 (attualmente svolte dal Ministero dello sviluppo economico) e del Computer Emergency Response Team - Pubblica Amministrazione (CERT-PA), già operante presso l'Agenzia per l'Italia digitale ai sensi dell'articolo 51 del decreto legislativo 7 marzo 2005, n. 82. Le funzioni del Ministero dello sviluppo economico, in qualità di CERT nazionale, e dell'AgID, in qualità di CERT-PA, vengono trasferite con le modalità fissate dal presente decreto. Entro il centoventesimo giorno successivo alla data di entrata in vigore del presente articolo, il DIS, il Ministero dello sviluppo economico e l'AgID sottoscrivono appositi accordi per assicurare, a far data dal centottantesimo giorno successivo alla data di pubblicazione nella Gazzetta Ufficiale, il trasferimento delle funzioni del CERT nazionale e del CERT-PA al CSIRT italiano. Per lo svolgimento dei propri compiti, il CSIRT italiano si avvale dell'AgID, secondo le modalità individuate con apposito accordo. Con lo stesso accordo si dovrà provvedere altresì a disciplinare l'utilizzo dei servizi messi a punto dall'AgID, nonchè la loro evoluzione e gestione, anche con riguardo alle necessarie risorse umane e materiali da impiegare per tali attività. L'accordo dovrà essere definito dal DIS e dall'AgID entro il centoventesimo giorno successivo alla data di entrata in vigore del presente articolo. Ricordiamo che il CERT nazionale ed il CERT PA, nella fase transitoria, ha continuato a svolgere compiti di prevenzione e di risposta ad incidenti informatici, facilitando la mitigazione dei relativi effetti. In tale ottica, dall'entrata in vigore del D.Lgs. 65/2018, congiuntamente hanno gestito le notifiche di incidenti informatici, che nella fase transitoria hanno carattere obbligatorio solo per i fornitori di servizi digitali. La notifica dell'incidente deve essere effettuata utilizzando l'apposito modulo disponibile nella sezione "modulistica" del sito. Il modulo, una volta effettuato il "download", deve essere firmato digitalmente e inviato in forma cifrata all'indirizzo email: notifica.nis[at]csirt-ita.it. Nella sezione contatti è disponibile la chiave pubblica PGP utilizzabile per la cifratura. Per scaricare il testo del decreto clicca qui. Per scaricare il testo del D.Lgs. n. 65/2018 clicca qui. Per accedere al sito dedicato clicca qui. Per scaricare il modello di notifica incidente clicca qui. Fonte: https://www.tuttocamere.it Fonte: Articoli e Approfondimenti