Misure di sicurezza ed integrità delle reti di comunicazione elettronica e notifica degli incidenti significativi

I fornitori di reti e servizi di comunicazione elettronica sono tenuti ad adottare particolari misure di sicurezza e integrità delle reti e dei servizi, come previsto dall'allegato I del decreto 12 dicembre 2018 del Ministero dello Sviluppo Economico

I fornitori di reti e servizi di comunicazione elettronica sono tenuti ad adottare particolari misure di sicurezza e integrità delle reti e dei servizi, come previsto dall’allegato I del decreto 12 dicembre 2018 del Ministero dello Sviluppo Economico “Misure di sicurezza ed integrità delle reti di comunicazione elettronica e notifica degli incidenti significativi”.

I fornitori di reti e servizi di documentazione elettronica dovranno provvedere ad alcuni obblighi nell’ambito di:

  • a) politica di sicurezza approvata dalla Direzione aziendale
  • b) gestione del rischio
  • c) struttura organizzativa
  • d) servizi e prodotti forniti da terze parti
  • e) formazione e gestione del personale
  • f) sicurezza fisica e logica
  • g) integrità della rete e dei sistemi informativi
  • h) gestione operativa
  • i) gestione degli incidenti di sicurezza
  • j) continuità operativa
  • k) monitoraggio, test e controllo

Politica di sicurezza approvata dalla Direzione aziendale


I fornitori di reti e servizi di comunicazione elettronica sono tenuti a:

  1. predisporre una documentata politica relativamente alla sicurezza e alla integrità delle reti di comunicazione e dei servizi forniti;
  2. definire una dettagliata politica di sicurezza per gli asset critici e i processi aziendali;
  3. definire e mantenere aggiornata una politica di sicurezza per tutti gli aspetti che seguono;

Gestione del rischio

Per quanto riguarda la gestione del rischio, i fornitori di reti e servizi di comunicazione elettronica sono tenuti a:

  1. individuare i principali rischi per la sicurezza e l’integrità delle reti e dei servizi di comunicazione elettronica forniti, tenendo conto delle minacce che insistono sugli asset critici;
  2. definire una metodologia di gestione dei rischi e utilizzare strumenti basati sugli standard di settore;
  3. verificare l’effettivo utilizzo di tali metodologie e strumenti di gestione del rischio da parte del personale;
  4. assicurarsi che i rischi residui, anche derivanti da vincoli realizzativi, siano minimizzati rispetto alla probabilità del verificarsi di incidenti significativi e che siano accettati dalla Direzione;

Struttura organizzativa

Per quanto riguarda la struttura organizzativa, i fornitori di reti e servizi di comunicazione elettronica sono tenuti a:

  1. identificare ruoli per il personale e le relative responsabilità in autonomia di esercizio;
  2. conferire, con formale nomina, ruoli e responsabilità al personale;
  3. assicurare la reperibilità, in caso di incidenti di sicurezza, del personale responsabile;

Servizi e prodotti forniti da terze parti

Per quanto riguarda la gestione di servizi e prodotti forniti da terze parti, i fornitori di reti e servizi di comunicazione elettronica sono tenuti a:

  1. definire i requisiti di sicurezza nei contratti con terze parti;
  2. verificare il rispetto dei requisiti fissati nei contratti;
  3. assicurare che i rischi residui che non sono gestiti dalla terza parte siano minimizzati rispetto alla probabilità del verificarsi di incidenti e che siano accettati dalla Direzione;
  4. tenere traccia ed eventualmente gestire gli incidenti di sicurezza relativi a terze parti o da esse causati che si ripercuotono sulla rete o sul servizio erogato;

Formazione e gestione del personale

Per quanto riguarda la formazione e la gestione del personale, i fornitori di reti e servizi di comunicazione elettronica sono tenuti a:

  1. definire un piano di formazione del personale;
  2. prevedere un’adeguata ed aggiornata formazione del personale con ruoli di responsabilità;
  3. organizzare corsi di formazione e sessioni di sensibilizzazione per tutto il personale;
  4. verificare le conoscenze acquisite dal personale;
  5. definire appropriate procedure per gestire le nuove assunzioni e la rotazione del personale che ricopre ruoli di responsabilità;
  6. revocare diritti di accesso, se non più giustificati;
  7. definire procedure di intervento per violazioni delle politiche di sicurezza di cui alla lettera a), che mettano a rischio la sicurezza e l’integrità delle reti e dei servizi di comunicazione elettronica;

Sicurezza fisica e logica

Per quanto riguarda la sicurezza, i fornitori di reti e servizi di comunicazione elettronica sono tenuti a:

  1. definire condizioni, responsabilità e procedure per l’assegnazione, la revoca dei diritti di accesso, e per l’approvazione delle eventuali eccezioni;
  2. definire meccanismi di autenticazione appropriati, a seconda del tipo di accesso;
  3. adottare meccanismi di protezione da accessi fisici non autorizzati o da eventi imprevisti quali, a titolo esemplificativo ma non esaustivo, furti con scasso, incendi, inondazioni;
  4. adottare meccanismi di controllo di accesso logico appropriati per l’accesso alla rete e ai sistemi di informazione per consentirne solo l’uso autorizzato;
  5. verificare che utenti e sistemi abbiano ID univoci e possano accedere ad altri servizi e sistemi previa autenticazione;
  6. monitorare e registrare gli accessi;
  7. prevedere meccanismi di protezione degli impianti funzionali all’erogazione del servizio, quali, a titolo esemplificativo ma non esaustivo, elettricità e gas;

Integrità della rete e dei sistemi informativi

Per quanto riguarda l’integrità della rete e dei sistemi informativi, i fornitori di reti e servizi di comunicazione elettronica sono tenuti a:

  1. implementare sistemi di protezione e di rilevamento di codice malevolo che possa alterare la funzionalità dei sistemi;
  2. assicurarsi che il software impiegato nella rete e nei sistemi informativi non venga manomesso o alterato;
  3. assicurarsi che i dati critici sulla sicurezza, quali, a titolo esemplificativo ma non esaustivo, password e chiavi private, non siano divulgati o manomessi;

Gestione operativa

Per quanto riguarda la gestione operativa, i fornitori di reti e servizi di comunicazione elettronica sono tenuti a:

  1. predisporre le procedure operative e individuare i responsabili per il funzionamento dei sistemi critici;
  2. predisporre procedure per la gestione di eventuali cambiamenti;
  3. attenersi alle procedure predefinite quando si effettuano attività sui sistemi critici;
  4. registrare e documentare ogni modifica o attività effettuata sui sistemi critici;
  5. predisporre e aggiornare un database delle configurazioni dei sistemi critici per eventuali ripristini delle stesse;
  6. predisporre e aggiornare un inventario degli asset critici;

Gestione degli incidenti di sicurezza

Per quanto riguarda la gestione degli incidenti di sicurezza, i fornitori di reti e servizi di comunicazione elettronica sono tenuti a:

  1. prevedere una struttura tecnica con adeguata competenza e disponibilità incaricata della gestione degli incidenti;
  2. predisporre e aggiornare un database degli incidenti;
  3. esaminare i principali incidenti e redigere relazioni sugli stessi, che contengano informazioni sulle azioni intraprese e sulle raccomandazioni per ridurre il rischio del ripetersi di incidenti analoghi;
  4. definire e implementare processi e sistemi per il rilevamento degli incidenti;
  5. definire procedure per informare gli utenti su incidenti in corso o risolti, oltreché il CSIRT italiano e l’Istituto superiore delle comunicazioni e delle tecnologie dell’informazione del Ministero dello sviluppo economico (di seguito anche ISCTI) secondo quanto previsto dal decreto 12 dicembre 2018 del Ministero dello Sviluppo Economico , notiziando comunque preventivamente il CSIRT e l’ISCTI;
  6. definire procedure per la segnalazione degli incidenti significativi ai sensi del successivo art. 5.

Continuità operativa

Per quanto riguarda la continuità operativa, i fornitori di reti e servizi di comunicazione elettronica sono tenuti a :

  1. predisporre e implementare piani di emergenza per gli asset critici;
  2. monitorare l’attivazione e l’esecuzione di piani di emergenza, registrando i tempi di ripristino dell’operatività e del servizio;
  3. predisporre e mantenere una appropriata capacità di disaster recovery;
  4. implementare procedure per le attività di ripristino dell’operatività e dei servizi;

Monitoraggio, test e controllo

Per quanto riguarda le attività di monitoraggio, test e controllo, i fornitori di reti e servizi di comunicazione elettronica sono tenuti a

  1. sottoporre a test reti, sistemi informativi e nuove versioni del software prima di utilizzarli o collegarli a sistemi esistenti;
  2. implementare il monitoraggio e la registrazione dello stato e degli eventi dei sistemi critici;
  3. impostare gli strumenti per raccogliere e archiviare i registri dei sistemi critici;
  4. configurare strumenti per la raccolta e l’analisi automatizzata di dati e registri di monitoraggio;
  5. predisporre un programma per la realizzazione di esercitazioni periodiche per testare piani di disaster recovery e di ripristino dei backup;
  6. implementare strumenti per test automatizzati;
  7. assicurarsi che i sistemi critici siano sottoposti a scansioni e test di sicurezza regolarmente, in particolare quando vengono introdotti nuovi sistemi e in seguito a modifiche;
  8. monitorare la conformità agli standard e alle disposizioni normative.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *