Perimetro di sicurezza: DPCM 81 del 2021 su notifiche e misure di sicurezza

Avevo scritto a marzo della bozza di un DPCM relativo alle regole per notificare gli incidenti da parte delle organizzazioni che fanno parte del "perimetro di sicurezza nazionale cibernetica" e alle misure di sicurezza che devono applicare.

E' stato quindi approvato come DPCM 81 del 14 aprile 2021 (ma pubblicato in GU l'11 giugno):
- http://www.normattiva.it/eli/id/2021/06/11/21G00089/ORIGINAL.

Ringrazio Franco Vincenzo Ferrari di DNV per avermelo segnalato.

La lettura del DPCM è complessa perché sono presenti molti riferimenti ad altra normativa relativa al "perimetro" e non solo. Va però detto che gli approfondimenti sono necessari solo per le organizzazioni include nel perimetro, mentre le altre potrebbero ignorare completamente questo DPCM. Mi permetto però di segnalare che in Allegato B sono riportate le misure di sicurezza e ne raccomando vivamente la lettura anche a chi non lavora per organizzazioni all'interno del perimetro, ma comunque con significative esigenze di sicurezza.

A marzo avevo scritto che le misure di sicurezza erano riportate in altri documenti (lo avevo fatto con errori, segnalatomi da Giancarlo Caroti di Neumus, per cui avevo poi inviato un errata corrige). Nella versione definitiva del DPCM le misure sono riportate direttamente in un Allegato B e confesso di non aver verificato la loro aderenza ai documenti iniziali.

Però le ho lette e devo dire che mi hanno convinto e mi sembra che prevedano molti miglioramenti ad altri elenchi che avevo letto rispetto alle misure minime AgID e a quelle del "framework nazionale" (ancora una volta non ho verificato puntualmente, visto che non lo ritengo molto utile). Ovviamente ho visto alcuni refusi e ho notato alcune misure con impostazione vecchia o troppo burocratica, ma si tratta di poca cosa, se consideriamo che sono descritte in 13 dense pagine.

Aggiungo poi che le misure sono suddivise in due categorie (con fantasia indicate come "A" e "B") a seconda dell'urgenza con cui devono essere attuate. Anche questa indicazione può essere utile anche a chi non fa parte del perimetro.

A marzo avevo commentato soprattutto le regole relative alla notifica degli incidenti e le ribadisco qui, con qualche piccolo aggiornamento:
- acquista importanza lo CSIRT nazionale, a cui vanno comunicati gli incidenti;
- i tempi di comunicazione sono strettissimi e sono di un'ora per gli incidenti più gravi e 6 ore per quelli meno gravi; forse eccessivamente brevi per un'organizzazione che sarà impegnata nella loro chiusura;
- non viene detto da dove è stata ricavata la tassonomia degli incidente in allegato A ed è un peccato, visto che un riferimento autorevole ed esplicito era auspicabile (ho anche dei dubbi su alcune descrizioni di incidenti come quella troppo generica di "Perdita di confidenzialità o integrità", peraltro presente nella tabella degli incidenti "meno gravi");
- mi chiedo come questa tassonomia si integri con quella di ENISA per i fornitori di servizi eIDAS (https://www.enisa.europa.eu/publications/article19-incident-reporting-framework); non vorrei che troppe tassonomie tra loro scollegate facciano più male che bene;
- è richiesto (articolo 5) che le informazioni sugli incidenti vengano comunicate a molti soggetti e penso che questa diffusione di informazioni sia rischiosa (anche se l'allegato C specifica le misure di sicurezza da prevedere per queste informazioni, bisogna dire che sono talmente generica da non essere significative).