L’11 giugno 2021, il Governo ha pubblicato sulla Gazzetta Ufficiale una guida, consultabile da qualsiasi azienda interessata, nella quale sono state elencate le misure minime di sicurezza informatica e cartacea.
Infatti, anche l’Italia, a seguito delle decisioni provenienti dall’Europa, ha definito una serie di misure di sicurezza informatica, che sono applicabili a tutti gli enti che esercitano attraverso reti, sistemi informativi e sistemi informatici, le 223 funzioni essenziali dello Stato, tra cui l’erogazione di servizi essenziali per il mantenimento di attività civili, sociali o economiche.
Recentemente l’elenco ha subito degli aggiornamenti in ambito di applicazione del “parametro di sicurezza cibernetica nazionale” nel quale sono stati aggiunti ulteriori soggetti pubblici e privati che esercitano funzioni ritenute critiche per la sicurezza informatica.
Il Dipartimento delle informazioni provvederà a comunicare ai nuovi interessati che entro sei mesi saranno tenuti a comunicare le reti, i sistemi informativi e i servizi informatici che impiegano per l’erogazione delle funzioni e dei servizi essenziali dello Stato.
A partire dal 23 giugno 2021 tali soggetti hanno iniziato ad applicare i requisiti previsti dalle guide pubblicate dal Governo. Si ricorda che entro il 31 dicembre 2021 tutte le misure pubblicate dovranno essere applicate definitivamente e pienamente operative.
Il documento in cui troviamo precise indicazioni sulle misure minime di sicurezza da adottare in un sistema informativo, indipendentemente dal fatto che l’azienda sia inserita nell’elenco nazionale, è costituito dall’allegato C, art.9, al DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 14 aprile 2021, n. 81. Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all’articolo 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza.
1. Trattamenti con l’ausilio di strumenti elettronici
a) Gestione delle identità digitali;
b) Determinazione dei privilegi di accesso alle risorse incaricate (es. manutenzione);
c) Implementazione di un sistema di autenticazione e autorizzazione degli utenti;
d) Protezione contro il software malevolo (antimalware);
e) Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti;
f) Procedure di sicurezza per importazione/esportazione dei dati;
g) Procedure per la gestione della configurazione dei sistemi impiegati;
h) Procedure per la dismissione dei dispositivi di memorizzazione;
i) Adozione di procedure per la custodia di copie di sicurezza e il ripristino dei dati;
l) Adozione di tecniche di cifratura.
2. Misure di sicurezza fisica e documentale
a) Accesso alle informazioni consentito sulla base del principio della necessità di conoscere;
b) Individuare la figura di un responsabile incaricato della gestione delle informazioni;
c) Custodire in un locale idoneo/identificato, che sia dotato di misure di protezione minime tali da consentire l’accesso alle sole persone autorizzate (es. armadi chiusi a chiave);
d) Registrare la documentazione su appositi registri di protocollo;
e) Consultare i documenti sulla base del principio della necessità di conoscere e tracciare su apposito registro;
f) Riprodurre i documenti solo previa autorizzazione del responsabile della gestione delle informazioni e registrare su apposito registro;
g) Spedire la documentazione tramite corrieri.