L’11 giugno 2021, il Governo ha pubblicato sulla Gazzetta Ufficiale una guida, consultabile da qualsiasi azienda interessata, nella quale sono state elencate le misure minime di sicurezza informatica e cartacea.

Infatti, anche l’Italia, a seguito delle decisioni provenienti dall’Europa, ha definito una serie di misure di sicurezza informatica, che sono applicabili a tutti gli enti che esercitano attraverso reti, sistemi informativi e sistemi informatici, le 223 funzioni essenziali dello Stato, tra cui l’erogazione di servizi essenziali per il mantenimento di attività civili, sociali o economiche.

Recentemente l’elenco ha subito degli aggiornamenti in ambito di applicazione del “parametro di sicurezza cibernetica nazionale” nel quale sono stati aggiunti ulteriori soggetti pubblici e privati che esercitano funzioni ritenute critiche per la sicurezza informatica.

Il Dipartimento delle informazioni provvederà a comunicare ai nuovi interessati che entro sei mesi saranno tenuti a comunicare le reti, i sistemi informativi e i servizi informatici che impiegano per l’erogazione delle funzioni e dei servizi essenziali dello Stato.

A partire dal 23 giugno 2021 tali soggetti hanno iniziato ad applicare i requisiti previsti dalle guide pubblicate dal Governo. Si ricorda che entro il 31 dicembre 2021 tutte le misure pubblicate dovranno essere applicate definitivamente e pienamente operative.

Il documento in cui troviamo precise indicazioni sulle misure minime di sicurezza da adottare in un sistema informativo, indipendentemente dal fatto che l’azienda sia inserita nell’elenco nazionale, è costituito dall’allegato C, art.9, al DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 14 aprile 2021, n. 81. Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all’articolo 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza.

1. Trattamenti con l’ausilio di strumenti elettronici

a) Gestione delle identità digitali;

b) Determinazione dei privilegi di accesso alle risorse incaricate (es. manutenzione);

c) Implementazione di un sistema di autenticazione e autorizzazione degli utenti;

d) Protezione contro il software malevolo (antimalware);

e) Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti;

f) Procedure di sicurezza per importazione/esportazione dei dati;

g) Procedure per la gestione della configurazione dei sistemi impiegati;

h) Procedure per la dismissione dei dispositivi di memorizzazione;

i) Adozione di procedure per la custodia di copie di sicurezza e il ripristino dei dati;

l) Adozione di tecniche di cifratura.

2. Misure di sicurezza fisica e documentale

a) Accesso alle informazioni consentito sulla base del principio della necessità di conoscere;

b) Individuare la figura di un responsabile incaricato della gestione delle informazioni;

c) Custodire in un locale idoneo/identificato, che sia dotato di misure di protezione minime tali da consentire l’accesso alle sole persone autorizzate (es. armadi chiusi a chiave);

d) Registrare la documentazione su appositi registri di protocollo;

e) Consultare i documenti sulla base del principio della necessità di conoscere e tracciare su apposito registro;

f) Riprodurre i documenti solo previa autorizzazione del responsabile della gestione delle informazioni e registrare su apposito registro;

g) Spedire la documentazione tramite corrieri.