NIS 2: il ruolo del CSIRT Italia

1. Introduzione

La direttiva NIS 2 richiede l’istituzione di una complessa struttura amministrativa a livello europeo e nazionale, la cui funzione non è solo quella di controllare il corretto adempimento degli obblighi normativi da parte delle imprese, ma anche costituire un aiuto e un supporto nel difficile cammino alla compliance della cybersicurezza. Uno degli organi principali di questa struttura è rappresentato dal CSIRT (Computer Security Incident Response Team) e, in particolare, dall’insieme dei CSIRT a livello nazionale che, secondo la previsione del Considerando 42 della direttiva NIS 2, sono chiamati a svolgere funzioni di gestione degli incidenti informatici.

2. Istituzione del CSIRT Italia

La normativa richiede che ogni Stato membro istituisca uno o più CSIRT a livello nazionale, garantendo che questo o questi possiedano le risorse e le capacità tecniche adeguate per svolgere il proprio ruolo. I vari team di risposta a livello nazionale dovranno poi cooperare a livello europeo attraverso la rete europea dei CSIRT, in modo da condividere informazioni sugli attacchi informatici, fornire assistenza a livello transnazionale nella gestione degli incidenti ed implementare le migliori pratiche (best practices) di risposta.

In particolare, in Italia il CSIRT è stato istituito con il d.lgs 65/2018, attuativo della prima direttiva NIS, e successivamente con il d.l. 82/2021, che ha istituito l’Agenzia per la Cybersicurezza Nazionale (ACN), è stato incardinato presso quest'ultima assumendo il nome di «CSIRT Italia». Si può dire quindi che quest’ultimo costituisca oggi il braccio operativo dell'Agenzia.

3. Servizi del CSIRT Italia

Come si ricava dall’art. 15, comma 3, del d.lgs 138/2024 e come indicato anche dall’ACN nelle sue linee guida sulla Constituency del CSIRT Italia, tale organo costituisce:

• la struttura tecnica di coordinamento e di risposta agli attacchi informatici a livello nazionale;

• il punto di riferimento delle aziende per le notifiche degli incidenti informatici. Ai sensi dell'art. 25 del d.lgs. 138/2024, infatti, i soggetti «essenziali» e «importanti»sottoposti alla normativa NIS 2 sono tenuti a comunicare al CSIRT ogni incidente che abbia un impatto significativo. Sulle modalità di notifica l’ACN ha pubblicato a luglio 2024 delle linee guida denominate Guida alla notifica degli incidenti al CSIRT Italia, con uno schema pratico per svol­gere le segnalazioni.

Si possono poi distinguere due tipologie principali di servizi che fornisce il CSIRT. In primo luogo, si parla di servizi reattivi, intendendo con questo termine quelle attività volte a contrastare le minacce informatiche con misure di gestione dell’incidente. Tali servizi comprendono:

• l’emissione di preallarmi e allerte alle parti interessate in merito ad eventuali vulnerabilità di un sistema e ad incidenti effettivamente avvenuti. La scelta di rilasciare informazioni su eventuali incidenti può essere presa, come stabilito dall’art. 25, comma 11, del d.lgs 138/2024, non solo per informare il pubblico sull’incidente o per gestire l’incidente in corso, ma anche quando si ritiene che tale divulgazione sia d'interesse pubblico; 

• il supporto alle aziende nella gestione e nella mitigazione dell’incidente. Ciò comprende: il co­ordinamento nella risposta, intesto come aiuto nelle operazioni di rispristino della sicurezza; l’analisi delle vulnerabilità del sistema, attraverso indagini approfondite sugli incidenti per comprendere le cause e prevenire future minacce; la raccolta di prove attraverso pratiche di analisi forense.

Tali attività potranno essere svolte dai tecnici dell’ente anche attraverso la presentazione in situ presso i locali del soggetto attaccato. In tal caso, l’azienda sarà tenuta a garantire pieno supporto agli operatori, fornendo l’accesso alle zone e ai sistemi informatici ritenuti coinvolti nell’attacco.

I servizi proattivi, invece, riguardono la parte di prevenzione degli incidenti di sicurezza e di miglioramento della sicurezza cibernetica. All’interno di tale categoria, rientrano:

• il monitoraggio delle minacce informatiche, in modo da identificare possibili rischi futuri. Tale valutazione avviene soprattutto attraverso l’analisi degli indicatori di compromissione, cioè quelle informazioni che costituiscono una spia sul funzionamento anomalo del sistema, oltre che delle attività sospet­te;

• la condivisione di informazioni con altre organizzazioni a livello europeo, come già sottolineato nella parte iniziale, in modo da migliorare le capacità di gestione e risposta di questi fenomeni.

4. Conclusioni

Il CSIRT Italia rappresenta una risorsa fondamentale per la sicurezza informatica delle imprese e delle infrastrutture critiche italiane. Con l’attuazione della direttiva NIS 2, il suo ruolo diventa ancora più strategico, offrendo alle aziende strumenti e supporto per prevenire e gestire efficacemente gli attacchi informatici. Adottare un approccio proattivo alla sicurezza, collaborare attivamente con il CSIRT e implementare le misure previste dalla normativa non solo aumenta la resilienza aziendale, ma garantisce anche la conformità alle nuove disposizioni della NIS 2.