AGENZIA PER LA CYBERSICUREZZA NAZIONALE
DETERMINA 3 gennaio 2023
Tassonomia degli incidenti che debbono essere  oggetto  di  notifica.
(23A00114)
(GU n.7 del 10-1-2023)

 
                        IL DIRETTORE GENERALE
 
  Visto il decreto-legge 14  giugno  2021,  n.  82,  convertito,  con
modificazioni,  dalla  legge  4  agosto   2021,   n.   109,   recante
«Disposizioni  urgenti  in  materia  di  cybersicurezza,  definizione
dell'architettura   nazionale   di   cybersicurezza   e   istituzione
dell'Agenzia per la cybersicurezza nazionale»;
  Visto il decreto-legge 21 settembre 2019, n. 105,  convertito,  con
modificazioni,  dalla  legge  18  novembre  2019,  n.  133,   recante
«Disposizioni urgenti in materia di perimetro di sicurezza  nazionale
cibernetica e di  disciplina  dei  poteri  speciali  nei  settori  di
rilevanza strategica» e, in particolare, l'art. 1, comma 3-bis;
  Visto il decreto del  Presidente  del  Consiglio  dei  ministri  30
luglio 2020, n. 131, recante «Regolamento in materia di perimetro  di
sicurezza nazionale cibernetica, ai sensi dell'art. 1, comma  2,  del
decreto-legge  21   settembre   2019,   n.   105,   convertito,   con
modificazioni, dalla legge 18 novembre 2019, n. 133»;
  Visto il decreto del  Presidente  del  Consiglio  dei  ministri  14
aprile 2021, n. 81, recante  «Regolamento  in  materia  di  notifiche
degli incidenti aventi impatto su reti, sistemi informativi e servizi
informatici di cui all'art. 1, comma 2, lettera b), del decreto-legge
21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge
18 novembre 2019, n. 133, e  di  misure  volte  a  garantire  elevati
livelli di sicurezza»;
  Ritenuto di dover dare attuazione a quanto previsto dal citato art.
1, comma 3-bis, del decreto-legge  n.  105  del  2019,  indicando  la
tassonomia di incidenti che devono essere  notificati  ai  sensi  del
medesimo comma 3-bis;
  Sentito il vice direttore generale;
 
                             Determina:
 
                               Art. 1
 
                             Definizioni
 
  1. Ai fini del presente provvedimento si intende per:
    a) «decreto-legge», il decreto-legge 21 settembre 2019,  n.  105,
convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133;
    b) «DPCM 2», il decreto del Presidente del Consiglio dei ministri
14 aprile 2021, n. 81, recante «Regolamento in materia  di  notifiche
degli incidenti aventi impatto su reti, sistemi informativi e servizi
informatici di cui all'art. 1, comma 2, lettera b), del decreto-legge
21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge
18 novembre 2019, n. 133, e  di  misure  volte  a  garantire  elevati
livelli di sicurezza»;
    c) «perimetro», il perimetro di sicurezza  nazionale  cibernetica
istituito ai sensi dell'art. 1, comma 1, del decreto-legge;
    d) «soggetti inclusi nel perimetro», i soggetti di  cui  all'art.
1, comma 2-bis, del decreto-legge;
    e) «bene ICT»  (Information  and  communication  technology),  un
insieme di reti, sistemi informativi e servizi informatici,  o  parti
di essi, incluso nell'elenco di cui all'art. 1, comma 2, lettera  b),
del decreto-legge;
    f) «incidente», ogni evento di natura accidentale o  intenzionale
che determina il malfunzionamento,  l'interruzione,  anche  parziali,
ovvero l'utilizzo improprio delle reti, dei sistemi informativi o dei
servizi informatici;
    g) «impatto sul bene ICT»,  limitazione  della  operativita'  del
bene ICT, ovvero compromissione della disponibilita',  integrita',  o
riservatezza dei dati e delle informazioni da esso trattati, ai  fini
dello svolgimento della funzione o del servizio essenziali.
                               Art. 2
 
                               Oggetto
 
  1. Il presente provvedimento indica la tassonomia  degli  incidenti
aventi impatto su reti, sistemi  informativi  e  servizi  informatici
diversi  dai  beni  ICT  di  pertinenza  dei  soggetti  inclusi   nel
perimetro, che i soggetti medesimi sono tenuti a notificare ai  sensi
dell'art. 1, comma 3-bis, del decreto-legge.
                               Art. 3
 
                     Tassonomia degli incidenti
 
  1. Nella sezione 1 della tabella di cui all'allegato A al  presente
provvedimento sono classificati, in categorie, gli incidenti  di  cui
all'art. 2, comma 1, indicando, per ciascuna tipologia di  incidente,
un codice identificativo e la corrispondente categoria,  accompagnata
dalla descrizione di ciascuna tipologia di incidente.
  2. Al fine di fornire all'Agenzia per la  cybersicurezza  nazionale
un quadro di valutazione della minaccia piu' completo, nella  sezione
2 della tabella di cui all'allegato A al presente provvedimento sono,
altresi', descritti gli eventi che i soggetti inclusi  nel  perimetro
potranno notificare, con le medesime modalita' previste dall'art.  1,
comma 3-bis, del decreto-legge.
                               Art. 4
 
                         Disposizioni finali
 
  1. La presente  determina  ha  efficacia  dal  quindicesimo  giorno
successivo alla sua  pubblicazione  nella  Gazzetta  Ufficiale  della
Repubblica italiana e sara' disponibile, dopo la  pubblicazione,  sui
siti  istituzionali  dell'Agenzia  per  la  cybersicurezza  nazionale
(https://www.acn.gov.it e https://www.csirt.gov.it).
 
    Roma, 3 gennaio 2023
 
                                       Il direttore generale: Baldoni
                                                           Allegato A
 
                                                     (articolo 3)    
 
 
                     TASSONOMIA DEGLI INCIDENTI
 (in attuazione dell'articolo 1, comma 3-bis, del D.L. n. 105/2019)
 
              Parte di provvedimento in formato grafico