6.Notifiche e segnalazioni
6.Notifiche e segnalazioniNel rispetto di quanto previsto dall’art. 25 comma 1 del D. Lgs. 138/2024, nel caso in cui un incidente di sicurezza coinvolga dati personali o sia classificabile come significativo, in accordo al sopracitato Decreto, è necessario procedere tempestivamente con la segnalazione alle autorità competenti, in conformità con le normative vigenti. La segnalazione deve essere effettuata dal personale preposto e seguendo procedure definite per garantire la conformità legale e la gestione efficiente della crisi. A seconda della natura dell’incidente, le segnalazioni devono essere indirizzate a:
CSIRT Italia: la segnalazione al CSIRT Italia è richiesta per incidenti che minacciano la sicurezza informatica di sistemi, reti o servizi critici a livello nazionale o per le infrastrutture di pubblica utilità rientranti negli Enti essenziali dal D.Lgs. 138/2024.
Garante per la protezione dei dati personali: la notifica al garante della privacy è obbligatoria in caso di violazione dei dati personali che possa comportare rischi per i diritti e le libertà degli interessati.
Inoltre, al fine di garantire la piena conformità a quanto previsto dal D.Lgs. 138/2024, è necessario che gli Organi di Amministrazione e Direzione dell’Ateneo siano tempestivamente informati dell’incidente e delle azioni intraprese per la sua gestione.
Tale aggiornamento consente di assicurare un adeguato livello di supervisione, responsabilità e tracciabilità decisionale, nonché di predisporre tempestivamente eventuali comunicazioni istituzionali o adempimenti verso altri soggetti regolatori.
6.1 Notifica al CSIRT ITALIA
In conformità con il D.Lgs. 138/2024, attraverso la figura del Referente CSIRT, l’Ateneo deve segnalare tempestivamente al CSIRT Italia qualsiasi incidente informatico che possa avere un impatto significativo sulla sicurezza delle reti e dei sistemi informatici.
Secondo quanto previsto dal D.Lgs. 138/2024, l’Ateneo è tenuto a trasmettere al CSIRT Italia le seguenti notifiche riguardanti un incidente:
Pre-notifica (early warning): deve essere inviata senza ingiustificato ritardo, e comunque entro 24 ore dal momento in cui si è venuti a conoscenza dell'incidente. La pre-notifica deve, ove possibile, includere un’indicazione preliminare sul fatto che l'incidente possa essere il risultato di atti illegittimi o malevoli, e se potrebbe avere un impatto transfrontaliero;
Notifica dell'incidente (incident notification): deve essere trasmessa senza ingiustificato ritardo, e comunque entro 72 ore dal momento in cui si è venuti a conoscenza
dell'incidente. Questa notifica deve aggiornare, ove possibile, le informazioni fornite nella prenotifica e includere una valutazione iniziale dell'incidente, con una stima della sua gravità e impatto. Inoltre, dove disponibili, devono essere forniti anche gli indicatori di compromissione relativi all'incidente.
Relazione finale: deve essere trasmessa entro un mese dalla chiusura dell'incidente e deve includere un'analisi dettagliata dell'incidente ivi inclusi la sua gravità e il suo impatto, il tipo di minaccia o la causa originale che ha probabilmente innescato l’incidente, le misure di attenuazione adottate e in corso e ove noto, l’impatto transfrontaliero dell’incidente.
Inoltre, su richiesta del CSIRT Italia, l’Ateneo deve condividere una relazione intermedia sui pertinenti aggiornamenti della situazione.
Queste comunicazioni permettono al CSIRT Italia di monitorare e coordinare una risposta adeguata agli incidenti che possono influenzare la sicurezza delle reti e dei sistemi informatici a livello nazionale e internazionale.
Il CSRIT Italia ha predisposto una specifica piattaforma per la segnalazione di incidenti di sicurezza raggiungibile al seguente link: https://www.csirt.gov.it/segnalazione.
Successivamente, l’Ateneo provvede a informare i destinatari dei servizi in merito agli incidenti significativi che possono avere un impatto negativo sull’erogazione degli stessi (rif. PRO016 – Comunicazione ai destinatari dei servizi interessati da un incidente significativo).
6.2 Notifica di un incidente con potenziale Data Breach
Un “Data Breach” è una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.
Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.), senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi.
Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo. Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, deve essere comunicata a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.
In particolare, devono essere notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali. Ciò può includere, ad esempio:
la perdita del controllo sui propri dati personali;
la limitazione di alcuni diritti, la discriminazione;
il furto d'identità o il rischio di frode;
la perdita di riservatezza dei dati personali protetti dal segreto professionale;
una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale.
La notifica di una violazione di dati personali deve essere inviata al Garante tramite un’apposita procedura telematica, resa disponibile nel portale dei servizi online dell’Autorità, e raggiungibile tramite il seguente indirizzo: https://servizi.gpdp.it/databreach/s/.
Per i dettagli relativi a tale tipologia di incidente, si rimanda alla consultazione del documento dedicato: Procedura per la gestione dei Data Breach.