§ 81.1.81 - D.P.C.M. 30 luglio 2020, n. 131.
Regolamento in materia di perimetro di sicurezza nazionale cibernetica, ai sensi dell'articolo 1, comma 2, del decreto-legge 21 settembre 2019, [...]


Settore:Normativa nazionale
Materia:81. Pubblica sicurezza
Capitolo:81.1 disciplina generale
Data:30/07/2020
Numero:131


Sommario
Art. 1.  Definizioni
Art. 2.  Soggetti che esercitano funzioni essenziali e servizi essenziali
Art. 3.  Settori di attività
Art. 4.  Modalità e criteri procedurali di individuazione dei soggetti inclusi nel perimetro
Art. 5.  Elencazione dei soggetti inclusi nel perimetro
Art. 6.  Tavolo interministeriale per l'attuazione del perimetro di sicurezza nazionale cibernetica - Tavolo interministeriale
Art. 7.  Definizione dei criteri per la predisposizione e l'aggiornamento degli elenchi delle reti, dei sistemi informativi e dei servizi informatici
Art. 8.  Descrizione dell'architettura e della componentistica
Art. 9.  Modalità di trasmissione degli elenchi delle reti, dei sistemi informativi e dei servizi informatici
Art. 10.  Tutela delle informazioni
Art. 11.  Disposizioni transitorie
Art. 12.  Clausola di invarianza finanziaria


§ 81.1.81 - D.P.C.M. 30 luglio 2020, n. 131.

Regolamento in materia di perimetro di sicurezza nazionale cibernetica, ai sensi dell'articolo 1, comma 2, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133.

(G.U. 21 ottobre 2020, n. 261)

 

     IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI

 

     Vista la legge 23 agosto 1988, n. 400;

     Visto il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica, e, in particolare, l'articolo 1, comma 2;

     Visto il decreto legislativo 30 luglio 1999, n. 300, recante riforma dell'organizzazione del Governo, a norma dell'articolo 11 della legge 15 marzo 1997, n. 59;

     Visto il decreto legislativo 1° agosto 2003, n. 259, recante codice delle comunicazioni elettroniche;

     Visto il decreto legislativo 7 marzo 2005, n. 82, recante codice dell'amministrazione digitale e, in particolare, l'articolo 29;

     Visto il decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, recante misure urgenti per il contrasto del terrorismo e, in particolare, l'articolo 7-bis;

     Vista la legge 3 agosto 2007, n. 124, concernente Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto;

     Visto il decreto legislativo 11 aprile 2011, n. 61, di attuazione della direttiva 2008/114/CE della Commissione, dell'8 dicembre 2008, recante l'individuazione e la designazione delle infrastrutture critiche europee e la valutazione della necessità di migliorarne la protezione;

     Visto il decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, recante norme in materia di poteri speciali sugli assetti societari nei settori della difesa e della sicurezza nazionale, nonchè per le attività di rilevanza strategica nei settori dell'energia, dei trasporti e delle comunicazioni;

     Visto il decreto legislativo 18 maggio 2018, n. 65, di attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione;

     Visto il decreto del Presidente del Consiglio dei ministri 17 febbraio 2017, recante direttiva concernente indirizzi per la protezione cibernetica e la sicurezza informatica nazionali, pubblicato nella Gazzetta Ufficiale della Repubblica italiana n. 87 del 13 aprile 2017;

     Ritenuto di dover definire modalità e criteri procedurali di individuazione dei soggetti pubblici e privati inclusi nel perimetro di sicurezza nazionale cibernetica, nonchè i criteri con i quali i soggetti inclusi nel perimetro predispongono e aggiornano un elenco delle reti, dei sistemi informativi e dei servizi informatici di rispettiva pertinenza;

     Udito il parere del Consiglio di Stato espresso dalla sezione consultiva per gli atti normativi nell'adunanza del 21 maggio 2020;

     Acquisiti i pareri della 1ª Commissione del Senato della Repubblica del 7 luglio 2020, delle Commissioni riunite I e IX della Camera dei deputati dell'8 luglio 2020 e della V Commissione della Camera dei deputati del 15 luglio 2020;

     Sulla proposta del Comitato interministeriale per la sicurezza della Repubblica;

 

     Adotta

     il presente regolamento:

 

Capo I

Definizioni e criteri generali

 

Art. 1. Definizioni

     1. Ai fini del presente decreto si intende per:

     a) decreto-legge, il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133;

     b) perimetro, il perimetro di sicurezza nazionale cibernetica istituito ai sensi dell'articolo 1, comma 1, del decreto-legge;

     c) CISR, il Comitato interministeriale per la sicurezza della Repubblica di cui all'articolo 5 della legge 3 agosto 2007, n. 124;

     d) amministrazioni CISR, la Presidenza del Consiglio dei ministri e i Ministeri di cui all'articolo 5 della legge 3 agosto 2007, n. 124;

     e) amministrazione dello Stato, le amministrazioni di cui all'articolo 8, comma 1, della legge 7 agosto 2015, n. 124;

     f) pregiudizio per la sicurezza nazionale, danno o pericolo di danno all'indipendenza, all'integrità o alla sicurezza della Repubblica e delle istituzioni democratiche poste dalla Costituzione a suo fondamento, ovvero agli interessi politici, militari, economici, scientifici e industriali dell'Italia, conseguente all'interruzione o alla compromissione di una funzione essenziale dello Stato o di un servizio essenziale di cui all'articolo 2;

     g) compromissione, la perdita di sicurezza o di efficacia dello svolgimento di una funzione essenziale dello Stato o di un servizio essenziale, connessa al malfunzionamento, all'interruzione, anche parziali, ovvero all'utilizzo improprio di reti, sistemi informativi e servizi informatici;

     h) incidente, ogni evento di natura accidentale o intenzionale che determina il malfunzionamento, l'interruzione, anche parziali, ovvero l'utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici;

     i) rete, sistema informativo:

     1) una rete di comunicazione elettronica ai sensi dell'articolo 1, comma 1, lettera dd), del decreto legislativo 1° agosto 2003, n. 259;

     2) qualsiasi dispositivo o gruppo di dispositivi interconnessi o collegati, uno o più dei quali eseguono, in base ad un programma, un trattamento automatico di dati digitali, ivi inclusi i sistemi di controllo industriale;

     3) i dati digitali conservati, trattati, estratti o trasmessi per mezzo di reti o dispositivi di cui ai numeri 1) e 2), per il loro funzionamento, uso, protezione e manutenzione, compresi i programmi di cui al numero 2);

     l) servizio informatico, un servizio consistente interamente o prevalentemente nel trattamento di informazioni, per mezzo della rete e dei sistemi informativi, ivi incluso quello di cloud computing di cui all'articolo 3, comma 1, lettera aa), del decreto legislativo 18 maggio 2018, n. 65;

     m) bene ICT (information and communication technology), un insieme di reti, sistemi informativi e servizi informatici, o parti di essi, di qualunque natura, considerato unitariamente ai fini dello svolgimento di funzioni essenziali dello Stato o per l'erogazione di servizi essenziali;

     n) architettura e componentistica, l'insieme delle architetture realizzate e dei componenti usati a livello di rete, dati e software, ivi inclusi la distribuzione su piattaforme di cloud computing, nonchè le procedure e i flussi informativi per l'accesso, acquisizione, trasmissione, conservazione, elaborazione e recupero dei dati necessari all'espletamento dei servizi informatici;

     o) DIS, il Dipartimento delle informazioni per la sicurezza della Presidenza del Consiglio dei ministri, di cui all'articolo 4 della legge 3 agosto 2007, n. 124;

     p) Agenzie, l'Agenzia informazioni e sicurezza esterna e l'Agenzia informazioni e sicurezza interna di cui agli articoli 6 e 7 della legge 3 agosto 2007, n. 124;

     q) organismi di informazione per la sicurezza, il DIS e le Agenzie;

     r) Tavolo interministeriale, il Tavolo interministeriale per l'attuazione del perimetro di sicurezza nazionale cibernetica;

     s) decreto legislativo NIS, il decreto legislativo 18 maggio 2018, n. 65;

     t) NSC, il Nucleo per la sicurezza cibernetica, organo di cui all'articolo 12, comma 6, del decreto legislativo NIS;

     u) codice dell'amministrazione digitale, il codice di cui al decreto legislativo 7 marzo 2005, n. 82;

     v) CISR tecnico, l'organismo tecnico di supporto al CISR, di cui all'articolo 4, comma 5, del regolamento adottato con decreto del Presidente del Consiglio dei ministri 3 aprile 2020, n. 2, che definisce l'ordinamento e l'organizzazione del DIS;

     z) analisi del rischio, un processo che consente di identificare i fattori di rischio di un incidente, valutandone la probabilità e l'impatto potenziale sulla continuità, sulla sicurezza o sulla efficacia della funzione essenziale o del servizio essenziale, e conseguentemente di trattare tale rischio individuando ed implementando idonee misure di sicurezza.

 

     Art. 2. Soggetti che esercitano funzioni essenziali e servizi essenziali

     1. Ai fini di quanto previsto dall'articolo 1, comma 2, lettera a), del decreto-legge:

     a) un soggetto esercita una funzione essenziale dello Stato, di seguito funzione essenziale, laddove l'ordinamento gli attribuisca compiti rivolti ad assicurare la continuità dell'azione di Governo e degli Organi costituzionali, la sicurezza interna ed esterna e la difesa dello Stato, le relazioni internazionali, la sicurezza e l'ordine pubblico, l'amministrazione della giustizia, la funzionalità dei sistemi economico e finanziario e dei trasporti;

     b) un soggetto, pubblico o privato, presta un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato, di seguito servizio essenziale, laddove ponga in essere: attività strumentali all'esercizio di funzioni essenziali dello Stato; attività necessarie per l'esercizio e il godimento dei diritti fondamentali; attività necessarie per la continuità degli approvvigionamenti e l'efficienza delle infrastrutture e della logistica; attività di ricerca e attività relative alle realtà produttive nel campo dell'alta tecnologia e in ogni altro settore, ove presentino rilievo economico e sociale, anche ai fini della garanzia dell'autonomia strategica nazionale, della competitività e dello sviluppo del sistema economico nazionale.

     2. Gli Organi costituzionali, ove intendano adottare, per le proprie reti e i propri sistemi informativi e servizi informatici, misure di sicurezza analoghe a quelle previste dal decreto-legge, possono concludere per tali finalità appositi accordi con il Presidente del Consiglio dei ministri.

 

     Art. 3. Settori di attività

     1. Ai fini dell'inclusione nel perimetro, sono oggetto di individuazione, in applicazione del criterio di gradualità di cui all'articolo 1, comma 2, del decreto-legge, in via prioritaria, fatta salva l'estensione ad altri settori in sede di aggiornamento, i soggetti operanti nel settore governativo, concernente, nell'ambito delle attività dell'amministrazione dello Stato, le attività delle amministrazioni CISR, nonchè gli ulteriori soggetti, pubblici o privati, operanti nei seguenti settori di attività, ove non ricompresi in quello governativo:

     a) interno;

     b) difesa;

     c) spazio e aerospazio;

     d) energia;

     e) telecomunicazioni;

     f) economia e finanza;

     g) trasporti;

     h) servizi digitali;

     i) tecnologie critiche, di cui all'articolo 4, paragrafo 1, lettera b), del Regolamento (UE) 2019/452 del Parlamento europeo e del Consiglio del 19 marzo 2019, con esclusione di quelle riferite ad altri settori di cui al presente articolo;

     l) enti previdenziali/lavoro.

     2. All'espletamento delle attività di cui agli articoli 4 e 5 provvedono, per il settore governativo, le amministrazioni CISR, ciascuna nell'ambito di rispettiva competenza, e, per i settori di cui al comma 1, lettere da a) a l), le seguenti amministrazioni:

     a) per il settore interno, il Ministero dell'interno, nell'ambito delle attribuzioni di cui all'articolo 14 del decreto legislativo 30 luglio 1999, n. 300;

     b) per il settore difesa, il Ministero della difesa;

     c) per il settore spazio e aerospazio, la Presidenza del Consiglio dei ministri, ai sensi della legge 11 gennaio 2018, n. 7;

     d) per il settore energia, il Ministero dello sviluppo economico;

     e) per il settore telecomunicazioni, il Ministero dello sviluppo economico;

     f) per il settore economia e finanza, il Ministero dell'economia e delle finanze;

     g) per il settore trasporti, il Ministero delle infrastrutture e dei trasporti;

     h) per il settore servizi digitali, il Ministero dello sviluppo economico, in raccordo con la struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione;

     i) per il settore tecnologie critiche, la struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione, in raccordo con il Ministero dello sviluppo economico e con il Ministero dell'università e della ricerca;

     l) per il settore enti previdenziali/lavoro, il Ministero del lavoro e delle politiche sociali.

 

Capo II

Modalità e criteri procedurali di individuazione di amministrazioni pubbliche, enti e operatori pubblici e privati, inclusi nel perimetro di Sicurezza nazionale cibernetica

 

     Art. 4. Modalità e criteri procedurali di individuazione dei soggetti inclusi nel perimetro

     1. Fermo restando quanto previsto per gli organismi di informazione per la sicurezza dall'articolo 1, comma 2, lettera a), del decreto-legge, ai fini dell'individuazione dei soggetti inclusi nel perimetro, le amministrazioni di cui all'articolo 3, comma 2, in relazione ai settori di attività di competenza di cui al medesimo articolo:

     a) identificano le funzioni essenziali e i servizi essenziali di diretta pertinenza ovvero esercitati o prestati da soggetti vigilati o da operatori anche privati, che dipendono da reti, sistemi informativi o servizi informatici, la cui interruzione o compromissione possa arrecare un pregiudizio per la sicurezza nazionale;

     b) valutano a tali fini, tenendo conto della rilevanza di ciascun criterio in relazione agli specifici settori di attività:

     1) quanto agli effetti di una interruzione della funzione essenziale o del servizio essenziale, la estensione territoriale della funzione essenziale o del servizio essenziale, il numero e la tipologia di utenti potenzialmente interessati, i livelli di servizio garantiti, ove previsti, le possibili ricadute economiche, ove applicabili, e ogni altro elemento rilevante;

     2) quanto agli effetti della compromissione dello svolgimento della funzione essenziale o del servizio essenziale, le conseguenze della perdita di disponibilità, integrità o riservatezza dei dati e delle informazioni trattati per il loro svolgimento, avuto riguardo alla tipologia ed alla quantità degli stessi, alla loro sensibilità ed allo scopo cui sono destinati;

     3) la possibile mitigazione, rispetto all'interruzione o alla compromissione dello svolgimento della funzione essenziale o del servizio essenziale, in relazione al tempo necessario per ripristinarne lo svolgimento in condizioni di sicurezza e alla possibilità che lo svolgimento della funzione essenziale o del servizio essenziale possano o meno essere assicurati, anche temporaneamente, con modalità prive di supporto informatizzato ovvero anche parzialmente da altri soggetti;

     c) individuano le funzioni essenziali e i servizi essenziali di cui alla lettera a) per i quali, sulla base dei criteri di cui alla lettera b), in caso di interruzione o compromissione, il pregiudizio per la sicurezza nazionale è ritenuto massimo e le possibilità di mitigazione minime, e li graduano in una scala crescente;

     d) individuano i soggetti che svolgono le funzioni essenziali o i servizi essenziali di cui alla lettera c). In fase di prima applicazione e fino all'aggiornamento del presente decreto, ai sensi dell'articolo 1, comma 5, del decreto-legge, sono individuati i soggetti titolari delle funzioni essenziali o dei servizi essenziali di cui alla lettera c), un'interruzione delle cui attività comporterebbe il mancato svolgimento della funzione o del servizio.

 

     Art. 5. Elencazione dei soggetti inclusi nel perimetro

     1. Le amministrazioni di cui all'articolo 3, comma 2, in relazione ai settori di attività di competenza, predispongono, per la sottoposizione al CISR ai fini della formulazione della proposta di cui al comma 2, una lista di soggetti individuabili ai sensi dell'articolo 4, e la trasmettono al CISR tecnico.

     2. L'elencazione dei soggetti è contenuta in un atto amministrativo, adottato e periodicamente aggiornato dal Presidente del Consiglio dei ministri, su proposta del CISR, ai sensi dell'articolo 1, comma 2-bis, del decreto-legge.

     3. La comunicazione di cui all'articolo 1, comma 2-bis, secondo periodo, del decreto-legge, è effettuata dal DIS entro trenta giorni dall'avvenuta iscrizione di ciascun destinatario nell'elenco di cui al comma 2. Nella comunicazione vengono indicati la funzione essenziale o il servizio essenziale in relazione al cui espletamento il soggetto è stato incluso nell'elenco, informandone le amministrazioni di cui all'articolo 3, comma 2. Dell'avvenuta iscrizione è data altresì comunicazione da parte del DIS alla struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione, per i soggetti pubblici e per quelli di cui all'articolo 29 del codice dell'amministrazione digitale, e al Ministero dello sviluppo economico, per quelli privati. L'elencazione dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica è altresì comunicata dal DIS all'organo del Ministero dell'interno per la sicurezza e la regolarità dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155.

 

     Art. 6. Tavolo interministeriale per l'attuazione del perimetro di sicurezza nazionale cibernetica - Tavolo interministeriale

     1. È istituito, a supporto del CISR tecnico, il Tavolo interministeriale per l'attuazione del perimetro di sicurezza nazionale cibernetica, di seguito: «Tavolo interministeriale».

     2. Il Tavolo interministeriale è presieduto da un vice direttore generale del DIS, ed è composto da due rappresentanti di ciascuna amministrazione CISR, da un rappresentante per ciascuna delle due Agenzie, nonchè da due rappresentanti degli altri Ministeri di volta in volta interessati, che sono chiamati a partecipare alle riunioni, anche su loro richiesta motivata, in relazione agli argomenti da trattare, di cui almeno uno in possesso di competenze tecnico-specialistiche nella materia della sicurezza cibernetica.

     3. Il CISR tecnico si avvale del Tavolo interministeriale:

     a) per l'esercizio delle funzioni istruttorie di cui all'articolo 5;

     b) ai fini del supporto per ogni altra attività attribuita dal decreto-legge al CISR o al CISR tecnico.

     4. Il Tavolo interministeriale si riunisce periodicamente, almeno una volta ogni 6 mesi, e può essere convocato d'iniziativa del presidente o su richiesta di almeno un componente designato, in relazione alla trattazione di specifici argomenti.

     5. Possono essere chiamati a partecipare alle riunioni rappresentanti di altre pubbliche amministrazioni, nonchè di enti e operatori pubblici e privati.

     6. La partecipazione alle riunioni del Tavolo interministeriale costituisce dovere d'ufficio e non sono, pertanto, dovuti gettoni di presenza, compensi, rimborsi spese o altri emolumenti comunque denominati.

 

Capo III

Criteri per la predisposizione e l'aggiornamento degli elenchi delle reti, dei sistemi informativi e dei servizi informatici

 

     Art. 7. Definizione dei criteri per la predisposizione e l'aggiornamento degli elenchi delle reti, dei sistemi informativi e dei servizi informatici

     1. Ai sensi dell'articolo 1, comma 2, del decreto-legge, i soggetti inclusi nel perimetro predispongono e aggiornano, con cadenza almeno annuale, l'elenco di beni ICT di rispettiva pertinenza, con l'indicazione delle reti, dei sistemi informativi e dei servizi informatici che li compongono, osservando i criteri individuati nel successivo comma.

     2. Ricevuta la comunicazione prevista dall'articolo 1, comma 2-bis), secondo periodo, del decreto-legge, i soggetti inclusi nel perimetro, in esito all'analisi del rischio, per ogni funzione essenziale o servizio essenziale di cui all'articolo 4, comma 1, lettera c), provvedono:

     a) ad individuare i beni ICT necessari a svolgere la funzione essenziale o il servizio essenziale. A tale fine sono valutati:

     1) l'impatto di un incidente sul bene ICT, in termini sia di limitazione della operatività del bene stesso, sia di compromissione della disponibilità, integrità, o riservatezza dei dati e delle informazioni da esso trattati, ai fini dello svolgimento della funzione o del servizio essenziali;

     2) le dipendenze con altre reti, sistemi informativi, servizi informatici o infrastrutture fisiche di pertinenza di altri soggetti, ivi compresi quelli utilizzati per fini di manutenzione e gestione;

     b) a predisporre l'elenco dei beni ICT di cui all'articolo 1, comma 2, lettera b), del decreto-legge. In fase di prima applicazione e fino all'aggiornamento del presente decreto, ai sensi dell'articolo 1, comma 5, del decreto-legge, sono individuati, all'esito dell'analisi del rischio, in ossequio al principio di gradualità, i beni ICT che, in caso di incidente, causerebbero l'interruzione totale dello svolgimento della funzione essenziale o del servizio essenziale o una compromissione degli stessi con effetti irreversibili sotto il profilo della integrità o della riservatezza dei dati e delle informazioni.

     3. Per le reti, i sistemi informativi e i servizi informatici attinenti alla gestione delle informazioni classificate si applica quanto previsto dall'articolo 1, comma 2, lettera b), del decreto-legge.

 

     Art. 8. Descrizione dell'architettura e della componentistica

     1. L'architettura e la componentistica relative ai beni ICT individuati negli elenchi di cui all'articolo 7, sono descritte conformemente al modello predisposto, sentito il CISR tecnico, dal DIS, che ne cura la comunicazione ai soggetti interessati unitamente alla comunicazione di cui all'articolo 5, comma 3. Il modello contiene l'indicazione degli elementi utili alla descrizione dei beni ICT e delle relative dipendenze ed è periodicamente aggiornato con le medesime modalità di cui al presente comma.

     2. Il modello di cui al comma 1 individua altresì le informazioni necessarie ai fini della trasmissione prevista dall'articolo 9.

 

     Art. 9. Modalità di trasmissione degli elenchi delle reti, dei sistemi informativi e dei servizi informatici

     1. Entro sei mesi dal ricevimento della comunicazione di avvenuta iscrizione nell'elenco di cui all'articolo 1, comma 2-bis), del decreto-legge, i soggetti pubblici e quelli di cui all'articolo 29 del codice dell'amministrazione digitale, nonchè quelli privati ivi inclusi, trasmettono, rispettivamente, alla struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione e al Ministero dello sviluppo economico, gli elenchi di beni ICT di cui all'articolo 1, comma 2, lettera b), del decreto-legge, comprensivi della descrizione dell'architettura e della componentistica predisposta secondo il modello di cui all'articolo 8, nonchè dell'analisi del rischio. La trasmissione degli elenchi di beni ICT avviene per il tramite di una piattaforma digitale costituita presso il DIS anche per le attività di prevenzione, preparazione e gestione delle crisi cibernetiche affidate al NSC, nell'ambito delle risorse finanziarie, umane e strumentali previste a legislazione vigente. Le disposizioni di cui al presente comma si applicano anche per l'aggiornamento degli elenchi di beni ICT e del modello di cui all'articolo 8, comma 1.

     2. La struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione e il Ministero dello sviluppo economico, per i profili di rispettiva competenza, accedono alla piattaforma di cui al comma 1 ai fini dello svolgimento delle attività di ispezione e verifica previste dall'articolo 1, comma 6, lettera c), del decreto-legge, nonchè dei compiti di cui all'articolo 1, comma 12, del decreto-legge.

     3. In relazione alle reti, ai sistemi informativi e ai servizi informatici connessi alla funzione di prevenzione e repressione dei reati, alla tutela dell'ordine e della sicurezza pubblica, alla difesa civile e alla difesa e sicurezza militare dello Stato di cui all'articolo 1, comma 6, lettera c), del decreto-legge, la struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione accede alla piattaforma di cui al comma 1 limitatamente alle informazioni necessarie, individuate ai sensi dell'articolo 8, comma 2, per lo svolgimento dei compiti previsti dall'articolo 1, comma 12, del decreto-legge.

     4. L'organo del Ministero dell'interno per la sicurezza e la regolarità dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, accede per il tramite della piattaforma digitale di cui al comma 1 agli elenchi di cui all'articolo 1, comma 2, lettera b), del decreto-legge, e fornisce alla stessa piattaforma gli elenchi di pertinenza del Ministero.

 

Capo IV

Disposizioni sulla tutela delle informazioni, transitorie e finali

 

     Art. 10. Tutela delle informazioni

     1. Nelle more dell'adozione del decreto del Presidente del Consiglio dei ministri di cui dell'articolo 1, comma 3, del decreto-legge, e fatta salva l'eventuale attribuzione di classifiche di segretezza ai sensi dell'articolo 42 della legge 3 agosto 2007, n. 124, l'elencazione dei soggetti di cui all'articolo 1, comma 2-bis, del decreto-legge, e gli elenchi di cui all'articolo 1, comma 2, lettera b), del decreto-legge, comprensivi della descrizione dell'architettura e della componentistica, nonchè dell'analisi del rischio, sono trattati, conservati e trasmessi con modalità idonee a garantirne la sicurezza, mediante misure tecniche e organizzative adeguate.

 

     Art. 11. Disposizioni transitorie

     1. I soggetti inclusi nel perimetro osservano, in relazione alle reti, ai sistemi informativi e ai servizi informatici di cui all'articolo 1, comma 2, lettera b), del decreto-legge, gli obblighi, in materia di notifica degli incidenti, di misure di sicurezza, nonchè di affidamento delle forniture di cui all'articolo 1, commi 3 e 6, del decreto-legge, a decorrere dalle date indicate, rispettivamente, dal decreto di cui all'articolo 1, comma 3, del decreto-legge, e dal regolamento di cui all'articolo 1, comma 6, del decreto-legge.

 

     Art. 12. Clausola di invarianza finanziaria

     1. All'attuazione delle disposizioni di cui al presente decreto si provvede nei limiti delle risorse finanziarie, umane e strumentali disponibili a legislazione vigente e comunque senza nuovi o maggiori oneri a carico della finanza pubblica.

 

Registrato alla Corte dei conti il 15 ottobre 2020  Ufficio controllo atti P.C.M. Ministeri della giustizia e degli affari esteri e della cooperazione internazionale, reg.ne succ. n. 2275