| Settore: | Normativa nazionale |
| Materia: | 81. Pubblica sicurezza |
| Capitolo: | 81.1 disciplina generale |
| Data: | 30/07/2020 |
| Numero: | 131 |
| Sommario |
| Art. 1. Definizioni |
| Art. 2. Soggetti che esercitano funzioni essenziali e servizi essenziali |
| Art. 3. Settori di attività |
| Art. 4. Modalità e criteri procedurali di individuazione dei soggetti inclusi nel perimetro |
| Art. 5. Elencazione dei soggetti inclusi nel perimetro |
| Art. 6. Tavolo interministeriale per l'attuazione del perimetro di sicurezza nazionale cibernetica - Tavolo interministeriale |
| Art. 7. Definizione dei criteri per la predisposizione e l'aggiornamento degli elenchi delle reti, dei sistemi informativi e dei servizi informatici |
| Art. 8. Descrizione dell'architettura e della componentistica |
| Art. 9. Modalità di trasmissione degli elenchi delle reti, dei sistemi informativi e dei servizi informatici |
| Art. 10. Tutela delle informazioni |
| Art. 11. Disposizioni transitorie |
| Art. 12. Clausola di invarianza finanziaria |
§ 81.1.81 - D.P.C.M. 30 luglio 2020, n. 131.
Regolamento in materia di perimetro di sicurezza nazionale cibernetica, ai sensi dell'articolo 1, comma 2, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133.
(G.U. 21 ottobre 2020, n. 261)
IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI
Vista la
Visto il
Visto il
Visto il decreto legislativo 1° agosto 2003, n. 259, recante codice delle comunicazioni elettroniche;
Visto il
Visto il
Vista la
Visto il
Visto il
Visto il
Visto il decreto del Presidente del Consiglio dei ministri 17 febbraio 2017, recante direttiva concernente indirizzi per la protezione cibernetica e la sicurezza informatica nazionali, pubblicato nella Gazzetta Ufficiale della Repubblica italiana n. 87 del 13 aprile 2017;
Ritenuto di dover definire modalità e criteri procedurali di individuazione dei soggetti pubblici e privati inclusi nel perimetro di sicurezza nazionale cibernetica, nonchè i criteri con i quali i soggetti inclusi nel perimetro predispongono e aggiornano un elenco delle reti, dei sistemi informativi e dei servizi informatici di rispettiva pertinenza;
Udito il parere del Consiglio di Stato espresso dalla sezione consultiva per gli atti normativi nell'adunanza del 21 maggio 2020;
Acquisiti i pareri della 1ª Commissione del Senato della Repubblica del 7 luglio 2020, delle Commissioni riunite I e IX della Camera dei deputati dell'8 luglio 2020 e della V Commissione della Camera dei deputati del 15 luglio 2020;
Sulla proposta del Comitato interministeriale per la sicurezza della Repubblica;
Adotta
il presente regolamento:
Capo I
Definizioni e criteri generali
Art. 1. Definizioni
1. Ai fini del presente decreto si intende per:
a) decreto-legge, il
b) perimetro, il perimetro di sicurezza nazionale cibernetica istituito ai sensi dell'articolo 1, comma 1, del decreto-legge;
c) CISR, il Comitato interministeriale per la sicurezza della Repubblica di cui all'articolo 5 della
d) amministrazioni CISR, la Presidenza del Consiglio dei ministri e i Ministeri di cui all'articolo 5 della
e) amministrazione dello Stato, le amministrazioni di cui all'articolo 8, comma 1, della
f) pregiudizio per la sicurezza nazionale, danno o pericolo di danno all'indipendenza, all'integrità o alla sicurezza della Repubblica e delle istituzioni democratiche poste dalla Costituzione a suo fondamento, ovvero agli interessi politici, militari, economici, scientifici e industriali dell'Italia, conseguente all'interruzione o alla compromissione di una funzione essenziale dello Stato o di un servizio essenziale di cui all'articolo 2;
g) compromissione, la perdita di sicurezza o di efficacia dello svolgimento di una funzione essenziale dello Stato o di un servizio essenziale, connessa al malfunzionamento, all'interruzione, anche parziali, ovvero all'utilizzo improprio di reti, sistemi informativi e servizi informatici;
h) incidente, ogni evento di natura accidentale o intenzionale che determina il malfunzionamento, l'interruzione, anche parziali, ovvero l'utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici;
i) rete, sistema informativo:
1) una rete di comunicazione elettronica ai sensi dell'articolo 1, comma 1, lettera dd), del decreto legislativo 1° agosto 2003, n. 259;
2) qualsiasi dispositivo o gruppo di dispositivi interconnessi o collegati, uno o più dei quali eseguono, in base ad un programma, un trattamento automatico di dati digitali, ivi inclusi i sistemi di controllo industriale;
3) i dati digitali conservati, trattati, estratti o trasmessi per mezzo di reti o dispositivi di cui ai numeri 1) e 2), per il loro funzionamento, uso, protezione e manutenzione, compresi i programmi di cui al numero 2);
l) servizio informatico, un servizio consistente interamente o prevalentemente nel trattamento di informazioni, per mezzo della rete e dei sistemi informativi, ivi incluso quello di cloud computing di cui all'articolo 3, comma 1, lettera aa), del
m) bene ICT (information and communication technology), un insieme di reti, sistemi informativi e servizi informatici, o parti di essi, di qualunque natura, considerato unitariamente ai fini dello svolgimento di funzioni essenziali dello Stato o per l'erogazione di servizi essenziali;
n) architettura e componentistica, l'insieme delle architetture realizzate e dei componenti usati a livello di rete, dati e software, ivi inclusi la distribuzione su piattaforme di cloud computing, nonchè le procedure e i flussi informativi per l'accesso, acquisizione, trasmissione, conservazione, elaborazione e recupero dei dati necessari all'espletamento dei servizi informatici;
o) DIS, il Dipartimento delle informazioni per la sicurezza della Presidenza del Consiglio dei ministri, di cui all'articolo 4 della
p) Agenzie, l'Agenzia informazioni e sicurezza esterna e l'Agenzia informazioni e sicurezza interna di cui agli articoli 6 e 7 della
q) organismi di informazione per la sicurezza, il DIS e le Agenzie;
r) Tavolo interministeriale, il Tavolo interministeriale per l'attuazione del perimetro di sicurezza nazionale cibernetica;
s) decreto legislativo NIS, il
t) NSC, il Nucleo per la sicurezza cibernetica, organo di cui all'articolo 12, comma 6, del decreto legislativo NIS;
u) codice dell'amministrazione digitale, il codice di cui al
v) CISR tecnico, l'organismo tecnico di supporto al CISR, di cui all'articolo 4, comma 5, del regolamento adottato con
z) analisi del rischio, un processo che consente di identificare i fattori di rischio di un incidente, valutandone la probabilità e l'impatto potenziale sulla continuità, sulla sicurezza o sulla efficacia della funzione essenziale o del servizio essenziale, e conseguentemente di trattare tale rischio individuando ed implementando idonee misure di sicurezza.
Art. 2. Soggetti che esercitano funzioni essenziali e servizi essenziali
1. Ai fini di quanto previsto dall'articolo 1, comma 2, lettera a), del decreto-legge:
a) un soggetto esercita una funzione essenziale dello Stato, di seguito funzione essenziale, laddove l'ordinamento gli attribuisca compiti rivolti ad assicurare la continuità dell'azione di Governo e degli Organi costituzionali, la sicurezza interna ed esterna e la difesa dello Stato, le relazioni internazionali, la sicurezza e l'ordine pubblico, l'amministrazione della giustizia, la funzionalità dei sistemi economico e finanziario e dei trasporti;
b) un soggetto, pubblico o privato, presta un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato, di seguito servizio essenziale, laddove ponga in essere: attività strumentali all'esercizio di funzioni essenziali dello Stato; attività necessarie per l'esercizio e il godimento dei diritti fondamentali; attività necessarie per la continuità degli approvvigionamenti e l'efficienza delle infrastrutture e della logistica; attività di ricerca e attività relative alle realtà produttive nel campo dell'alta tecnologia e in ogni altro settore, ove presentino rilievo economico e sociale, anche ai fini della garanzia dell'autonomia strategica nazionale, della competitività e dello sviluppo del sistema economico nazionale.
2. Gli Organi costituzionali, ove intendano adottare, per le proprie reti e i propri sistemi informativi e servizi informatici, misure di sicurezza analoghe a quelle previste dal decreto-legge, possono concludere per tali finalità appositi accordi con il Presidente del Consiglio dei ministri.
Art. 3. Settori di attività
1. Ai fini dell'inclusione nel perimetro, sono oggetto di individuazione, in applicazione del criterio di gradualità di cui all'articolo 1, comma 2, del decreto-legge, in via prioritaria, fatta salva l'estensione ad altri settori in sede di aggiornamento, i soggetti operanti nel settore governativo, concernente, nell'ambito delle attività dell'amministrazione dello Stato, le attività delle amministrazioni CISR, nonchè gli ulteriori soggetti, pubblici o privati, operanti nei seguenti settori di attività, ove non ricompresi in quello governativo:
a) interno;
b) difesa;
c) spazio e aerospazio;
d) energia;
e) telecomunicazioni;
f) economia e finanza;
g) trasporti;
h) servizi digitali;
i) tecnologie critiche, di cui all'articolo 4, paragrafo 1, lettera b), del
l) enti previdenziali/lavoro.
2. All'espletamento delle attività di cui agli articoli 4 e 5 provvedono, per il settore governativo, le amministrazioni CISR, ciascuna nell'ambito di rispettiva competenza, e, per i settori di cui al comma 1, lettere da a) a l), le seguenti amministrazioni:
a) per il settore interno, il Ministero dell'interno, nell'ambito delle attribuzioni di cui all'articolo 14 del
b) per il settore difesa, il Ministero della difesa;
c) per il settore spazio e aerospazio, la Presidenza del Consiglio dei ministri, ai sensi della
d) per il settore energia, il Ministero dello sviluppo economico;
e) per il settore telecomunicazioni, il Ministero dello sviluppo economico;
f) per il settore economia e finanza, il Ministero dell'economia e delle finanze;
g) per il settore trasporti, il Ministero delle infrastrutture e dei trasporti;
h) per il settore servizi digitali, il Ministero dello sviluppo economico, in raccordo con la struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione;
i) per il settore tecnologie critiche, la struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione, in raccordo con il Ministero dello sviluppo economico e con il Ministero dell'università e della ricerca;
l) per il settore enti previdenziali/lavoro, il Ministero del lavoro e delle politiche sociali.
Capo II
Modalità e criteri procedurali di individuazione di amministrazioni pubbliche, enti e operatori pubblici e privati, inclusi nel perimetro di Sicurezza nazionale cibernetica
Art. 4. Modalità e criteri procedurali di individuazione dei soggetti inclusi nel perimetro
1. Fermo restando quanto previsto per gli organismi di informazione per la sicurezza dall'articolo 1, comma 2, lettera a), del decreto-legge, ai fini dell'individuazione dei soggetti inclusi nel perimetro, le amministrazioni di cui all'articolo 3, comma 2, in relazione ai settori di attività di competenza di cui al medesimo articolo:
a) identificano le funzioni essenziali e i servizi essenziali di diretta pertinenza ovvero esercitati o prestati da soggetti vigilati o da operatori anche privati, che dipendono da reti, sistemi informativi o servizi informatici, la cui interruzione o compromissione possa arrecare un pregiudizio per la sicurezza nazionale;
b) valutano a tali fini, tenendo conto della rilevanza di ciascun criterio in relazione agli specifici settori di attività:
1) quanto agli effetti di una interruzione della funzione essenziale o del servizio essenziale, la estensione territoriale della funzione essenziale o del servizio essenziale, il numero e la tipologia di utenti potenzialmente interessati, i livelli di servizio garantiti, ove previsti, le possibili ricadute economiche, ove applicabili, e ogni altro elemento rilevante;
2) quanto agli effetti della compromissione dello svolgimento della funzione essenziale o del servizio essenziale, le conseguenze della perdita di disponibilità, integrità o riservatezza dei dati e delle informazioni trattati per il loro svolgimento, avuto riguardo alla tipologia ed alla quantità degli stessi, alla loro sensibilità ed allo scopo cui sono destinati;
3) la possibile mitigazione, rispetto all'interruzione o alla compromissione dello svolgimento della funzione essenziale o del servizio essenziale, in relazione al tempo necessario per ripristinarne lo svolgimento in condizioni di sicurezza e alla possibilità che lo svolgimento della funzione essenziale o del servizio essenziale possano o meno essere assicurati, anche temporaneamente, con modalità prive di supporto informatizzato ovvero anche parzialmente da altri soggetti;
c) individuano le funzioni essenziali e i servizi essenziali di cui alla lettera a) per i quali, sulla base dei criteri di cui alla lettera b), in caso di interruzione o compromissione, il pregiudizio per la sicurezza nazionale è ritenuto massimo e le possibilità di mitigazione minime, e li graduano in una scala crescente;
d) individuano i soggetti che svolgono le funzioni essenziali o i servizi essenziali di cui alla lettera c). In fase di prima applicazione e fino all'aggiornamento del presente decreto, ai sensi dell'articolo 1, comma 5, del decreto-legge, sono individuati i soggetti titolari delle funzioni essenziali o dei servizi essenziali di cui alla lettera c), un'interruzione delle cui attività comporterebbe il mancato svolgimento della funzione o del servizio.
Art. 5. Elencazione dei soggetti inclusi nel perimetro
1. Le amministrazioni di cui all'articolo 3, comma 2, in relazione ai settori di attività di competenza, predispongono, per la sottoposizione al CISR ai fini della formulazione della proposta di cui al comma 2, una lista di soggetti individuabili ai sensi dell'articolo 4, e la trasmettono al CISR tecnico.
2. L'elencazione dei soggetti è contenuta in un atto amministrativo, adottato e periodicamente aggiornato dal Presidente del Consiglio dei ministri, su proposta del CISR, ai sensi dell'articolo 1, comma 2-bis, del decreto-legge.
3. La comunicazione di cui all'articolo 1, comma 2-bis, secondo periodo, del decreto-legge, è effettuata dal DIS entro trenta giorni dall'avvenuta iscrizione di ciascun destinatario nell'elenco di cui al comma 2. Nella comunicazione vengono indicati la funzione essenziale o il servizio essenziale in relazione al cui espletamento il soggetto è stato incluso nell'elenco, informandone le amministrazioni di cui all'articolo 3, comma 2. Dell'avvenuta iscrizione è data altresì comunicazione da parte del DIS alla struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione, per i soggetti pubblici e per quelli di cui all'articolo 29 del codice dell'amministrazione digitale, e al Ministero dello sviluppo economico, per quelli privati. L'elencazione dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica è altresì comunicata dal DIS all'organo del Ministero dell'interno per la sicurezza e la regolarità dei servizi di telecomunicazione di cui all'articolo 7-bis del
Art. 6. Tavolo interministeriale per l'attuazione del perimetro di sicurezza nazionale cibernetica - Tavolo interministeriale
1. È istituito, a supporto del CISR tecnico, il Tavolo interministeriale per l'attuazione del perimetro di sicurezza nazionale cibernetica, di seguito: «Tavolo interministeriale».
2. Il Tavolo interministeriale è presieduto da un vice direttore generale del DIS, ed è composto da due rappresentanti di ciascuna amministrazione CISR, da un rappresentante per ciascuna delle due Agenzie, nonchè da due rappresentanti degli altri Ministeri di volta in volta interessati, che sono chiamati a partecipare alle riunioni, anche su loro richiesta motivata, in relazione agli argomenti da trattare, di cui almeno uno in possesso di competenze tecnico-specialistiche nella materia della sicurezza cibernetica.
3. Il CISR tecnico si avvale del Tavolo interministeriale:
a) per l'esercizio delle funzioni istruttorie di cui all'articolo 5;
b) ai fini del supporto per ogni altra attività attribuita dal decreto-legge al CISR o al CISR tecnico.
4. Il Tavolo interministeriale si riunisce periodicamente, almeno una volta ogni 6 mesi, e può essere convocato d'iniziativa del presidente o su richiesta di almeno un componente designato, in relazione alla trattazione di specifici argomenti.
5. Possono essere chiamati a partecipare alle riunioni rappresentanti di altre pubbliche amministrazioni, nonchè di enti e operatori pubblici e privati.
6. La partecipazione alle riunioni del Tavolo interministeriale costituisce dovere d'ufficio e non sono, pertanto, dovuti gettoni di presenza, compensi, rimborsi spese o altri emolumenti comunque denominati.
Capo III
Criteri per la predisposizione e l'aggiornamento degli elenchi delle reti, dei sistemi informativi e dei servizi informatici
Art. 7. Definizione dei criteri per la predisposizione e l'aggiornamento degli elenchi delle reti, dei sistemi informativi e dei servizi informatici
1. Ai sensi dell'articolo 1, comma 2, del decreto-legge, i soggetti inclusi nel perimetro predispongono e aggiornano, con cadenza almeno annuale, l'elenco di beni ICT di rispettiva pertinenza, con l'indicazione delle reti, dei sistemi informativi e dei servizi informatici che li compongono, osservando i criteri individuati nel successivo comma.
2. Ricevuta la comunicazione prevista dall'articolo 1, comma 2-bis), secondo periodo, del decreto-legge, i soggetti inclusi nel perimetro, in esito all'analisi del rischio, per ogni funzione essenziale o servizio essenziale di cui all'articolo 4, comma 1, lettera c), provvedono:
a) ad individuare i beni ICT necessari a svolgere la funzione essenziale o il servizio essenziale. A tale fine sono valutati:
1) l'impatto di un incidente sul bene ICT, in termini sia di limitazione della operatività del bene stesso, sia di compromissione della disponibilità, integrità, o riservatezza dei dati e delle informazioni da esso trattati, ai fini dello svolgimento della funzione o del servizio essenziali;
2) le dipendenze con altre reti, sistemi informativi, servizi informatici o infrastrutture fisiche di pertinenza di altri soggetti, ivi compresi quelli utilizzati per fini di manutenzione e gestione;
b) a predisporre l'elenco dei beni ICT di cui all'articolo 1, comma 2, lettera b), del decreto-legge. In fase di prima applicazione e fino all'aggiornamento del presente decreto, ai sensi dell'articolo 1, comma 5, del decreto-legge, sono individuati, all'esito dell'analisi del rischio, in ossequio al principio di gradualità, i beni ICT che, in caso di incidente, causerebbero l'interruzione totale dello svolgimento della funzione essenziale o del servizio essenziale o una compromissione degli stessi con effetti irreversibili sotto il profilo della integrità o della riservatezza dei dati e delle informazioni.
3. Per le reti, i sistemi informativi e i servizi informatici attinenti alla gestione delle informazioni classificate si applica quanto previsto dall'articolo 1, comma 2, lettera b), del decreto-legge.
Art. 8. Descrizione dell'architettura e della componentistica
1. L'architettura e la componentistica relative ai beni ICT individuati negli elenchi di cui all'articolo 7, sono descritte conformemente al modello predisposto, sentito il CISR tecnico, dal DIS, che ne cura la comunicazione ai soggetti interessati unitamente alla comunicazione di cui all'articolo 5, comma 3. Il modello contiene l'indicazione degli elementi utili alla descrizione dei beni ICT e delle relative dipendenze ed è periodicamente aggiornato con le medesime modalità di cui al presente comma.
2. Il modello di cui al comma 1 individua altresì le informazioni necessarie ai fini della trasmissione prevista dall'articolo 9.
Art. 9. Modalità di trasmissione degli elenchi delle reti, dei sistemi informativi e dei servizi informatici
1. Entro sei mesi dal ricevimento della comunicazione di avvenuta iscrizione nell'elenco di cui all'articolo 1, comma 2-bis), del decreto-legge, i soggetti pubblici e quelli di cui all'articolo 29 del codice dell'amministrazione digitale, nonchè quelli privati ivi inclusi, trasmettono, rispettivamente, alla struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione e al Ministero dello sviluppo economico, gli elenchi di beni ICT di cui all'articolo 1, comma 2, lettera b), del decreto-legge, comprensivi della descrizione dell'architettura e della componentistica predisposta secondo il modello di cui all'articolo 8, nonchè dell'analisi del rischio. La trasmissione degli elenchi di beni ICT avviene per il tramite di una piattaforma digitale costituita presso il DIS anche per le attività di prevenzione, preparazione e gestione delle crisi cibernetiche affidate al NSC, nell'ambito delle risorse finanziarie, umane e strumentali previste a legislazione vigente. Le disposizioni di cui al presente comma si applicano anche per l'aggiornamento degli elenchi di beni ICT e del modello di cui all'articolo 8, comma 1.
2. La struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione e il Ministero dello sviluppo economico, per i profili di rispettiva competenza, accedono alla piattaforma di cui al comma 1 ai fini dello svolgimento delle attività di ispezione e verifica previste dall'articolo 1, comma 6, lettera c), del decreto-legge, nonchè dei compiti di cui all'articolo 1, comma 12, del decreto-legge.
3. In relazione alle reti, ai sistemi informativi e ai servizi informatici connessi alla funzione di prevenzione e repressione dei reati, alla tutela dell'ordine e della sicurezza pubblica, alla difesa civile e alla difesa e sicurezza militare dello Stato di cui all'articolo 1, comma 6, lettera c), del decreto-legge, la struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione accede alla piattaforma di cui al comma 1 limitatamente alle informazioni necessarie, individuate ai sensi dell'articolo 8, comma 2, per lo svolgimento dei compiti previsti dall'articolo 1, comma 12, del decreto-legge.
4. L'organo del Ministero dell'interno per la sicurezza e la regolarità dei servizi di telecomunicazione di cui all'articolo 7-bis del
Capo IV
Disposizioni sulla tutela delle informazioni, transitorie e finali
Art. 10. Tutela delle informazioni
1. Nelle more dell'adozione del decreto del Presidente del Consiglio dei ministri di cui dell'articolo 1, comma 3, del decreto-legge, e fatta salva l'eventuale attribuzione di classifiche di segretezza ai sensi dell'articolo 42 della
Art. 11. Disposizioni transitorie
1. I soggetti inclusi nel perimetro osservano, in relazione alle reti, ai sistemi informativi e ai servizi informatici di cui all'articolo 1, comma 2, lettera b), del decreto-legge, gli obblighi, in materia di notifica degli incidenti, di misure di sicurezza, nonchè di affidamento delle forniture di cui all'articolo 1, commi 3 e 6, del decreto-legge, a decorrere dalle date indicate, rispettivamente, dal decreto di cui all'articolo 1, comma 3, del decreto-legge, e dal regolamento di cui all'articolo 1, comma 6, del decreto-legge.
Art. 12. Clausola di invarianza finanziaria
1. All'attuazione delle disposizioni di cui al presente decreto si provvede nei limiti delle risorse finanziarie, umane e strumentali disponibili a legislazione vigente e comunque senza nuovi o maggiori oneri a carico della finanza pubblica.
Registrato alla Corte dei conti il 15 ottobre 2020 Ufficio controllo atti P.C.M. Ministeri della giustizia e degli affari esteri e della cooperazione internazionale, reg.ne succ. n. 2275