Regolamento in materia di perimetro di sicurezza nazionale cibernetica, ai sensi dell'articolo 1, comma 2, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133. (20G00150)

Gli Organi costituzionali, ove intendano adottare, per le proprie reti e i propri sistemi informativi e servizi informatici, misure di sicurezza analoghe a quelle previste dal decreto-legge, possono concludere per tali finalita' appositi accordi con il Presidente del Consiglio dei ministri.

Settori di attivita'

Modalita' e criteri procedurali di individuazione
dei soggetti inclusi nel perimetro

Le amministrazioni di cui all'articolo 3, comma 2, in relazione ai settori di attivita' di competenza, predispongono, per la sottoposizione al CISR ai fini della formulazione della proposta di cui al comma 2, una lista di soggetti individuabili ai sensi dell'articolo 4, e la trasmettono al CISR tecnico.

L'elencazione dei soggetti e' contenuta in un atto amministrativo, adottato e periodicamente aggiornato dal Presidente del Consiglio dei ministri, su proposta del CISR, ai sensi dell'articolo 1, comma 2-bis, del decreto-legge.

La comunicazione di cui all'articolo 1, comma 2-bis, secondo periodo, del decreto-legge, e' effettuata dal DIS entro trenta giorni dall'avvenuta iscrizione di ciascun destinatario nell'elenco di cui al comma 2. Nella comunicazione vengono indicati la funzione essenziale o il servizio essenziale in relazione al cui espletamento il soggetto e' stato incluso nell'elenco, informandone le amministrazioni di cui all'articolo 3, comma 2. Dell'avvenuta iscrizione e' data altresi' comunicazione da parte del DIS alla struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione, per i soggetti pubblici e per quelli di cui all'articolo 29 del codice dell'amministrazione digitale, e al Ministero dello sviluppo economico, per quelli privati. L'elencazione dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica e' altresi' comunicata dal DIS all'organo del Ministero dell'interno per la sicurezza e la regolarita' dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155.

E' istituito, a supporto del CISR tecnico, il Tavolo interministeriale per l'attuazione del perimetro di sicurezza nazionale cibernetica, di seguito: «Tavolo interministeriale».

Il Tavolo interministeriale e' presieduto da un vice direttore generale del DIS, ed e' composto da due rappresentanti di ciascuna amministrazione CISR, da un rappresentante per ciascuna delle due Agenzie, nonche' da due rappresentanti degli altri Ministeri di volta in volta interessati, che sono chiamati a partecipare alle riunioni, anche su loro richiesta motivata, in relazione agli argomenti da trattare, di cui almeno uno in possesso di competenze tecnico-specialistiche nella materia della sicurezza cibernetica.

Il Tavolo interministeriale si riunisce periodicamente, almeno una volta ogni 6 mesi, e puo' essere convocato d'iniziativa del presidente o su richiesta di almeno un componente designato, in relazione alla trattazione di specifici argomenti.

Possono essere chiamati a partecipare alle riunioni rappresentanti di altre pubbliche amministrazioni, nonche' di enti e operatori pubblici e privati.

La partecipazione alle riunioni del Tavolo interministeriale costituisce dovere d'ufficio e non sono, pertanto, dovuti gettoni di presenza, compensi, rimborsi spese o altri emolumenti comunque denominati.

Ai sensi dell'articolo 1, comma 2, del decreto-legge, i soggetti inclusi nel perimetro predispongono e aggiornano, con cadenza almeno annuale, l'elenco di beni ICT di rispettiva pertinenza, con l'indicazione delle reti, dei sistemi informativi e dei servizi informatici che li compongono, osservando i criteri individuati nel successivo comma.

Per le reti, i sistemi informativi e i servizi informatici attinenti alla gestione delle informazioni classificate si applica quanto previsto dall'articolo 1, comma 2, lettera b), del decreto-legge.

L'architettura e la componentistica relative ai beni ICT individuati negli elenchi di cui all'articolo 7, sono descritte conformemente al modello predisposto, sentito il CISR tecnico, dal DIS, che ne cura la comunicazione ai soggetti interessati unitamente alla comunicazione di cui all'articolo 5, comma 3. Il modello contiene l'indicazione degli elementi utili alla descrizione dei beni ICT e delle relative dipendenze ed e' periodicamente aggiornato con le medesime modalita' di cui al presente comma.

Il modello di cui al comma 1 individua altresi' le informazioni necessarie ai fini della trasmissione prevista dall'articolo 9.

Modalita' di trasmissione degli elenchi delle reti,
dei sistemi informativi e dei servizi informatici

Entro sei mesi dal ricevimento della comunicazione di avvenuta iscrizione nell'elenco di cui all'articolo 1, comma 2-bis), del decreto-legge, i soggetti pubblici e quelli di cui all'articolo 29 del codice dell'amministrazione digitale, nonche' quelli privati ivi inclusi, trasmettono, rispettivamente, alla struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione e al Ministero dello sviluppo economico, gli elenchi di beni ICT di cui all'articolo 1, comma 2, lettera b), del decreto-legge, comprensivi della descrizione dell'architettura e della componentistica predisposta secondo il modello di cui all'articolo 8, nonche' dell'analisi del rischio. La trasmissione degli elenchi di beni ICT avviene per il tramite di una piattaforma digitale costituita presso il DIS anche per le attivita' di prevenzione, preparazione e gestione delle crisi cibernetiche affidate al NSC, nell'ambito delle risorse finanziarie, umane e strumentali previste a legislazione vigente. Le disposizioni di cui al presente comma si applicano anche per l'aggiornamento degli elenchi di beni ICT e del modello di cui all'articolo 8, comma 1.

La struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione e il Ministero dello sviluppo economico, per i profili di rispettiva competenza, accedono alla piattaforma di cui al comma 1 ai fini dello svolgimento delle attivita' di ispezione e verifica previste dall'articolo 1, comma 6, lettera c), del decreto-legge, nonche' dei compiti di cui all'articolo 1, comma 12, del decreto-legge.

In relazione alle reti, ai sistemi informativi e ai servizi informatici connessi alla funzione di prevenzione e repressione dei reati, alla tutela dell'ordine e della sicurezza pubblica, alla difesa civile e alla difesa e sicurezza militare dello Stato di cui all'articolo 1, comma 6, lettera c), del decreto-legge, la struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione accede alla piattaforma di cui al comma 1 limitatamente alle informazioni necessarie, individuate ai sensi dell'articolo 8, comma 2, per lo svolgimento dei compiti previsti dall'articolo 1, comma 12, del decreto-legge.

L'organo del Ministero dell'interno per la sicurezza e la regolarita' dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, accede per il tramite della piattaforma digitale di cui al comma 1 agli elenchi di cui all'articolo 1, comma 2, lettera b), del decreto-legge, e fornisce alla stessa piattaforma gli elenchi di pertinenza del Ministero.

Nelle more dell'adozione del decreto del Presidente del Consiglio dei ministri di cui dell'articolo 1, comma 3, del decreto-legge, e fatta salva l'eventuale attribuzione di classifiche di segretezza ai sensi dell'articolo 42 della legge 3 agosto 2007, n. 124, l'elencazione dei soggetti di cui all'articolo 1, comma 2-bis, del decreto-legge, e gli elenchi di cui all'articolo 1, comma 2, lettera b), del decreto-legge, comprensivi della descrizione dell'architettura e della componentistica, nonche' dell'analisi del rischio, sono trattati, conservati e trasmessi con modalita' idonee a garantirne la sicurezza, mediante misure tecniche e organizzative adeguate.

I soggetti inclusi nel perimetro osservano, in relazione alle reti, ai sistemi informativi e ai servizi informatici di cui all'articolo 1, comma 2, lettera b), del decreto-legge, gli obblighi, in materia di notifica degli incidenti, di misure di sicurezza, nonche' di affidamento delle forniture di cui all'articolo 1, commi 3 e 6, del decreto-legge, a decorrere dalle date indicate, rispettivamente, dal decreto di cui all'articolo 1, comma 3, del decreto-legge, e dal regolamento di cui all'articolo 1, comma 6, del decreto-legge.

All'attuazione delle disposizioni di cui al presente decreto si provvede nei limiti delle risorse finanziarie, umane e strumentali disponibili a legislazione vigente e comunque senza nuovi o maggiori oneri a carico della finanza pubblica.