DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 30 luglio 2020, n. 131 - Regolamento in materia di perimetro di sicurezza nazionale cibernetica, ai sensi dell'articolo 1, comma 2, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133. (20G00150)

IL PRESIDENTE

DEL CONSIGLIO DEI MINISTRI

Vista la legge 23 agosto 1988, n. 400

Visto il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica, e, in particolare, l'articolo 1, comma 2

Visto il decreto legislativo 30 luglio 1999, n. 300, recante riforma dell'organizzazione del Governo, a norma dell'articolo 11 della legge 15 marzo 1997, n. 59

Visto il decreto legislativo 1° agosto 2003, n. 259, recante codice delle comunicazioni elettroniche

Visto il decreto legislativo 7 marzo 2005, n. 82, recante codice dell'amministrazione digitale e, in particolare, l'articolo 29

Visto il decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, recante misure urgenti per il contrasto del terrorismo e, in particolare, l'articolo 7-bis

Vista la legge 3 agosto 2007, n. 124, concernente Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto

Visto il decreto legislativo 11 aprile 2011, n. 61, di attuazione della direttiva 2008/114/CE della Commissione, dell'8 dicembre 2008, recante l'individuazione e la designazione delle infrastrutture critiche europee e la valutazione della necessita' di migliorarne la protezione

Visto il decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, recante norme in materia di poteri speciali sugli assetti societari nei settori della difesa e della sicurezza nazionale, nonche' per le attivita' di rilevanza strategica nei settori dell'energia, dei trasporti e delle comunicazioni

Visto il decreto legislativo 18 maggio 2018, n. 65, di attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione

Visto il decreto del Presidente del Consiglio dei ministri 17 febbraio 2017, recante direttiva concernente indirizzi per la protezione cibernetica e la sicurezza informatica nazionali, pubblicato nella Gazzetta Ufficiale della Repubblica italiana n. 87 del 13 aprile 2017

Ritenuto di dover definire modalita' e criteri procedurali di individuazione dei soggetti pubblici e privati inclusi nel perimetro di sicurezza nazionale cibernetica, nonche' i criteri con i quali i soggetti inclusi nel perimetro predispongono e aggiornano un elenco delle reti, dei sistemi informativi e dei servizi informatici di rispettiva pertinenza

Udito il parere del Consiglio di Stato espresso dalla sezione consultiva per gli atti normativi nell'adunanza del 21 maggio 2020

Acquisiti i pareri della 1ª Commissione del Senato della Repubblica del 7 luglio 2020, delle Commissioni riunite I e IX della Camera dei deputati dell'8 luglio 2020 e della V Commissione della Camera dei deputati del 15 luglio 2020

Sulla proposta del Comitato interministeriale per la sicurezza della Repubblica

A d o t t a

il presente regolamento:

Art. 1

Definizioni

1. Ai fini del presente decreto si intende per:

a) decreto-legge, il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133

b) perimetro, il perimetro di sicurezza nazionale cibernetica istituito ai sensi dell'articolo 1, comma 1, del decreto-legge

c) CISR, il Comitato interministeriale per la sicurezza della Repubblica di cui all'articolo 5 della legge 3 agosto 2007, n. 124

d) amministrazioni CISR, la Presidenza del Consiglio dei ministri e i Ministeri di cui all'articolo 5 della legge 3 agosto 2007, n. 124

e) amministrazione dello Stato, le amministrazioni di cui all'articolo 8, comma 1, della legge 7 agosto 2015, n. 124

f) pregiudizio per la sicurezza nazionale, danno o pericolo di danno all'indipendenza, all'integrita' o alla sicurezza della Repubblica e delle istituzioni democratiche poste dalla Costituzione a suo fondamento, ovvero agli interessi politici, militari, economici, scientifici e industriali dell'Italia, conseguente all'interruzione o alla compromissione di una funzione essenziale dello Stato o di un servizio essenziale di cui all'articolo 2

g) compromissione, la perdita di sicurezza o di efficacia dello svolgimento di una funzione essenziale dello Stato o di un servizio essenziale, connessa al malfunzionamento, all'interruzione, anche parziali, ovvero all'utilizzo improprio di reti, sistemi informativi e servizi informatici

h) incidente, ogni evento di natura accidentale o intenzionale che determina il malfunzionamento, l'interruzione, anche parziali, ovvero l'utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici

i) rete, sistema informativo:

1) una rete di comunicazione elettronica ai sensi dell'articolo 1, comma 1, lettera dd), del decreto legislativo 1° agosto 2003, n. 259

2) qualsiasi dispositivo o gruppo di dispositivi interconnessi o collegati, uno o piu' dei quali eseguono, in base ad un programma, un trattamento automatico di dati digitali, ivi inclusi i sistemi di controllo industriale

3) i dati digitali conservati, trattati, estratti o trasmessi per mezzo di reti o dispositivi di cui ai numeri 1) e 2), per il loro funzionamento, uso, protezione e manutenzione, compresi i programmi di cui al numero 2)

l) servizio informatico, un servizio consistente interamente o prevalentemente nel trattamento di informazioni, per mezzo della rete e dei sistemi informativi, ivi incluso quello di cloud computing di cui all'articolo 3, comma 1, lettera aa), del decreto legislativo 18 maggio 2018, n. 65

m) bene ICT (information and communication technology), un insieme di reti, sistemi informativi e servizi informatici, o parti di essi, di qualunque natura, considerato unitariamente ai fini dello svolgimento di funzioni essenziali dello Stato o per l'erogazione di servizi essenziali

n) architettura e componentistica, l'insieme delle architetture realizzate e dei componenti usati a livello di rete, dati e software, ivi inclusi la distribuzione su piattaforme di cloud computing, nonche' le procedure e i flussi informativi per l'accesso, acquisizione, trasmissione, conservazione, elaborazione e recupero dei dati necessari all'espletamento dei servizi informatici

o) DIS, il Dipartimento delle informazioni per la sicurezza della Presidenza del Consiglio dei ministri, di cui all'articolo 4 della legge 3 agosto 2007, n. 124

p) Agenzie, l'Agenzia informazioni e sicurezza esterna e l'Agenzia informazioni e sicurezza interna di cui agli articoli 6 e 7 della legge 3 agosto 2007, n. 124

q) organismi di informazione per la sicurezza, il DIS e le Agenzie

r) Tavolo interministeriale, il Tavolo interministeriale per l'attuazione del perimetro di sicurezza nazionale cibernetica

s) decreto legislativo NIS, il decreto legislativo 18 maggio 2018, n. 65

t) NSC, il Nucleo per la sicurezza cibernetica, organo di cui all'articolo 12, comma 6, del decreto legislativo NIS

u) codice dell'amministrazione digitale, il codice di cui al decreto legislativo 7 marzo 2005, n. 82

v) CISR tecnico, l'organismo tecnico di supporto al CISR, di cui all'articolo 4, comma 5, del regolamento adottato con decreto del Presidente del Consiglio dei ministri 3 aprile 2020, n. 2, che definisce l'ordinamento e l'organizzazione del DIS

z) analisi del rischio, un processo che consente di identificare i fattori di rischio di un incidente, valutandone la probabilita' e l'impatto potenziale sulla continuita', sulla sicurezza o sulla efficacia della funzione essenziale o del servizio essenziale, e conseguentemente di trattare tale rischio individuando ed implementando idonee misure di sicurezza.

N O T E

Avvertenza:

Il testo delle note qui pubblicato e' stato redatto

dall'amministrazione competente per materia ai sensi

dell'art. 10, comma 3, del testo unico delle disposizioni

sulla promulgazione delle leggi, sull'emanazione dei

decreti del Presidente della Repubblica e sulle

pubblicazioni ufficiali della Repubblica italiana,

approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo

fine di facilitare la lettura delle disposizioni di legge

modificate o alle quali e' operato il rinvio. Restano

invariati il valore e l'efficacia degli atti legislativi

qui trascritti.

Per gli atti dell'Unione europea vengono forniti gli

estremi di pubblicazione nella Gazzetta Ufficiale

dell'Unione Europea (GUUE).

Note alle premesse:

- La legge 23 agosto 1988, n. 400 (Disciplina

dell'attivita' di Governo e ordinamento della Presidenza

del Consiglio dei Ministri) e' pubblicata nella Gazzetta

Ufficiale - Serie generale - n. 214 del 12 settembre 1988,

Supplemento ordinario.

- Il decreto-legge 21 settembre 2019, n. 105

(Disposizioni urgenti in materia di perimetro di sicurezza

nazionale cibernetica e di disciplina dei poteri speciali

nei settori di rilevanza strategica), pubblicato nella

Gazzetta Ufficiale 21 settembre 2019, n. 222, e' stato

convertito in legge, con modificazioni, dall'art. 1, comma

1, della legge 18 novembre 2019, n. 133, pubblicata nella

Gazzetta Ufficiale 20 novembre 2019, n. 272.

- Si riporta l'art. 1, comma 2, del citato

decreto-legge 21 settembre 2019, n. 105, convertito, con

modificazioni, dalla legge 18 novembre 2019, n. 133:

Art. 1 (Perimetro di sicurezza nazionale cibernetica).

- 1. Al fine di assicurare un livello elevato di sicurezza

delle reti, dei sistemi informativi e dei servizi

informatici delle amministrazioni pubbliche, degli enti e

degli operatori pubblici e privati aventi una sede nel

territorio nazionale, da cui dipende l'esercizio di una

funzione essenziale dello Stato, ovvero la prestazione di

un servizio essenziale per il mantenimento di attivita'

civili, sociali o economiche fondamentali per gli interessi

dello Stato e dal cui malfunzionamento, interruzione, anche

parziali, ovvero utilizzo improprio, possa derivare un

pregiudizio per la sicurezza nazionale, e'...