DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 14 aprile 2021, n. 81 - Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all'articolo 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza. (21G00089)
IL PRESIDENTE
DEL CONSIGLIO DEI MINISTRI
Vista la legge 23 agosto 1988, n. 400
Visto il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica e, in particolare, l'articolo 1, comma 3
Visto il decreto legislativo 30 luglio 1999, n. 300, recante riforma dell'organizzazione del Governo, a norma dell'articolo 11 della legge 15 marzo 1997, n. 59
Visto il decreto legislativo 1° agosto 2003, n. 259, recante codice delle comunicazioni elettroniche
Visto il decreto legislativo 7 marzo 2005, n. 82, recante codice dell'amministrazione digitale e, in particolare, l'articolo 29
Visto il decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, recante misure urgenti per il contrasto del terrorismo e, in particolare, l'articolo 7-bis
Vista la legge 3 agosto 2007, n. 124, recante Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto
Visto il decreto legislativo 18 maggio 2018, n. 65, di attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione
Visto il regolamento adottato con decreto del Presidente del Consiglio dei ministri 3 aprile 2020, n. 2, recante l'ordinamento e l'organizzazione del DIS
Visto il regolamento adottato con decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131, ai sensi dell'articolo 1, comma 2, del decreto-legge n. 105 del 2019, in materia di perimetro di sicurezza nazionale cibernetica
Visto il decreto del Presidente del Consiglio dei ministri 17 febbraio 2017, recante direttiva concernente indirizzi per la protezione cibernetica e la sicurezza informatica nazionali, pubblicato nella Gazzetta Ufficiale della Repubblica italiana n. 87 del 13 aprile 2017
Visto il decreto del Presidente del Consiglio dei ministri 8 agosto 2019, recante disposizioni sull'organizzazione e il funzionamento del Computer security incident response team - CSIRT italiano, pubblicato nella Gazzetta Ufficiale della Repubblica italiana n. 262 dell'8 novembre 2019
Visto il «Framework nazionale per la cybersecurity e la data protection», edizione 2019 (Framework nazionale), realizzato dal Centro di ricerca di cyber intelligence and information security
(CIS) dell'Universita' Sapienza di Roma e dal Cybersecurity national lab del Consorzio interuniversitario nazionale per l'informatica
(CINI), con il supporto dell'Autorita' garante per la protezione dei dati personali e del Dipartimento delle informazioni per la sicurezza
(DIS), quale strumento di supporto per le organizzazioni pubbliche e private in materia di strategie e processi volti alla protezione dei dati personali, con specifico riferimento alla sicurezza degli stessi a fronte di possibili attacchi informatici, e alla sicurezza cyber, nonche' per il loro continuo monitoraggio
Considerato di dover tenere conto degli standard definiti a livello internazionale e dell'Unione europea e di assumere, quale base di riferimento per l'individuazione delle misure corrispondenti agli ambiti di cui all'articolo 1, comma 3, lettera b), del decreto-legge n. 105 del 2019, il Framework nazionale, adeguandolo allo specifico contesto operativo delineato dal perimetro di sicurezza nazionale cibernetica e, pertanto, di richiamare, per ciascuna misura individuata, il codice alfanumerico identificativo della relativa sottocategoria del Framework nazionale
Udito il parere del Consiglio di Stato espresso dalla sezione consultiva per gli atti normativi nell'adunanza del 1° dicembre 2020
Acquisiti i pareri delle Commissioni I e IX riunite, IV e V della Camera dei deputati e delle Commissioni 1ª, 4ª e 5ª del Senato della Repubblica
Sulla proposta del Comitato interministeriale per la sicurezza della Repubblica
Adotta
il seguente regolamento:
Art. 1
Definizioni
-
Ai fini del presente decreto si intende per:
-
decreto-legge, il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133
-
perimetro, il perimetro di sicurezza nazionale cibernetica istituito ai sensi dell'articolo 1, comma 1, del decreto-legge
-
soggetti inclusi nel perimetro, i soggetti di cui all'articolo 1, comma 2-bis, del decreto-legge
-
CISR, il Comitato interministeriale per la sicurezza della Repubblica di cui all'articolo 5 della legge 3 agosto 2007, n. 124
-
rete, sistema informativo:
1) una rete di comunicazione elettronica ai sensi dell'articolo 1, comma 1, lettera dd), del decreto legislativo 1° agosto 2003, n. 259
2) qualsiasi dispositivo o gruppo di dispositivi interconnessi o collegati, uno o piu' dei quali eseguono, in base ad un programma, un trattamento automatico di dati digitali, ivi inclusi i sistemi di controllo industriale
3) i dati digitali conservati, trattati, estratti o trasmessi per mezzo di reti o dispositivi di cui ai numeri 1) e 2), per il loro funzionamento, uso, protezione e manutenzione, compresi i programmi di cui al numero 2)
-
servizio informatico, un servizio consistente interamente o prevalentemente nel trattamento di informazioni, per mezzo della rete e dei sistemi informativi, ivi incluso quello di cloud computing di cui all'articolo 3, comma 1, lettera aa), del decreto legislativo n. 65 del 2018
-
bene ICT (information and communication technology), un insieme di reti, sistemi informativi e servizi informatici, o parti di essi, incluso nell'elenco di cui all'articolo 1, comma 2, lettera b), del decreto-legge
-
incidente, ogni evento di natura accidentale o intenzionale che determina il malfunzionamento, l'interruzione, anche parziali, ovvero l'utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici
-
impatto sul bene ICT, limitazione della operativita' del bene ICT, ovvero compromissione della disponibilita', integrita', o riservatezza dei dati e delle informazioni da esso trattati, ai fini dello svolgimento della funzione o del servizio essenziali
-
DIS, il Dipartimento delle informazioni per la sicurezza della Presidenza del Consiglio dei ministri, di cui all'articolo 4 della legge n. 124 del 2007
-
CISR tecnico, l'organismo tecnico di supporto al CISR, di cui all'articolo 4, comma 5, del regolamento adottato con decreto del Presidente del Consiglio dei ministri 3 aprile 2020, n. 2, che definisce l'ordinamento e l'organizzazione del DIS
-
CSIRT italiano, il Computer security incident response team istituito presso il DIS ai sensi dell'articolo 8 del decreto legislativo n. 65 del 2018
-
indicatori di compromissione (IOC), indicatori tecnici impiegati per la rilevazione di una minaccia o compromissione nota e generalmente riconducibili a indirizzi IP, elementi identificativi e moduli software afferenti agli strumenti tecnici impiegati da attori malevoli.
N O T E
Avvertenza:
- Il testo delle note qui pubblicato e' stato redatto
dall'amministrazione competente per materia ai sensi
dell'articolo 10, comma 3 del testo unico delle
disposizioni sulla promulgazione delle leggi,
sull'emanazione dei decreti del Presidente della Repubblica
e sulle pubblicazioni ufficiali della Repubblica italiana,
approvato con decreto del Presidente della Repubblica 28
dicembre 1985, n. 1092, al solo fine di facilitare la
lettura delle disposizioni di legge modificate o alle quali
e' operato il rinvio. Restano invariati il valore e
l'efficacia degli atti legislativi qui trascritti.
Note alle premesse:
- La legge 23 agosto 1988, n. 400 (Disciplina
dell'attivita' di Governo e ordinamento della Presidenza
del Consiglio dei ministri), e' pubblicata nella Gazzetta
Ufficiale 12 settembre 1988, n. 214, S.O. n. 86.
- Si riporta il testo del comma 3 dell'articolo 1 del
decreto-legge 21 settembre 2019, n. 105 (Disposizioni
urgenti in materia di perimetro di sicurezza nazionale
cibernetica e di disciplina dei poteri speciali nei settori
di rilevanza strategica), pubblicato nella Gazzetta
Ufficiale 21 settembre 2019, n. 222, convertito , con
modificazioni, dalla legge 18 novembre 2019, n. 133,
pubblicata nella Gazzetta Ufficiale 20 novembre 2019, n.
272:
Art. 1. (Perimetro di sicurezza nazionale
cibernetica). - 1. - 2. (Omissis).
3. Entro dieci mesi dalla data di entrata in vigore
della legge di conversione del presente decreto, con
decreto del Presidente del Consiglio dei ministri, che
disciplina altresi' i relativi termini e modalita'
attuative, adottato su proposta del CISR:
a) sono definite le procedure secondo cui i soggetti
di cui al comma 2-bis notificano gli incidenti aventi
impatto su reti, sistemi informativi e servizi informatici
di cui al comma 2, lettera b), al Gruppo di intervento per
la sicurezza informatica in caso di incidente (CSIRT)
italiano, che inoltra tali notifiche, tempestivamente, al
Dipartimento delle informazioni per la sicurezza anche per
le attivita' demandate al Nucleo per la sicurezza
cibernetica
il Dipartimento delle informazioni per la
sicurezza assicura la trasmissione delle notifiche cosi'
ricevute all'organo del Ministero dell'interno per la
sicurezza e la regolarita' dei servizi di telecomunicazione
di cui all'articolo 7-bis del decreto-legge 27 luglio 2005,
n. 144, convertito, con modificazioni, dalla legge 31
luglio 2005, n. 155, nonche' alla Presidenza del Consiglio
dei ministri, se provenienti da un soggetto pubblico o da
un soggetto di cui all'articolo 29 del decreto legislativo
7 marzo 2005, n. 82, ovvero al Ministero dello sviluppo
economico, se effettuate da un soggetto privato
b) sono stabilite misure volte a garantire elevati
livelli di sicurezza delle reti, dei sistemi informativi e
dei servizi informatici di cui al comma 2, lettera b),
tenendo conto degli standard definiti a livello
...
-
Per continuare a leggere
RICHIEDI UNA PROVA