DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 14 aprile 2021, n. 81 - Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all'articolo 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza. (21G00089)

IL PRESIDENTE

DEL CONSIGLIO DEI MINISTRI

Vista la legge 23 agosto 1988, n. 400

Visto il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica e, in particolare, l'articolo 1, comma 3

Visto il decreto legislativo 30 luglio 1999, n. 300, recante riforma dell'organizzazione del Governo, a norma dell'articolo 11 della legge 15 marzo 1997, n. 59

Visto il decreto legislativo 1° agosto 2003, n. 259, recante codice delle comunicazioni elettroniche

Visto il decreto legislativo 7 marzo 2005, n. 82, recante codice dell'amministrazione digitale e, in particolare, l'articolo 29

Visto il decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, recante misure urgenti per il contrasto del terrorismo e, in particolare, l'articolo 7-bis

Vista la legge 3 agosto 2007, n. 124, recante Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto

Visto il decreto legislativo 18 maggio 2018, n. 65, di attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione

Visto il regolamento adottato con decreto del Presidente del Consiglio dei ministri 3 aprile 2020, n. 2, recante l'ordinamento e l'organizzazione del DIS

Visto il regolamento adottato con decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131, ai sensi dell'articolo 1, comma 2, del decreto-legge n. 105 del 2019, in materia di perimetro di sicurezza nazionale cibernetica

Visto il decreto del Presidente del Consiglio dei ministri 17 febbraio 2017, recante direttiva concernente indirizzi per la protezione cibernetica e la sicurezza informatica nazionali, pubblicato nella Gazzetta Ufficiale della Repubblica italiana n. 87 del 13 aprile 2017

Visto il decreto del Presidente del Consiglio dei ministri 8 agosto 2019, recante disposizioni sull'organizzazione e il funzionamento del Computer security incident response team - CSIRT italiano, pubblicato nella Gazzetta Ufficiale della Repubblica italiana n. 262 dell'8 novembre 2019

Visto il «Framework nazionale per la cybersecurity e la data protection», edizione 2019 (Framework nazionale), realizzato dal Centro di ricerca di cyber intelligence and information security

(CIS) dell'Universita' Sapienza di Roma e dal Cybersecurity national lab del Consorzio interuniversitario nazionale per l'informatica

(CINI), con il supporto dell'Autorita' garante per la protezione dei dati personali e del Dipartimento delle informazioni per la sicurezza

(DIS), quale strumento di supporto per le organizzazioni pubbliche e private in materia di strategie e processi volti alla protezione dei dati personali, con specifico riferimento alla sicurezza degli stessi a fronte di possibili attacchi informatici, e alla sicurezza cyber, nonche' per il loro continuo monitoraggio

Considerato di dover tenere conto degli standard definiti a livello internazionale e dell'Unione europea e di assumere, quale base di riferimento per l'individuazione delle misure corrispondenti agli ambiti di cui all'articolo 1, comma 3, lettera b), del decreto-legge n. 105 del 2019, il Framework nazionale, adeguandolo allo specifico contesto operativo delineato dal perimetro di sicurezza nazionale cibernetica e, pertanto, di richiamare, per ciascuna misura individuata, il codice alfanumerico identificativo della relativa sottocategoria del Framework nazionale

Udito il parere del Consiglio di Stato espresso dalla sezione consultiva per gli atti normativi nell'adunanza del 1° dicembre 2020

Acquisiti i pareri delle Commissioni I e IX riunite, IV e V della Camera dei deputati e delle Commissioni 1ª, 4ª e 5ª del Senato della Repubblica

Sulla proposta del Comitato interministeriale per la sicurezza della Repubblica

Adotta

il seguente regolamento:

Art. 1

Definizioni

1. Ai fini del presente decreto si intende per:

   1. decreto-legge, il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133

   2. perimetro, il perimetro di sicurezza nazionale cibernetica istituito ai sensi dell'articolo 1, comma 1, del decreto-legge

   3. soggetti inclusi nel perimetro, i soggetti di cui all'articolo 1, comma 2-bis, del decreto-legge

   4. CISR, il Comitato interministeriale per la sicurezza della Repubblica di cui all'articolo 5 della legge 3 agosto 2007, n. 124

   5. rete, sistema informativo:

      1) una rete di comunicazione elettronica ai sensi dell'articolo 1, comma 1, lettera dd), del decreto legislativo 1° agosto 2003, n. 259

      2) qualsiasi dispositivo o gruppo di dispositivi interconnessi o collegati, uno o piu' dei quali eseguono, in base ad un programma, un trattamento automatico di dati digitali, ivi inclusi i sistemi di controllo industriale

      3) i dati digitali conservati, trattati, estratti o trasmessi per mezzo di reti o dispositivi di cui ai numeri 1) e 2), per il loro funzionamento, uso, protezione e manutenzione, compresi i programmi di cui al numero 2)

   6. servizio informatico, un servizio consistente interamente o prevalentemente nel trattamento di informazioni, per mezzo della rete e dei sistemi informativi, ivi incluso quello di cloud computing di cui all'articolo 3, comma 1, lettera aa), del decreto legislativo n. 65 del 2018

   7. bene ICT (information and communication technology), un insieme di reti, sistemi informativi e servizi informatici, o parti di essi, incluso nell'elenco di cui all'articolo 1, comma 2, lettera b), del decreto-legge

   8. incidente, ogni evento di natura accidentale o intenzionale che determina il malfunzionamento, l'interruzione, anche parziali, ovvero l'utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici

   9. impatto sul bene ICT, limitazione della operativita' del bene ICT, ovvero compromissione della disponibilita', integrita', o riservatezza dei dati e delle informazioni da esso trattati, ai fini dello svolgimento della funzione o del servizio essenziali

   12. DIS, il Dipartimento delle informazioni per la sicurezza della Presidenza del Consiglio dei ministri, di cui all'articolo 4 della legge n. 124 del 2007

   13. CISR tecnico, l'organismo tecnico di supporto al CISR, di cui all'articolo 4, comma 5, del regolamento adottato con decreto del Presidente del Consiglio dei ministri 3 aprile 2020, n. 2, che definisce l'ordinamento e l'organizzazione del DIS

   14. CSIRT italiano, il Computer security incident response team istituito presso il DIS ai sensi dell'articolo 8 del decreto legislativo n. 65 del 2018

   15. indicatori di compromissione (IOC), indicatori tecnici impiegati per la rilevazione di una minaccia o compromissione nota e generalmente riconducibili a indirizzi IP, elementi identificativi e moduli software afferenti agli strumenti tecnici impiegati da attori malevoli.

       N O T E

       Avvertenza:

       - Il testo delle note qui pubblicato e' stato redatto

       dall'amministrazione competente per materia ai sensi

       dell'articolo 10, comma 3 del testo unico delle

       disposizioni sulla promulgazione delle leggi,

       sull'emanazione dei decreti del Presidente della Repubblica

       e sulle pubblicazioni ufficiali della Repubblica italiana,

       approvato con decreto del Presidente della Repubblica 28

       dicembre 1985, n. 1092, al solo fine di facilitare la

       lettura delle disposizioni di legge modificate o alle quali

       e' operato il rinvio. Restano invariati il valore e

       l'efficacia degli atti legislativi qui trascritti.

       Note alle premesse:

       - La legge 23 agosto 1988, n. 400 (Disciplina

       dell'attivita' di Governo e ordinamento della Presidenza

       del Consiglio dei ministri), e' pubblicata nella Gazzetta

       Ufficiale 12 settembre 1988, n. 214, S.O. n. 86.

       - Si riporta il testo del comma 3 dell'articolo 1 del

       decreto-legge 21 settembre 2019, n. 105 (Disposizioni

       urgenti in materia di perimetro di sicurezza nazionale

       cibernetica e di disciplina dei poteri speciali nei settori

       di rilevanza strategica), pubblicato nella Gazzetta

       Ufficiale 21 settembre 2019, n. 222, convertito , con

       modificazioni, dalla legge 18 novembre 2019, n. 133,

       pubblicata nella Gazzetta Ufficiale 20 novembre 2019, n.

       272:

       Art. 1. (Perimetro di sicurezza nazionale

       cibernetica). - 1. - 2. (Omissis).

       3. Entro dieci mesi dalla data di entrata in vigore

       della legge di conversione del presente decreto, con

       decreto del Presidente del Consiglio dei ministri, che

       disciplina altresi' i relativi termini e modalita'

       attuative, adottato su proposta del CISR:

       a) sono definite le procedure secondo cui i soggetti

       di cui al comma 2-bis notificano gli incidenti aventi

       impatto su reti, sistemi informativi e servizi informatici

       di cui al comma 2, lettera b), al Gruppo di intervento per

       la sicurezza informatica in caso di incidente (CSIRT)

       italiano, che inoltra tali notifiche, tempestivamente, al

       Dipartimento delle informazioni per la sicurezza anche per

       le attivita' demandate al Nucleo per la sicurezza

       cibernetica

       il Dipartimento delle informazioni per la

       sicurezza assicura la trasmissione delle notifiche cosi'

       ricevute all'organo del Ministero dell'interno per la

       sicurezza e la regolarita' dei servizi di telecomunicazione

       di cui all'articolo 7-bis del decreto-legge 27 luglio 2005,

       n. 144, convertito, con modificazioni, dalla legge 31

       luglio 2005, n. 155, nonche' alla Presidenza del Consiglio

       dei ministri, se provenienti da un soggetto pubblico o da

       un soggetto di cui all'articolo 29 del decreto legislativo

       7 marzo 2005, n. 82, ovvero al Ministero dello sviluppo

       economico, se effettuate da un soggetto privato

       b) sono stabilite misure volte a garantire elevati

       livelli di sicurezza delle reti, dei sistemi informativi e

       dei servizi informatici di cui al comma 2, lettera b),

       tenendo conto degli standard definiti a livello

       ...