IL PRESIDENTE
DEL CONSIGLIO DEI MINISTRI
Vista la legge 3 agosto 2007, n. 124, recante «Sistema di
informazione per la sicurezza della Repubblica e nuova disciplina del
segreto», come modificata e integrata dalla legge 7 agosto 2012, n.
133, e, in particolare, l'art. 1, comma 3-bis, che dispone che il
Presidente del Consiglio dei ministri, sentito il Comitato
interministeriale per la sicurezza della Repubblica (CISR), adotti
apposite direttive per rafforzare le attivita' di informazione per la
protezione delle infrastrutture critiche materiali e immateriali, con
particolare riguardo alla protezione cibernetica e alla sicurezza
informatica nazionali;
Visti altresi', l'art. 5, della legge n. 124 del 2007, che
disciplina le funzioni del CISR cui sono attribuiti compiti di
consulenza, proposta e deliberazione sugli indirizzi e sulle
finalita' generali della politica dell'informazione per la sicurezza,
nonche' di elaborazione degli indirizzi generali e degli obiettivi
fondamentali da perseguire nel quadro della politica
dell'informazione per la sicurezza;
Visto il decreto-legge 30 ottobre 2015, n. 174, convertito, con
modificazioni, dalla legge 11 dicembre 2015, n. 198, ed in
particolare l'art. 7-bis, comma 5, che attribuisce al CISR, convocato
dal Presidente del Consiglio dei ministri in caso di situazioni di
crisi che coinvolgano aspetti di sicurezza nazionale, compiti di
consulenza, proposta e deliberazione, secondo modalita' stabilite con
regolamento adottato ai sensi dell'art. 43, della legge n. 124 del
2007;
Visto l'art. 4, comma 3, lettera d-bis), della legge n. 124 del
2007, ai sensi del quale il Dipartimento delle informazioni per la
sicurezza coordina le attivita' di ricerca informativa finalizzate a
rafforzare la protezione cibernetica e la sicurezza informatica
nazionali;
Vista la direttiva (UE) 2016/1148 del Parlamento europeo e del
Consiglio, del 6 luglio 2016, recante misure per un livello comune
elevato di sicurezza delle reti e dei sistemi informativi nell'Unione
(c.d. Direttiva NIS);
Vista la legge 1° aprile 1981, n. 121, recante «Nuovo ordinamento
dell'Amministrazione della Pubblica sicurezza», ed in particolare
l'art. 1;
Visti il decreto-legge 27 luglio 2005, n. 144, convertito, con
modificazioni, dalla legge 31 luglio 2005, n. 155, recante misure
urgenti per il contrasto del terrorismo internazionale che, all'art.
7-bis, dispone che, ferme restando le competenze dei Servizi di
informazione per la sicurezza, i competenti organi del Ministero
dell'interno assicurano i servizi di protezione informatica delle
infrastrutture critiche informatizzate di interesse nazionale ed il
decreto del Ministro dell'interno 9 gennaio 2008, con il quale sono
state individuate le predette infrastrutture ed e' stata prevista
l'istituzione del Centro nazionale anticrimine informatico per la
protezione delle infrastrutture critiche (CNAIPIC);
Visti l'art. 14 del decreto legislativo 30 luglio 1999, n. 300,
recante «Riforma dell'organizzazione del Governo, a norma dell'art.
11 della legge 15 marzo 1997, n. 59», che attribuisce, tra l'altro,
al Ministero dell'interno competenze in materia di difesa civile ed
il decreto del Ministro dell'interno 28 settembre 2001 che istituisce
la Commissione interministeriale tecnica di difesa civile;
Visto il decreto legislativo 15 marzo 2010, n. 66, recante «Codice
dell'ordinamento militare» e, in particolare, l'art. 89 che individua
le attribuzioni delle Forze armate e le disposizioni e direttive
conseguenti che disciplinano i compiti attinenti alla difesa
cibernetica;
Visto il decreto legislativo 1° agosto 2003, n. 259, recante
«Codice delle comunicazioni elettroniche» e, in particolare, le
disposizioni che affidano al Ministero dello sviluppo economico
competenze in materia di sicurezza ed integrita' delle reti pubbliche
di comunicazione e dei servizi di comunicazione elettronica
accessibili al pubblico;
Visto il decreto-legge 22 giugno 2012, n. 83, convertito, con
modificazioni, dalla legge 7 agosto 2012, n. 134, e successive
modificazioni, che ha istituito l'Agenzia per l'Italia digitale
(AgID);
Visto il decreto legislativo 7 marzo 2005, n. 82, recante il Codice
dell'amministrazione digitale e, in particolare, le disposizioni in
materia di funzioni dell'AgID e di sicurezza informatica;
Vista la legge 24 febbraio 1992, n. 225, recante «Istituzione del
Servizio nazionale della protezione civile»;
Visto il decreto legislativo 11 aprile 2011, n. 61, attuativo della
direttiva 2008/114/CE recante l'individuazione e la designazione
delle infrastrutture critiche europee e la valutazione della
necessita' di migliorarne la protezione;
Visto l'art. 5, comma 2, lettera h), della legge 23 agosto 1988, n.
400;
Visto il decreto legislativo 30 luglio 1999, n. 303, recante
«Ordinamento della Presidenza del Consiglio dei ministri a norma
dell'art. 11 della legge 15 marzo 1997, n. 59»;
Visto il regolamento recante «Disposizioni per la tutela
amministrativa del segreto di Stato e delle informazioni classificate
e a diffusione esclusiva», adottato con decreto del Presidente del
Consiglio dei ministri 6 novembre 2015, n. 5, ai sensi dell'art. 4,
comma 3, lettera l), della legge n. 124 del 2007;
Visto il regolamento recante «Ordinamento ed organizzazione del
Dipartimento delle informazioni per la sicurezza», adottato con
decreto del Presidente del Consiglio dei ministri 26 ottobre 2012, n.
2, ed in particolare l'art. 4, comma 5, ai sensi del quale presso il
Dipartimento delle informazioni per la sicurezza e' istituito un
organismo collegiale permanente, c.d. CISR Tecnico, per
l'espletamento, a supporto del Comitato interministeriale per la
sicurezza della Repubblica, di attivita' di istruttoria, di
approfondimento e di valutazione anche con riferimento a specifiche
situazioni di crisi;
Vista la direttiva recante indirizzi per la protezione cibernetica
e la sicurezza informatica nazionali, adottata con decreto del
Presidente del Consiglio dei ministri del 24 gennaio 2013, che ha
definito, in un contesto unitario, l'architettura istituzionale
deputata alla tutela della sicurezza nazionale relativamente alle
infrastrutture critiche materiali e immateriali, con particolare
riguardo alla protezione cibernetica e alla sicurezza informatica
nazionali;
Considerato l'attuale quadro legislativo, improntato alla
distribuzione di funzioni e compiti aventi rilievo per la sicurezza
cibernetica tra molteplici soggetti istituzionali competenti nelle
diverse fasi: della prevenzione degli eventi dannosi nello spazio
cibernetico; dell'elaborazione di linee guida e standard tecnici di
sicurezza; della difesa dello Stato da attacchi nello spazio
cibernetico; della prevenzione e repressione dei crimini informatici;
della preparazione e della risposta nei confronti di eventi
cibernetici;
Considerato che sul richiamato quadro legislativo e' intervenuto
l'art. 7-bis, comma 5, del decreto-legge 30 ottobre 2015, n. 174,
convertito, con modificazioni, dalla legge n. 198 del 2015, che ha
attribuito al CISR funzioni di consulenza, proposta e deliberazione,
in caso di situazioni di crisi che coinvolgano aspetti di sicurezza
nazionale;
Ravvisata pertanto la necessita' di aggiornare, anche nelle more
del recepimento, entro il 9 maggio 2018, della citata direttiva (UE)
2016/1148, la predetta architettura istituzionale alla luce delle
previsioni recate dall'art. 7-bis, comma 5, del decreto-legge 30
ottobre 2015, n. 174, convertito, con modificazioni, dalla legge n.
198 del 2015, cosi' da ricondurre a sistema e unitarieta' le diverse
competenze coinvolte nella gestione della situazione di crisi, in
relazione al grado di pregiudizio alla sicurezza della Repubblica e
delle Istituzioni democratiche poste dalla Costituzione a suo
fondamento;
Ritenuto in tale quadro di procedere, altresi', ad una
razionalizzazione e semplificazione della predetta architettura
istituzionale, prevedendo che le funzioni di coordinamento e raccordo
delle attivita' di prevenzione, preparazione e gestione di eventuali
situazioni di crisi di natura cibernetica siano attestate presso
strutture che assicurino un piu' diretto ed efficace collegamento con
il Comitato interministeriale per la sicurezza della Repubblica;
Ritenuto per quanto sopra di dover procedere all'adozione di un
nuovo provvedimento che sostituisca il decreto del Presidente del
Consiglio dei ministri 24 gennaio 2013;
Sentito il Comitato interministeriale per la sicurezza della
Repubblica;
Dispone:
Art. 1
Oggetto
1. Il presente decreto definisce, in un contesto unitario e
integrato, l'architettura istituzionale deputata alla tutela della
sicurezza nazionale relativamente alle infrastrutture critiche
materiali e immateriali, con particolare riguardo alla protezione
cibernetica e alla sicurezza informatica nazionali, indicando a tal
fine i compiti affidati a ciascuna componente ed i meccanismi e le
procedure da seguire ai fini della riduzione delle vulnerabilita',
della prevenzione dei rischi, della risposta tempestiva alle
aggressioni e del ripristino immediato della funzionalita' dei
sistemi in caso di crisi.
2. I soggetti compresi nell'architettura istituzionale di cui al
comma 1 operano nel rispetto delle competenze gia' attribuite dalla
legge a ciascuno di essi.
3. Il modello organizzativo-funzionale delineato con il presente
decreto persegue la piena integrazione con le attivita' di competenza
del Ministero dello sviluppo economico e dell'Agenzia per l'Italia
digitale, nonche' con quelle espletate dalle strutture del Ministero
della difesa dedicate alla protezione delle proprie reti e sistemi
nonche' alla condotta di operazioni militari nello spazio
cibernetico, dalle strutture del Ministero dell'interno, dedicate
alla prevenzione e al contrasto del crimine informatico e alla difesa
civile, e quelle della protezione civile.