Art. 8
Modalita' e termini di adozione
delle misure di sicurezza
1. I soggetti inclusi nel perimetro adottano, per ciascun bene ICT
di rispettiva pertinenza, le misure di sicurezza di cui all'allegato
B nei seguenti termini:
a) per le misure di sicurezza appartenenti alla categoria A di
cui all'appendice n. 2 dell'allegato B, entro sei mesi dalla data di
trasmissione degli elenchi dei beni ICT effettuata ai sensi
dell'articolo 1, comma 2, lettera b), del decreto-legge, ovvero,
qualora la trasmissione sia avvenuta in una data antecedente a quella
di entrata in vigore del presente regolamento, entro sei mesi da
quest'ultima data;
b) per le misure di sicurezza appartenenti alla categoria B di
cui all'appendice n. 2 dell'allegato B, entro trenta mesi dalla data
di trasmissione degli elenchi dei beni ICT effettuata ai sensi
dell'articolo 1, comma 2, lettera b), del decreto-legge, ovvero,
qualora la trasmissione sia avvenuta in una data antecedente a quella
di entrata in vigore del presente regolamento, entro trenta mesi da
quest'ultima data.
2. I soggetti di cui al comma 1, dopo l'avvenuta adozione delle
misure di sicurezza di cui all'allegato B, ne danno tempestivamente
comunicazione al DIS, descrivendo le relative modalita', mediante la
piattaforma digitale costituita presso il DIS ai sensi dell'articolo
9, comma 1, del regolamento adottato con DPCM n. 131 del 2020.
3. Ai fini della comunicazione di cui al comma 2, il DIS predispone
un apposito modello di cui da' informazione ai soggetti di cui al
comma 1.
4. Qualora un soggetto incluso nel perimetro proceda, ai sensi
degli articoli 7 e 9 del regolamento adottato con il DPCM n. 131 del
2020, all'aggiornamento dell'elenco dei beni ICT, valuta
contestualmente se e' necessario procedere all'adeguamento delle
misure di sicurezza adottate ai sensi del presente articolo. Nel caso
in cui sia necessario procedere all'adeguamento, vi provvede e ne
comunica le relative modalita', con il modello di cui al comma 1, nei
seguenti termini:
a) per le misure di sicurezza di cui alla categoria A
dell'appendice n. 2 dell'allegato B, entro sei mesi
dall'aggiornamento dell'elenco dei beni ICT;
b) per le misure di sicurezza di cui alla categoria B
dell'appendice n. 2 dell'allegato B, entro trenta mesi
dall'aggiornamento dell'elenco dei beni ICT.
5. In ogni altro caso in cui un soggetto incluso nel perimetro
abbia proceduto ad adeguare le misure di sicurezza adottate ai sensi
del presente articolo, ne comunica, entro sei mesi, le relative
modalita' con il modello di cui al comma 1.
6. Il DIS rende tempestivamente disponibili le comunicazioni
ricevute ai sensi dei commi 1, 2 e 3 alla struttura della Presidenza
del Consiglio dei ministri competente per la innovazione tecnologica
e la digitalizzazione e al Ministero dello sviluppo economico ai fini
dello svolgimento delle rispettive attivita' di verifica e ispezione,
fatta eccezione per quelle comunicazioni concernenti i beni ICT in
relazione ai quali per le attivita' di ispezione e verifica sono
competenti le strutture specializzate di cui all'articolo 1, comma 6,
lettera c), terzo periodo, del decreto-legge.
Note all'art. 8:
- Si riporta il testo degli articoli 7 e 9 del citato
decreto del Presidente del Consiglio dei ministri 30 luglio
2020, n. 131:
«Art. 7. (Definizione dei criteri per la
predisposizione e l'aggiornamento degli elenchi delle reti,
dei sistemi informativi e dei servizi informatici). - 1. Ai
sensi dell'articolo 1, comma 2, del decreto-legge, i
soggetti inclusi nel perimetro predispongono e aggiornano,
con cadenza almeno annuale, l'elenco di beni ICT di
rispettiva pertinenza, con l'indicazione delle reti, dei
sistemi informativi e dei servizi informatici che li
compongono, osservando i criteri individuati nel successivo
comma.
2. Ricevuta la comunicazione prevista dall'articolo 1,
comma 2-bis), secondo periodo, del decreto-legge, i
soggetti inclusi nel perimetro, in esito all'analisi del
rischio, per ogni funzione essenziale o servizio essenziale
di cui all'articolo 4, comma 1, lettera c), provvedono:
a) ad individuare i beni ICT necessari a svolgere la
funzione essenziale o il servizio essenziale. A tale fine
sono valutati:
1) l'impatto di un incidente sul bene ICT, in
termini sia di limitazione della operativita' del bene
stesso, sia di compromissione della disponibilita',
integrita', o riservatezza dei dati e delle informazioni da
esso trattati, ai fini dello svolgimento della funzione o
del servizio essenziali;
2) le dipendenze con altre reti, sistemi
informativi, servizi informatici o infrastrutture fisiche
di pertinenza di altri soggetti, ivi compresi quelli
utilizzati per fini di manutenzione e gestione;
b) a predisporre l'elenco dei beni ICT di cui
all'articolo 1, comma 2, lettera b), del decreto-legge. In
fase di prima applicazione e fino all'aggiornamento del
presente decreto, ai sensi dell'articolo 1, comma 5, del
decreto-legge, sono individuati, all'esito dell'analisi del
rischio, in ossequio al principio di gradualita', i beni
ICT che, in caso di incidente, causerebbero l'interruzione
totale dello svolgimento della funzione essenziale o del
servizio essenziale o una compromissione degli stessi con
effetti irreversibili sotto il profilo della integrita' o
della riservatezza dei dati e delle informazioni.
3. Per le reti, i sistemi informativi e i servizi
informatici attinenti alla gestione delle informazioni
classificate si applica quanto previsto dall'articolo 1,
comma 2, lettera b), del decreto-legge.»
«Art. 9. (Modalita' di trasmissione degli elenchi delle
reti, dei sistemi informativi e dei servizi informatici). -
1. Entro sei mesi dal ricevimento della comunicazione di
avvenuta iscrizione nell'elenco di cui all'articolo 1,
comma 2-bis), del decreto-legge, i soggetti pubblici e
quelli di cui all'articolo 29 del codice
dell'amministrazione digitale, nonche' quelli privati ivi
inclusi, trasmettono, rispettivamente, alla struttura della
Presidenza del Consiglio dei ministri competente per la
innovazione tecnologica e la digitalizzazione e al
Ministero dello sviluppo economico, gli elenchi di beni ICT
di cui all'articolo 1, comma 2, lettera b), del
decreto-legge, comprensivi della descrizione
dell'architettura e della componentistica predisposta
secondo il modello di cui all'articolo 8, nonche'
dell'analisi del rischio. La trasmissione degli elenchi di
beni ICT avviene per il tramite di una piattaforma digitale
costituita presso il DIS anche per le attivita' di
prevenzione, preparazione e gestione delle crisi
cibernetiche affidate al NSC, nell'ambito delle risorse
finanziarie, umane e strumentali previste a legislazione
vigente. Le disposizioni di cui al presente comma si
applicano anche per l'aggiornamento degli elenchi di beni
ICT e del modello di cui all'articolo 8, comma 1.
2. La struttura della Presidenza del Consiglio dei
ministri competente per la innovazione tecnologica e la
digitalizzazione e il Ministero dello sviluppo economico,
per i profili di rispettiva competenza, accedono alla
piattaforma di cui al comma 1 ai fini dello svolgimento
delle attivita' di ispezione e verifica previste
dall'articolo 1, comma 6, lettera c), del decreto-legge,
nonche' dei compiti di cui all'articolo 1, comma 12, del
decreto-legge.
3. In relazione alle reti, ai sistemi informativi e ai
servizi informatici connessi alla funzione di prevenzione e
repressione dei reati, alla tutela dell'ordine e della
sicurezza pubblica, alla difesa civile e alla difesa e
sicurezza militare dello Stato di cui all'articolo 1, comma
6, lettera c), del decreto-legge, la struttura della
Presidenza del Consiglio dei ministri competente per la
innovazione tecnologica e la digitalizzazione accede alla
piattaforma di cui al comma 1 limitatamente alle
informazioni necessarie, individuate ai sensi dell'articolo
8, comma 2, per lo svolgimento dei compiti previsti
dall'articolo 1, comma 12, del decreto-legge.
4. L'organo del Ministero dell'interno per la sicurezza
e la regolarita' dei servizi di telecomunicazione di cui
all'articolo 7-bis del decreto-legge 27 luglio 2005, n.
144, convertito, con modificazioni, dalla legge 31 luglio
2005, n. 155, accede per il tramite della piattaforma
digitale di cui al comma 1 agli elenchi di cui all'articolo
1, comma 2, lettera b), del decreto-legge, e fornisce alla
stessa piattaforma gli elenchi di pertinenza del
Ministero.».
- Per il testo dell'articolo 1, comma 2, lettera b) del
citato decreto-legge 21 settembre 2019, n. 105 convertito,
con modificazioni, dalla legge 18 novembre 2019, n. 133, si
veda nelle note all'articolo 1.
- Per il testo del punto 1, lettera a), dell'allegato
I, del citato decreto legislativo 18 maggio 2018, n. 65, si
veda nelle note all'articolo 3.
- Per il testo dell'articolo 1, comma 6, lettera c),
del citato decreto-legge 21 settembre 2019, n. 105
convertito, con modificazioni, dalla legge 18 novembre
2019, n. 133, si veda nelle note all'articolo 5.