Art. 8 Modalita' e termini di adozione delle misure di sicurezza 1. I soggetti inclusi nel perimetro adottano, per ciascun bene ICT di rispettiva pertinenza, le misure di sicurezza di cui all'allegato B nei seguenti termini: a) per le misure di sicurezza appartenenti alla categoria A di cui all'appendice n. 2 dell'allegato B, entro sei mesi dalla data di trasmissione degli elenchi dei beni ICT effettuata ai sensi dell'articolo 1, comma 2, lettera b), del decreto-legge, ovvero, qualora la trasmissione sia avvenuta in una data antecedente a quella di entrata in vigore del presente regolamento, entro sei mesi da quest'ultima data; b) per le misure di sicurezza appartenenti alla categoria B di cui all'appendice n. 2 dell'allegato B, entro trenta mesi dalla data di trasmissione degli elenchi dei beni ICT effettuata ai sensi dell'articolo 1, comma 2, lettera b), del decreto-legge, ovvero, qualora la trasmissione sia avvenuta in una data antecedente a quella di entrata in vigore del presente regolamento, entro trenta mesi da quest'ultima data. 2. I soggetti di cui al comma 1, dopo l'avvenuta adozione delle misure di sicurezza di cui all'allegato B, ne danno tempestivamente comunicazione al DIS, descrivendo le relative modalita', mediante la piattaforma digitale costituita presso il DIS ai sensi dell'articolo 9, comma 1, del regolamento adottato con DPCM n. 131 del 2020. 3. Ai fini della comunicazione di cui al comma 2, il DIS predispone un apposito modello di cui da' informazione ai soggetti di cui al comma 1. 4. Qualora un soggetto incluso nel perimetro proceda, ai sensi degli articoli 7 e 9 del regolamento adottato con il DPCM n. 131 del 2020, all'aggiornamento dell'elenco dei beni ICT, valuta contestualmente se e' necessario procedere all'adeguamento delle misure di sicurezza adottate ai sensi del presente articolo. Nel caso in cui sia necessario procedere all'adeguamento, vi provvede e ne comunica le relative modalita', con il modello di cui al comma 1, nei seguenti termini: a) per le misure di sicurezza di cui alla categoria A dell'appendice n. 2 dell'allegato B, entro sei mesi dall'aggiornamento dell'elenco dei beni ICT; b) per le misure di sicurezza di cui alla categoria B dell'appendice n. 2 dell'allegato B, entro trenta mesi dall'aggiornamento dell'elenco dei beni ICT. 5. In ogni altro caso in cui un soggetto incluso nel perimetro abbia proceduto ad adeguare le misure di sicurezza adottate ai sensi del presente articolo, ne comunica, entro sei mesi, le relative modalita' con il modello di cui al comma 1. 6. Il DIS rende tempestivamente disponibili le comunicazioni ricevute ai sensi dei commi 1, 2 e 3 alla struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione e al Ministero dello sviluppo economico ai fini dello svolgimento delle rispettive attivita' di verifica e ispezione, fatta eccezione per quelle comunicazioni concernenti i beni ICT in relazione ai quali per le attivita' di ispezione e verifica sono competenti le strutture specializzate di cui all'articolo 1, comma 6, lettera c), terzo periodo, del decreto-legge.
Note all'art. 8: - Si riporta il testo degli articoli 7 e 9 del citato decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131: «Art. 7. (Definizione dei criteri per la predisposizione e l'aggiornamento degli elenchi delle reti, dei sistemi informativi e dei servizi informatici). - 1. Ai sensi dell'articolo 1, comma 2, del decreto-legge, i soggetti inclusi nel perimetro predispongono e aggiornano, con cadenza almeno annuale, l'elenco di beni ICT di rispettiva pertinenza, con l'indicazione delle reti, dei sistemi informativi e dei servizi informatici che li compongono, osservando i criteri individuati nel successivo comma. 2. Ricevuta la comunicazione prevista dall'articolo 1, comma 2-bis), secondo periodo, del decreto-legge, i soggetti inclusi nel perimetro, in esito all'analisi del rischio, per ogni funzione essenziale o servizio essenziale di cui all'articolo 4, comma 1, lettera c), provvedono: a) ad individuare i beni ICT necessari a svolgere la funzione essenziale o il servizio essenziale. A tale fine sono valutati: 1) l'impatto di un incidente sul bene ICT, in termini sia di limitazione della operativita' del bene stesso, sia di compromissione della disponibilita', integrita', o riservatezza dei dati e delle informazioni da esso trattati, ai fini dello svolgimento della funzione o del servizio essenziali; 2) le dipendenze con altre reti, sistemi informativi, servizi informatici o infrastrutture fisiche di pertinenza di altri soggetti, ivi compresi quelli utilizzati per fini di manutenzione e gestione; b) a predisporre l'elenco dei beni ICT di cui all'articolo 1, comma 2, lettera b), del decreto-legge. In fase di prima applicazione e fino all'aggiornamento del presente decreto, ai sensi dell'articolo 1, comma 5, del decreto-legge, sono individuati, all'esito dell'analisi del rischio, in ossequio al principio di gradualita', i beni ICT che, in caso di incidente, causerebbero l'interruzione totale dello svolgimento della funzione essenziale o del servizio essenziale o una compromissione degli stessi con effetti irreversibili sotto il profilo della integrita' o della riservatezza dei dati e delle informazioni. 3. Per le reti, i sistemi informativi e i servizi informatici attinenti alla gestione delle informazioni classificate si applica quanto previsto dall'articolo 1, comma 2, lettera b), del decreto-legge.» «Art. 9. (Modalita' di trasmissione degli elenchi delle reti, dei sistemi informativi e dei servizi informatici). - 1. Entro sei mesi dal ricevimento della comunicazione di avvenuta iscrizione nell'elenco di cui all'articolo 1, comma 2-bis), del decreto-legge, i soggetti pubblici e quelli di cui all'articolo 29 del codice dell'amministrazione digitale, nonche' quelli privati ivi inclusi, trasmettono, rispettivamente, alla struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione e al Ministero dello sviluppo economico, gli elenchi di beni ICT di cui all'articolo 1, comma 2, lettera b), del decreto-legge, comprensivi della descrizione dell'architettura e della componentistica predisposta secondo il modello di cui all'articolo 8, nonche' dell'analisi del rischio. La trasmissione degli elenchi di beni ICT avviene per il tramite di una piattaforma digitale costituita presso il DIS anche per le attivita' di prevenzione, preparazione e gestione delle crisi cibernetiche affidate al NSC, nell'ambito delle risorse finanziarie, umane e strumentali previste a legislazione vigente. Le disposizioni di cui al presente comma si applicano anche per l'aggiornamento degli elenchi di beni ICT e del modello di cui all'articolo 8, comma 1. 2. La struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione e il Ministero dello sviluppo economico, per i profili di rispettiva competenza, accedono alla piattaforma di cui al comma 1 ai fini dello svolgimento delle attivita' di ispezione e verifica previste dall'articolo 1, comma 6, lettera c), del decreto-legge, nonche' dei compiti di cui all'articolo 1, comma 12, del decreto-legge. 3. In relazione alle reti, ai sistemi informativi e ai servizi informatici connessi alla funzione di prevenzione e repressione dei reati, alla tutela dell'ordine e della sicurezza pubblica, alla difesa civile e alla difesa e sicurezza militare dello Stato di cui all'articolo 1, comma 6, lettera c), del decreto-legge, la struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione accede alla piattaforma di cui al comma 1 limitatamente alle informazioni necessarie, individuate ai sensi dell'articolo 8, comma 2, per lo svolgimento dei compiti previsti dall'articolo 1, comma 12, del decreto-legge. 4. L'organo del Ministero dell'interno per la sicurezza e la regolarita' dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, accede per il tramite della piattaforma digitale di cui al comma 1 agli elenchi di cui all'articolo 1, comma 2, lettera b), del decreto-legge, e fornisce alla stessa piattaforma gli elenchi di pertinenza del Ministero.». - Per il testo dell'articolo 1, comma 2, lettera b) del citato decreto-legge 21 settembre 2019, n. 105 convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, si veda nelle note all'articolo 1. - Per il testo del punto 1, lettera a), dell'allegato I, del citato decreto legislativo 18 maggio 2018, n. 65, si veda nelle note all'articolo 3. - Per il testo dell'articolo 1, comma 6, lettera c), del citato decreto-legge 21 settembre 2019, n. 105 convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, si veda nelle note all'articolo 5.