 
 
                             IL MINISTRO 
                      DELLO SVILUPPO ECONOMICO 
 
  Visto il decreto legislativo 1° agosto 2003,  n.  259,  recante  il
Codice  delle  comunicazioni  elettroniche,  modificato  dal  decreto
legislativo 28 maggio 2012,  n.  70  in  attuazione  delle  direttive
2009/140/CE in materia di reti e servizi di comunicazione elettronica
e 2009/136/CE in materia di trattamento dei dati personali  e  tutela
della vita privata; 
  Visti in particolare, gli articoli 16-bis  e  16-ter  del  predetto
decreto legislativo n. 259 del 2003 e successive modificazioni; 
  Vista la legge 3  agosto  2007,  n.  124,  recante  il  sistema  di
informazione per la sicurezza della Repubblica e la nuova  disciplina
del segreto; 
  Vista  la  direttiva  adottata  con  decreto  del  Presidente   del
Consiglio dei ministri del 17 febbraio 2017, recante indirizzi per la
protezione  cibernetica  e  la   sicurezza   informatica   nazionali,
pubblicato nella Gazzetta Ufficiale n. 87 del 13 aprile 2017; 
  Visto il decreto legislativo 18 maggio 2018, n. 65, che ha recepito
la direttiva (UE) 2016/1148 in materia di sicurezza delle reti e  dei
sistemi informativi, ed in particolare l'art. 8 e l'art. 12, comma  6
relativi rispettivamente al CSIRT  Italiano  e  all'organo  istituito
presso il Dipartimento informazioni per la sicurezza  incaricato,  ai
sensi delle direttive  del  Presidente  del  Consiglio  dei  ministri
adottate sentito il Comitato interministeriale per la sicurezza della
Repubblica (CISR), delle attivita' di prevenzione e  preparazione  ad
eventuali situazioni di crisi e di  attivazione  delle  procedure  di
allertamento; 
  Visto il decreto legislativo 30 giugno 2003,  n.  196,  recante  il
«Codice in materia di protezione dei dati personali»; 
  Visto il decreto del Ministro delle comunicazioni di  concerto  con
il Ministro dell'economia e  delle  finanze  del  15  febbraio  2006,
pubblicato nella Gazzetta Ufficiale del  7  aprile  2006,  n.  82,  e
relativo ai compensi dovuti per prestazioni conto terzi eseguite  dal
Ministero delle comunicazioni,  ai  sensi  dell'art.  6  del  decreto
legislativo 30 dicembre 2003, n. 366; 
  Visto il decreto della Presidenza  del  Consiglio  dei  ministri  5
dicembre 2015, n. 158, recante il Regolamento di  organizzazione  del
Ministero dello sviluppo economico, ed in particolare l'art.  14  che
affida all'Istituto superiore delle comunicazioni e delle  tecnologie
dell'informazione l'individuazione delle misure tecnico-organizzative
di sicurezza ed integrita' delle reti, la verifica del rispetto delle
stesse e la notifica degli incidenti di sicurezza significativi  agli
organi europei competenti, ai sensi degli articoli  16-bis  e  16-ter
del decreto legislativo 1° agosto 2003, n.  259,  in  accordo  con  i
soggetti istituzionali competenti e, in  particolare,  con  l'Agenzia
per l'Italia Digitale; 
  Vista la  legge  31  luglio  1997,  n.  249,  recante  «Istituzione
dell'Autorita' per  le  garanzie  nelle  comunicazioni  e  norme  sui
sistemi delle telecomunicazioni e radiotelevisivo» e, in particolare,
l'art. 1; 
  Tenuto conto delle indicazioni contenute  nei  documenti  elaborati
dall'Agenzia europea per la sicurezza delle reti e  dell'informazione
(ENISA) con il contributo degli  Stati  membri  dell'Unione  europea:
«Technical  guidance  on  the  security  measures  in  Article   13a»
-Versione 2.0, Ottobre 2014 e «Technical  guidance  on  the  incident
reporting in Article 13» Versione 2.1, Ottobre 2014; 
  Considerata la necessita' di attuare le disposizioni  dei  suddetti
articoli 16-bis e 16-ter,  al  fine  di  incrementare  i  livelli  di
sicurezza delle reti e la disponibilita' dei servizi su tali reti; 
  Considerati i dati pubblicati nell'Osservatorio  trimestrale  delle
comunicazioni  a  cura   dell'Autorita'   per   le   garanzie   nelle
comunicazioni relativamente alla  base  di  utenti  nazionali  per  i
servizi voce e dati su rete fissa e rete mobile; 
  Sentiti i fornitori di reti e servizi di comunicazione  elettronica
e le relative Associazioni; 
  Sentite l'Autorita' per le garanzie nelle comunicazioni e l'Agenzia
per l'Italia Digitale; 
 
                              Decreta: 
 
                               Art. 1 
 
                             Definizioni 
 
  1. Ai fini del presente decreto si intende per: 
  a) «incidente di  sicurezza»:  una  violazione  della  sicurezza  o
perdita dell'integrita' che determina un malfunzionamento delle  reti
e dei servizi di comunicazione elettronica; 
  b) «asset critico»: un'infrastruttura in grado di  fornire  servizi
di comunicazione elettronica a un  significativo  numero  di  utenti,
espresso  in  termini  percentuali  rispetto  alla  base  di   utenti
nazionale dei medesimi servizi; 
  c) «sicurezza e integrita' della rete»: condizioni  che  assicurano
la  disponibilita'  e  continuita'  dei  servizi   di   comunicazioni
elettroniche forniti; 
  d) «base di utenti nazionale»: il numero totale di utenti finali  a
livello nazionale per singolo servizio di comunicazioni elettroniche,
da intendersi come: 
  numero di accessi complessivi da rete fissa (sia voce che dati); 
  numero complessivo delle SIM attive  Human  (per  traffico  voce  e
dati). 
  2. Per quanto non espressamente previsto dal comma 1, si  applicano
le definizioni del  decreto  legislativo  1°  agosto  2003,  n.  259,
recante il «Codice delle comunicazioni elettroniche».