IL PRESIDENTE
DEL CONSIGLIO DEI MINISTRI
Vista la legge 3 agosto 2007, n. 124, recante «Sistema di
informazione per la sicurezza della Repubblica e nuova disciplina del
segreto»;
Visti il Trattato del Nord Atlantico (NATO) ratificato con legge 1°
agosto 1949, n. 465, e i seguenti atti: Accordo tra gli Stati membri
per la tutela della sicurezza delle informazioni, approvato dal
Consiglio del Nord Atlantico in data 21 giugno 1996; Documento
C-M(2002)49 «La sicurezza in seno all'Organizzazione del Trattato del
Nord Atlantico», approvato dal Consiglio del Nord Atlantico in data
26 marzo 2002;
Visto il decreto del Presidente del Consiglio dei ministri 11
aprile 2002, recante «Schema nazionale per la valutazione e la
certificazione della sicurezza delle tecnologie dell'informazione, ai
fini della tutela delle informazioni classificate, concernenti la
sicurezza interna ed esterna dello Stato», pubblicato nella Gazzetta
Ufficiale n. 131 del 6 giugno 2002;
Vista la decisione del Consiglio europeo, n. 2013/488/UE del 23
settembre 2013 sulle norme di sicurezza per proteggere le
informazioni classificate UE;
Vista la decisione della Commissione europea 2015/444/UE, Euratom
del 13 marzo 2015 sulle norme di sicurezza per proteggere le
informazioni classificate UE;
Visto il regolamento n. 1049/2001 del Parlamento europeo e del
Consiglio del 30 maggio 2001, relativo all'accesso del pubblico ai
documenti del Parlamento europeo, del Consiglio e della Commissione;
Visto l'accordo interistituzionale del 20 novembre 2002 tra il
Parlamento europeo e il Consiglio relativo all'accesso da parte del
Parlamento europeo alle informazioni sensibili del Consiglio nel
settore della politica di sicurezza e di difesa;
Visto il decreto del Presidente del Consiglio dei ministri 8 aprile
2008, recante «Criteri per l'individuazione delle notizie, delle
informazioni, dei documenti, degli atti, delle attivita', delle cose
e dei luoghi suscettibili di essere oggetto di segreto di Stato»,
pubblicato nella Gazzetta Ufficiale n. 90 del 16 aprile 2008;
Visto il decreto del Presidente del Consiglio dei ministri 12
giugno 2009, n. 7, recante «Determinazione dell'ambito dei singoli
livelli di segretezza, dei soggetti con potere di classifica, dei
criteri d'individuazione delle materie oggetto di classifica nonche'
dei modi di accesso nei luoghi militari o definiti di interesse per
la sicurezza della Repubblica», pubblicato nella Gazzetta Ufficiale
n. 154 del 6 luglio 2009;
Visto il decreto del Presidente del Consiglio dei ministri 22
luglio 2011, recante «Disposizioni per la tutela amministrativa del
segreto di Stato e delle informazioni classificate», pubblicato nella
Gazzetta Ufficiale n. 203 del 1° settembre 2011;
Visto il decreto del Presidente del Consiglio dei ministri 20
luglio 2012, n. 1, e ss.mm.ii., recante «Regolamento disciplinante
l'organizzazione ed il funzionamento degli archivi del DIS, AISE e
AISI», pubblicato, per comunicato, nella Gazzetta Ufficiale n. 178
del 1° agosto 2012;
Visto il decreto del Presidente del Consiglio dei ministri 26
ottobre 2012, n. 2, recante, nella parte II, «Accertamento preventivo
per il rilascio del Nulla Osta di Sicurezza», pubblicato, per
comunicato, nella Gazzetta Ufficiale n. 273 del 22 novembre 2012;
Visto l'accordo interistituzionale del 12 marzo 2014 tra il
Parlamento europeo e il Consiglio relativo alla trasmissione al
Parlamento europeo e al trattamento da parte di quest'ultimo delle
informazioni classificate detenute dal Consiglio su materie che non
rientrano nel settore della politica estera e di sicurezza comune;
Visto l'art. 3, della legge 3 agosto 2007, n. 124, che consente al
Presidente del Consiglio dei ministri di delegare le funzioni che non
sono ad esso attribuite in via esclusiva ad un Ministro senza
portafoglio o a un Sottosegretario di Stato, denominati «Autorita'
delegata»;
Visto l'art. 43, della legge 3 agosto 2007, n. 124, che consente
l'adozione di regolamenti in deroga alle disposizioni dell'art. 17
della legge 23 agosto 1988, n. 400, e ss.mm.ii. e, dunque, in assenza
del parere del Consiglio di Stato;
Visto l'art. 4, comma 3, lettera l), della legge 3 agosto 2007, n.
124, cosi' come modificato con decreto-legge 1° luglio 2009, n. 78,
convertito con legge 3 agosto 2009, n. 102, il quale prevede che il
Dipartimento delle informazioni per la sicurezza assicura
l'attuazione delle disposizioni impartite dal Presidente del
Consiglio dei ministri con apposito regolamento adottato ai sensi
dell'art. 1, comma 2 della medesima legge 3 agosto 2007, n. 124, ai
fini della tutela amministrativa del segreto di Stato e delle
classifiche di segretezza, vigilando altresi' sulla loro corretta
applicazione;
Ravvisata l'esigenza di armonizzare ed integrare le vigenti
disposizioni che disciplinano la protezione e la tutela
amministrativa delle informazioni coperte da segreto di Stato e
quelle classificate con le disposizioni normative in materia di
contratti pubblici, antimafia, prevenzione alla corruzione e di
tutela delle attivita' strategiche di rilevanza nazionale intervenute
successivamente all'entrata in vigore del decreto del Presidente del
Consiglio dei ministri 22 luglio 2011, n. 4;
Acquisito il parere del Comitato parlamentare per la sicurezza
della Repubblica;
Sentito il Comitato interministeriale per la sicurezza della
Repubblica;
A d o t t a
il seguente regolamento:
Art. 1
Definizioni
1. Ai fini del presente regolamento si intende per:
a) "legge", la legge 3 agosto 2007, n. 124, e successive
modificazioni ed integrazioni;
b) "Sicurezza delle informazioni", la salvaguardia e la continua
e completa protezione delle informazioni classificate, a diffusione
esclusiva o coperte da segreto di Stato, attraverso l'adozione di
norme e procedure, organizzative ed esecutive, nei settori delle
abilitazioni di sicurezza, della sicurezza fisica, della tecnologia
delle informazioni e delle comunicazioni;
c) "Autorita' nazionale per la sicurezza" (ANS), il Presidente
del Consiglio dei Ministri nell'esercizio delle funzioni di tutela
amministrativa del segreto di Stato e delle informazioni classificate
o a diffusione esclusiva;
d) "Autorita' delegata", il Ministro senza portafoglio o il
Sottosegretario di Stato delegato dal Presidente del Consiglio dei
Ministri ai sensi dell'art. 3 della legge;
e) "Organizzazione nazionale di sicurezza", il complesso di
Organi, Uffici, unita' amministrative, organizzative, produttive o di
servizio della Pubblica amministrazione e di ogni altra persona
giuridica, ente, associazione od operatore economico legittimati alla
trattazione di informazioni classificate, a diffusione esclusiva o
coperte da segreto di Stato, le cui finalita' consistono
nell'assicurare modalita' di gestione e trattazione uniformi e
sicure, nonche' protezione ininterrotta alle informazioni
classificate, a diffusione esclusiva o coperte da segreto di Stato;
f) "Segreto di Stato", il segreto come definito dall'art. 39,
comma 1, della legge;
g) "Informazione coperta da segreto di Stato", l'informazione, la
notizia, il documento, l'atto, l'attivita', la cosa o il luogo sui
quali il vincolo del segreto di Stato sia stato apposto o opposto e
confermato e, ove possibile, annotato;
h) "Classifica di segretezza", il livello di segretezza
attribuito ad un'informazione ai sensi dell'art. 42 della legge e
dell'art. 4 del decreto del Presidente del Consiglio dei ministri n.
7 del 12 giugno 2009;
i) "Necessita' di conoscere", il principio in base al quale
l'accesso alle informazioni classificate, a diffusione esclusiva o
coperte da segreto di Stato e' consentito esclusivamente alle persone
che ne hanno necessita' per lo svolgimento del proprio incarico;
l) "Necessita' di condividere", il principio in base al quale
l'informazione classificata o a diffusione esclusiva puo' esser
diffusa nel limitato e controllato circuito di coloro che ne hanno
necessita' per lo svolgimento del proprio incarico;
m) "Originatore", il soggetto che ha apposto la classifica di
segretezza all'informazione ai sensi dell'art. 42, comma 2, della
legge e dell'art. 4, comma 7, del decreto del Presidente del
Consiglio dei ministri n. 7 del 12 giugno 2009;
n) "Qualifica di sicurezza" o "qualifica", la sigla o altro
termine convenzionale (es. NATO, UE, altre) che, attribuita ad
un'informazione, classificata e non, indica l'organizzazione
internazionale o dell'Unione europea o il programma intergovernativo
di appartenenza della stessa e il relativo ambito di circolazione;
o) "Informazione classificata", ogni informazione, atto,
attivita', documento, materiale o cosa, cui sia stata attribuita una
delle classifiche di segretezza previste dall'art. 42, comma 3, della
legge;
p) "Documento classificato", l'informazione classificata
rappresentata in forma grafica, fotocinematografica,
elettromagnetica, informatica o in ogni altra forma;
q) "Materiale classificato", qualsiasi oggetto, cosa o componente
di macchinario, prototipo, equipaggiamento, arma, sistema elementare
o dispositivo o parte di esso, compreso il software operativo,
prodotto a mano o meccanicamente, automaticamente o elettronicamente,
finito o in corso di lavorazione, compresi i materiali per la
sicurezza delle comunicazioni (COMSEC), i Communication and
Information System (CIS), nonche' i prodotti della Tecnologia
dell'Informazione (Information and Communication Technology - ICT)
coperti da una classifica di segretezza;
r) "Declassifica", la riduzione ad un livello inferiore o
l'eliminazione della classifica di segretezza gia' attribuita ad
un'informazione;
s) "Informazioni non classificate controllate", le informazioni
non classificate che, in ragione della loro sensibilita', richiedono
misure di protezione minime, individuate nelle disposizioni
applicative del presente decreto;
t) "Trattazione delle informazioni classificate, a diffusione
esclusiva o coperte da segreto di Stato", la gestione, l'accesso, la
conoscenza, la consultazione, l'elaborazione, la selezione,
l'estrazione, il raffronto, l'utilizzo, la comunicazione delle
informazioni classificate o coperte da segreto di Stato o a
diffusione esclusiva;
u) "Gestione dei documenti classificati, a diffusione esclusiva o
coperti da segreto di Stato", la protezione fisica, logica e tecnica,
l'originazione, la spedizione, la contabilizzazione, la diramazione,
la ricezione, la registrazione, la riproduzione, la conservazione, la
custodia, l'archiviazione, il trasporto e la distruzione legittima
dei documenti classificati, nonche' la preparazione dei relativi
plichi;
v) "Informazioni a diffusione esclusiva", informazioni la cui
diffusione e' limitata al solo ambito nazionale italiano, unitamente
o meno ad uno o piu' ambiti nazionali stranieri, per motivi di
protezione di interessi strategici nazionali e delle relazioni con
Paesi stranieri negli ambiti di cui all'art. 40, attraverso la
limitazione della conoscibilita' di informazioni a persone in
possesso della sola cittadinanza italiana, unitamente o meno a
persone che posseggono la sola cittadinanza di uno o piu' Paesi
stranieri, mediante l'indicazione "ESCLUSIVO ITALIA" ovvero
"ESCLUSIVO ITALIA e (denominazione del o dei Paesi stranieri)";
z) "Nulla osta di sicurezza" per le persone fisiche - in seguito
NOS - il provvedimento che legittima alla trattazione di informazioni
classificate SEGRETISSIMO, SEGRETO o RISERVATISSIMO coloro che hanno
la necessita' di conoscerle;
aa) "Violazione della sicurezza", azioni od omissioni contrarie
ad una disposizione in materia di protezione e tutela delle
informazioni classificate o coperte da segreto di Stato, che
potrebbero mettere a repentaglio o compromettere le informazioni
stesse;
bb) "Compromissione di informazioni classificate", la conseguenza
negativa di violazione della sicurezza che deriva dalla conoscenza di
informazioni classificate o coperte da segreto di Stato da parte di
persona non autorizzata ovvero non adeguatamente abilitata ai fini
della sicurezza o che non abbia la necessita' di conoscerle;
cc) "Operatore economico", l'imprenditore, il fornitore e il
prestatore di servizi o il raggruppamento o il consorzio di essi,
come definiti all'art. 3 del decreto legislativo 12 aprile 2006, n.
163;
dd) "Nulla Osta di Sicurezza Industriale Strategico" (NOSIS), il
provvedimento che abilita l'operatore economico, la cui attivita'
assume rilevanza strategica per gli interessi nazionali, alla
trattazione di informazioni classificate e alla partecipazione a gare
d'appalto e procedure finalizzate all'affidamento di contratti
classificati e qualificati NATO e UE e alla relativa esecuzione;
ee) "Abilitazione Preventiva" (AP), il provvedimento che consente
all'operatore economico la partecipazione a gare d'appalto o a
procedure classificate finalizzate all'affidamento di contratti
classificati RISERVATISSIMO e SEGRETO ovvero qualificati;
ff) "Nulla Osta di Sicurezza Industriale" (NOSI), il
provvedimento che abilita l'operatore economico alla trattazione e
gestione di informazioni classificate e consente di partecipare a
gare d'appalto o a procedure classificate finalizzate all'affidamento
di contratti con classifica superiore a SEGRETO, anche qualificati,
nonche', in caso di aggiudicazione, di eseguire lavori, fornire beni
e servizi, realizzare opere, studi e progettazioni ai quali sia stata
attribuita una classifica di segretezza RISERVATISSIMO o superiore
ovvero qualificati;
gg) "Sicurezza fisica", il complesso delle misure di sicurezza
destinate alla protezione fisica delle strutture, delle aree, degli
edifici, degli uffici, dei sistemi di comunicazione e di informazione
e di qualunque altro luogo dove sono trattate o custodite
informazioni classificate o coperte da segreto di Stato;
hh) "INFOSEC" (sicurezza delle informazioni), le misure di
sicurezza atte a tutelare le informazioni classificate o coperte da
segreto di Stato, elaborate e memorizzate con sistemi informatici e
trasmesse con sistemi di comunicazione ed altri sistemi elettronici;
ii) "COMSEC" (sicurezza delle comunicazioni), le misure di
sicurezza crittografica, delle trasmissioni, fisica e del personale,
finalizzate a garantire la protezione delle informazioni classificate
o coperte da segreto di Stato, trattate attraverso sistemi di
comunicazione, nonche' ad impedirne la conoscenza da parte di
soggetti non autorizzati. I materiali COMSEC comprendono i materiali
crittografici in senso stretto (CIFRA) ed i materiali a controllo
COMSEC (CCI - COMSEC Controlled Item), come disciplinato dall'art.
53;
ll) "Communication and Information System" (o "CIS") e' il
complesso di apparati, aree ad accesso riservato, personale
abilitato, hardware, software e procedure operative, finalizzato
all'elaborazione, memorizzazione e trasmissione di informazioni
classificate o coperte da segreto di Stato, attraverso sistemi
informatici;
mm) "Sicurezza CIS" (Communication and Information System), le
misure di sicurezza volte ad assicurare la protezione dei CIS;
nn) "TEMPEST", le tecnologie atte ad eliminare, o ridurre entro
valori non pericolosi ai fini della sicurezza, le emissioni prodotte
dalle apparecchiature elettroniche che elaborano e trattano
informazioni classificate o coperte da segreto di Stato;
oo) "Sicurezza cibernetica", l'insieme delle misure di sicurezza
da attuare per limitare le vulnerabilita' e contrastare gli attacchi
informatici che, anche attraverso le connessioni di rete, possono
causare danni alle infrastrutture o sistemi informatici che trattano
informazioni classificate, a diffusione esclusiva o coperte da
segreto di Stato;
pp) "omologazione dei laboratori TEMPEST, dei CIS, dei centri e
dei sistemi COMSEC", processo strutturato di verifica della
conformita' del sistema ad un insieme di requisiti tecnici di
sicurezza predeterminati;
qq) "autorizzazione" l'abilitazione temporanea dei CIS
all'esercizio, subordinata a condizioni e limiti di utilizzo;
rr) "criteri di valutazione", i criteri applicati per la
valutazione di soluzioni tecnologiche sotto il profilo della
sicurezza definiti da standard riconosciuti a livello internazionale
NATO e UE che, consentono il mutuo riconoscimento di un prodotto o di
un sistema ICT;
ss) "Schema nazionale di certificazione", l'insieme delle regole
e delle procedure nazionali per la valutazione e certificazione di
prodotti e sistemi ICT;
tt) "Ente di certificazione", l'organismo pubblico responsabile
della certificazione dei prodotti e dei sistemi informatici,
dell'accreditamento dei centri di valutazione nonche' della
definizione, dell'applicazione e dell'aggiornamento dello schema
nazionale;
uu) "Centro di valutazione (CE.VA.)", un organismo accreditato
dall'UCSe, per le valutazioni di sicurezza di un prodotto o di un
sistema ICT.