IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI Vista la legge 3 agosto 2007, n. 124, recante "Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto", come modificata e integrata dalla legge 7 agosto 2012, n. 133, e, in particolare, l'art. 1, comma 3-bis, che dispone che il Presidente del Consiglio dei Ministri, sentito il Comitato interministeriale per la sicurezza della Repubblica, adotti apposite direttive per rafforzare le attivita' di informazione per la protezione delle infrastrutture critiche materiali e immateriali, con particolare riguardo alla protezione cibernetica e alla sicurezza informatica nazionali, e l'art. 38, comma 1-bis, ai sensi del quale il Governo allega alla relazione sulla politica dell'informazione per la sicurezza e sui risultati ottenuti, che presenta annualmente al Parlamento, un documento di sicurezza nazionale, concernente le attivita' relative alla protezione delle infrastrutture critiche materiali e immateriali, nonche' alla protezione cibernetica e alla sicurezza informatica; Visto l'art. 4, comma 3, lett. d-bis) della citata legge 3 agosto 2007, n. 124, ai sensi del quale il Dipartimento delle informazioni per la sicurezza coordina le attivita' di ricerca informativa finalizzate a rafforzare la protezione cibernetica e la sicurezza informatica nazionali; Visto l'articolo 1 della legge 1° aprile 1981, n. 121; Visti il decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, recante misure urgenti per il contrasto del terrorismo internazionale che, all'articolo 7-bis, dispone che, ferme restando le competenze dei Servizi di informazione per la sicurezza, i competenti organi del Ministero dell'interno assicurano i servizi di protezione informatica delle infrastrutture critiche informatizzate di interesse nazionale ed il decreto del Ministro dell'interno 9 gennaio 2008, con il quale sono state individuate le predette infrastrutture ed e' stata prevista l'istituzione del Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche; Visti l'art. 14 del decreto legislativo 30 luglio 1999, n. 300, recante "Riforma dell'organizzazione del Governo, a norma dell'articolo 11 della legge 15 marzo 1997, n. 59", che attribuisce, tra l'altro, al Ministero dell'interno competenze in materia di difesa civile ed il decreto del Ministro dell'interno 28 settembre 2001 che istituisce la Commissione interministeriale tecnica di difesa civile; Visti il decreto legislativo 15 marzo 2010, n. 66, recante "Codice dell'ordinamento militare" e, in particolare, l'art. 89 che individua le attribuzioni delle Forze armate e le disposizioni e direttive conseguenti che disciplinano i compiti attinenti alla difesa cibernetica; Visto il decreto legislativo 1° agosto 2003, n. 259 recante "Codice delle comunicazioni elettroniche" e, in particolare, le disposizioni che affidano al Ministero dello sviluppo economico competenze in materia di sicurezza ed integrita' delle reti pubbliche di comunicazione e dei servizi di comunicazione elettronica accessibili al pubblico; Visto il decreto-legge 22 giugno 2012, n. 83, convertito, con modificazioni, dalla legge 7 agosto 2012, n. 134, che ha istituito l'Agenzia per l'Italia digitale, cui sono affidate, tra l'altro, le funzioni attribuite all'Istituto superiore delle comunicazioni e delle tecnologie dell'informazione in materia di sicurezza delle reti, nonche' quelle di coordinamento, indirizzo e regolazione gia' affidate a DigitPA; Visto il decreto legislativo 7 marzo 2005, n. 82, recante il Codice dell'amministrazione digitale e, in particolare, le disposizioni in materia di sicurezza informatica; Visto il decreto interministeriale 14 gennaio 2003, cosi' come modificato dal decreto 5 settembre 2011, che ha istituito l'Osservatorio per la sicurezza delle reti e la tutela delle comunicazioni; Vista la legge 24 febbraio 1992, n. 225, recante "Istituzione del Servizio nazionale della protezione civile; Visto il decreto legislativo 11 aprile 2011, n. 61, attuativo della direttiva 2008/114/CE recante l'individuazione e la designazione delle infrastrutture critiche europee e la valutazione della necessita' di migliorarne la protezione; Visto l'art. 5, comma 2, lett. h), della legge 23 agosto 1988, n. 400; Visto il decreto legislativo 30 luglio 1999, n. 303, recante "Ordinamento della Presidenza del Consiglio dei Ministri a norma dell'articolo 11 della legge 15 marzo 1997, n. 59"; Visto il decreto del Presidente del Consiglio dei ministri 1° ottobre 2012 recante "Ordinamento delle strutture generali della Presidenza del Consiglio dei Ministri"; Visto il decreto del Presidente del Consiglio dei Ministri 5 maggio 2010, recante l'Organizzazione nazionale per la gestione di crisi; Vista la mozione approvata in data 23 maggio 2012, con la quale il Parlamento ha impegnato il Governo a porre in essere ogni idonea iniziativa per giungere alla costituzione presso la Presidenza del Consiglio dei Ministri di un Comitato interministeriale con il compito di elaborare una strategia nazionale per la sicurezza dello spazio cibernetico, di definire gli indirizzi generali e le direttive da perseguire nel quadro della politica nazionale ed internazionale in tale settore e di individuare, infine, gli interventi normativi ritenuti necessari; Ritenuto che, in ragione delle caratteristiche della minaccia cibernetica quale rischio per la sicurezza nazionale, sia necessario definire un quadro strategico nazionale, con la specificazione dei ruoli che le diverse componenti istituzionali devono esercitare per assicurare la sicurezza cibernetica del Paese e la predisposizione di meccanismi e procedure di azione secondo un approccio interdisciplinare e coordinato, su piu' livelli, che coinvolga tutti gli attori pubblici, ferme restando le attribuzioni previste dalla normativa vigente per ciascuno di essi, nonche' gli operatori privati interessati; Ritenuto altresi' necessario creare le condizioni, attraverso la definizione e precisazione di compiti ed attivita' delle diverse componenti istituzionali ed anche con l'individuazione di organi nazionali di riferimento per la sicurezza cibernetica in grado di interagire con le corrispondenti autorita' estere, affinche' l'Italia possa partecipare pienamente ai diversi consessi di cooperazione internazionale, sia in ambito bilaterale e multilaterale, sia dell'UE e della NATO; Considerato l'attuale quadro legislativo, improntato alla distribuzione di funzioni e compiti aventi rilievo per la sicurezza cibernetica tra molteplici soggetti istituzionali competenti nelle diverse fasi della prevenzione degli eventi dannosi nello spazio cibernetico; dell'elaborazione di linee guida e standard tecnici di sicurezza; della difesa dello Stato da attacchi nello spazio cibernetico; della prevenzione e repressione dei crimini informatici; della preparazione e della risposta nei confronti di eventi cibernetici; Ritenuto che, sulla base del citato dato normativo, la definizione di un quadro strategico nazionale in materia di sicurezza cibernetica debba procedere secondo un percorso di graduale e progressiva razionalizzazione di ruoli, strumenti e procedure con l'obiettivo di accrescere la capacita' del Paese di assicurare la sicurezza dello spazio cibernetico, ove necessario anche con interventi di carattere normativo; Ritenuto che, nell'immediato, debbano essere create le condizioni perche', a legislazione vigente, possa essere sviluppata un'azione integrata che metta a fattor comune le diverse attribuzioni istituzionali delineate dal quadro normativo, ed inoltre assicuri, in una logica di partenariato, il pieno apporto, nel rispetto di quanto previsto dalla normativa vigente, anche delle competenze proprie degli operatori privati, interessati alla gestione di sistemi e reti di interesse strategico; Ravvisata a tali fini la necessita' di impartire indirizzi affinche' venga a delinearsi un'architettura istituzionale basata sulla chiara individuazione dei soggetti chiamati ad intervenire e dei compiti ad essi affidati, nel rispetto delle competenze gia' attribuite dalla legge alle diverse componenti e dei meccanismi di interazione tra di esse; Ritenuto che tale architettura debba svilupparsi su tre distinti livelli d'intervento, di cui il primo di indirizzo politico e coordinamento strategico, cui affidare l'individuazione degli obiettivi funzionali a garantire la protezione cibernetica e la sicurezza informatica nazionali, anche attraverso l'elaborazione di un Piano nazionale per la sicurezza dello spazio cibernetico, e che tale livello debba anche sovraintendere allo studio e alla predisposizione di proposte di intervento normativo che agevolino il raggiungimento dei citati obiettivi; il secondo di supporto, a carattere permanente, con funzioni di raccordo nei confronti di tutte le Amministrazioni ed enti competenti, ai fini dell'attuazione degli obiettivi e delle linee di azione indicate dalla pianificazione nazionale e che provveda, al contempo, a programmare l'attivita' operativa a livello interministeriale e ad attivare le procedure di allertamento in caso di crisi; il terzo livello, di gestione delle crisi, con il compito di curare e coordinare le attivita' di risposta e di ripristino della funzionalita' dei sistemi, avvalendosi di tutte le componenti interessate; Ritenuto che, nel quadro del livello di supporto all'attuazione della pianificazione nazionale, debbano essere disciplinate in maniera peculiare, tenuto conto della loro specificita', le attivita' di informazione per la sicurezza con l'obiettivo di potenziare le attivita' di ricerca informativa e di analisi finalizzate a rafforzare la protezione cibernetica e la sicurezza informatica, facendo ricorso agli strumenti ed alle procedure di cui alla legge n. 124/2007 e, in particolare, alle direttive del Presidente del Consiglio ai sensi dell'art. 1, comma 3-bis; Ritenuto che il modello organizzativo-funzionale cosi' delineato debba assicurare il pieno raccordo, in particolare, con le funzioni del Ministero dello sviluppo economico e dell'Agenzia per l'Italia digitale, nonche' con l'attivita' e le strutture di difesa dello spazio cibernetico del Ministero della difesa, con quelle del Ministero dell'interno, dedicate alla prevenzione e al contrasto del crimine informatico e alla difesa civile, e con quelle della protezione civile; Considerato che la legge attribuisce al Comitato interministeriale per la sicurezza della Repubblica (CISR) di cui all'articolo 5 della legge n. 124/2007 compiti di consulenza, proposta e deliberazione sugli indirizzi e sulle finalita' generali della politica dell'informazione per la sicurezza, nonche' di elaborazione degli indirizzi generali e degli obiettivi fondamentali da perseguire nel quadro della politica dell'informazione per la sicurezza e che, in particolare, ai sensi dell'art. 1, comma 3-bis, della predetta legge, introdotto dalla legge n. 133/2012, il CISR e' sentito ai fini dell'adozione da parte del Presidente del Consiglio dei ministri delle direttive in materia di sicurezza cibernetica; Ravvisata l'esigenza di dover assicurare, nella materia della sicurezza cibernetica, un solido e affidabile meccanismo di raccordo tra la politica dell'informazione per la sicurezza e gli altri ambiti di azione che vengono in rilievo nella specifica materia, e di dovere per questo concentrare in un unico organismo interministeriale l'organo di indirizzo politico e di coordinamento strategico nel campo della sicurezza cibernetica; Ritenuto in considerazione dei compiti attribuiti dalla legge al CISR e della composizione del Comitato, di individuare tale organismo interministeriale nello stesso CISR, attribuendogli, ai sensi dell'art. 5, comma 2, lett. h) della legge 23 agosto 1988, n. 400, i compiti suindicati; Ritenuto che il CISR, nell'esercizio delle citate funzioni, debba essere adeguatamente e costantemente supportato da una attivita' istruttoria, di approfondimento e di valutazione e che a tali fini il Comitato interministeriale possa avvalersi dell'organismo collegiale di coordinamento istituito presso il DIS, ai sensi dell'art. 4, comma 5, del DPCM 26 ottobre 2012, n. 2, recante l'organizzazione ed il funzionamento del Dipartimento delle informazione per la sicurezza; Ritenuto altresi' che per un efficace assolvimento dei compiti attribuiti al CISR sia necessario assicurare un qualificato contributo di carattere scientifico di informazione, di valutazione e di proposta e che, per questo, appare opportuno istituire presso la Scuola di formazione del DIS un organo dedicato, cui affidare anche compiti funzionali alla promozione e diffusione di una cultura della sicurezza cibernetica; Ravvisata la necessita', ai fini dell'attuazione delle linee di intervento contenute nel Piano nazionale di sicurezza dello spazio cibernetico, in particolare per cio' che riguarda la preparazione e la pianificazione interministeriale per la gestione delle crisi, che parallelamente alle attivita' di acquisizione informativa e di analisi demandate agli organismi informativi di cui alla legge n. 124/2007, le attivita' delle diverse Amministrazioni ed enti svolte secondo le previsioni normative trovino una sede di raccordo che agevoli e favorisca lo svolgimento in forma coordinata delle attribuzioni di ciascuna componente; Ritenuto a tale scopo, di prevedere la costituzione in via permanente di un Nucleo per la sicurezza cibernetica, da istituire presso l'Ufficio del Consigliere militare del Presidente del Consiglio dei Ministri; Ritenuto infine, che una ulteriore e specifica esigenza di coordinamento si ponga con riguardo alla gestione operativa delle crisi e all'adozione delle misure necessarie al ripristino della funzionalita' dei sistemi, richiedendo la chiara definizione di ruoli e procedure in modo da garantire un processo decisionale unitario e, al contempo, l'interazione degli organi nazionali preposti alla gestione dell'emergenza con gli omologhi organismi esistenti a livello internazionale, e che, per le suddette finalita', debba essere previsto un organo interministeriale da attivare in caso di crisi; Ritenuto di individuare tale organo nel Nucleo interministeriale situazione e pianificazione di cui al DPCM 5 maggio 2010, prevedendone una configurazione, quale "Tavolo interministeriale di crisi cibernetica", funzionale all'ottimale gestione delle crisi di natura cibernetica, e di disporre che detto organo, per gli aspetti tecnici di computer emergency response, si avvalga del CERT nazionale istituito presso il Ministero dello sviluppo economico ai sensi del decreto legislativo n. 259/2003; Sentito il Comitato interministeriale per la sicurezza della Repubblica; Dispone: Art. 1 Oggetto 1. Il presente decreto definisce, in un contesto unitario e integrato, l'architettura istituzionale deputata alla tutela della sicurezza nazionale relativamente alle infrastrutture critiche materiali e immateriali, con particolare riguardo alla protezione cibernetica e alla sicurezza informatica nazionali, indicando a tal fine i compiti affidati a ciascuna componente ed i meccanismi e le procedure da seguire ai fini della riduzione della vulnerabilita', della prevenzione dei rischi, della risposta tempestiva alle aggressioni e del ripristino immediato della funzionalita' dei sistemi in caso di crisi. 2. I soggetti compresi nell'architettura istituzionale di cui al comma 1 operano nel rispetto delle competenze gia' attribuite dalla legge a ciascuno di essi. 3. Il modello organizzativo-funzionale delineato con il presente decreto persegue la piena integrazione con le attivita' di competenza del Ministero dello sviluppo economico e dell'Agenzia per l'Italia digitale, nonche' con quelle espletate dalle strutture del Ministero della difesa dedicate alla protezione delle proprie reti e sistemi nonche' alla condotta di operazioni militari nello spazio cibernetico, dalle strutture del Ministero dell'interno, dedicate alla prevenzione e al contrasto del crimine informatico e alla difesa civile, e quelle della protezione civile.