Art. 8
Gruppi di intervento per la sicurezza informatica in caso di
incidente - CSIRT
1. E' istituito, presso la Presidenza del Consiglio dei ministri,
il CSIRT italiano, che svolge i compiti e le funzioni del Computer
Emergency Response Team (CERT) nazionale, di cui all'articolo 16-bis
del decreto legislativo 1° agosto 2003, n. 259, e del CERT-PA, gia'
operante presso l'Agenzia per l'Italia digitale ai sensi
dell'articolo 51 del decreto legislativo 7 marzo 2005, n. 82.
2. L'organizzazione e il funzionamento del CSIRT italiano sono
disciplinati con decreto del Presidente del Consiglio dei ministri ai
sensi dell'articolo 7 del decreto legislativo 30 luglio 1999, n. 303,
da adottare entro il 9 novembre 2018. Per lo svolgimento delle
funzioni del CSIRT italiano, la Presidenza del Consiglio dei ministri
si avvale di un contingente massimo di trenta unita' di personale, di
cui quindici scelti tra dipendenti di altre amministrazioni
pubbliche, in posizione di comando o fuori ruolo, per i quali si
applica l'articolo 17, comma 14, della legge 15 maggio 1997, n. 127,
e quindici da assumere, nel limite della dotazione organica vigente,
in aggiunta alle ordinarie facolta' assunzionali della Presidenza del
Consiglio dei ministri, nel limite di spesa annuo di 1.300.000 di
euro a decorrere dal 2018. Ai relativi oneri si provvede ai sensi
dell'articolo 22.
3. Nelle more dell'adozione del decreto di cui al comma 2, le
funzioni di CSIRT italiano sono svolte dal CERT nazionale unitamente
al CERT-PA in collaborazione tra loro.
4. Il CSIRT italiano assicura la conformita' ai requisiti di cui
all'allegato I, punto 1, svolge i compiti di cui all'allegato I,
punto 2, si occupa dei settori di cui all'allegato II e dei servizi
di cui all'allegato III e dispone di un'infrastruttura di
informazione e comunicazione appropriata, sicura e resiliente a
livello nazionale.
5. Il CSIRT italiano definisce le procedure per la prevenzione e la
gestione degli incidenti informatici.
6. Il CSIRT italiano garantisce la collaborazione effettiva,
efficiente e sicura, nella rete di CSIRT di cui all'articolo 11.
7. La Presidenza del Consiglio dei ministri comunica alla
Commissione europea il mandato del CSIRT italiano e le modalita' di
trattamento degli incidenti a questo affidati.
8. Il CSIRT italiano, per lo svolgimento delle proprie funzioni,
puo' avvalersi anche dell'Agenzia per l'Italia digitale.
9. Le funzioni svolte dal Ministero dello sviluppo economico in
qualita' di CERT nazionale ai sensi dell'articolo 16-bis, del decreto
legislativo 1° agosto 2003, n. 259, nonche' quelle svolte da Agenzia
per l'Italia digitale in qualita' di CERT-PA, ai sensi dell'articolo
51 del decreto legislativo 7 marzo 2005, n. 82, sono trasferite al
CSIRT italiano a far data dalla entrata in vigore del decreto di cui
al comma 2.
10. Per le spese di funzionamento del CSIRT italiano e' autorizzata
la spesa di 2.700.000 euro per l'anno 2018, di cui 2.000.000 per le
spese di investimenti, e di 700.000 annui a decorrere dall'anno 2019.
A tali oneri si provvede ai sensi dell'articolo 22.
Note all'art. 8:
- Per il testo dell'art. 16-bis del citato decreto
legislativo 1° agosto 2003, n. 259, si veda nelle note
all'art. 1.
- Si riporta il testo dell'art. 51 del decreto
legislativo 7 marzo 2005, n. 82, recante: «Codice
dell'amministrazione digitale»:
«Art. 51 (Sicurezza e disponibilita' dei dati, dei
sistemi e delle infrastrutture delle pubbliche
amministrazioni). - 1. Con le Linee guida sono individuate
le soluzioni tecniche idonee a garantire la protezione, la
disponibilita', l'accessibilita', l'integrita' e la
riservatezza dei dati e la continuita' operativa dei
sistemi e delle infrastrutture.
1-bis. AgID attua, per quanto di competenza e in
raccordo con le altre autorita' competenti in materia, il
Quadro strategico nazionale per la sicurezza dello spazio
cibernetico e il Piano nazionale per la sicurezza
cibernetica e la sicurezza informatica. AgID, in tale
ambito:
a) coordina, tramite il Computer Emergency Response
Team Pubblica Amministrazione (CERT-PA) istituito nel suo
ambito, le iniziative di prevenzione e gestione degli
incidenti di sicurezza informatici;
b) promuove intese con le analoghe strutture
internazionali;
c) segnala al Ministro per la semplificazione e la
pubblica amministrazione il mancato rispetto delle regole
tecniche di cui al comma 1 da parte delle pubbliche
amministrazioni.
2. I documenti informatici delle pubbliche
amministrazioni devono essere custoditi e controllati con
modalita' tali da ridurre al minimo i rischi di
distruzione, perdita, accesso non autorizzato o non
consentito o non conforme alle finalita' della raccolta.
2-bis. (abrogato).
2-ter. I soggetti di cui all'art. 2, comma 2,
aderiscono ogni anno ai programmi di sicurezza preventiva
coordinati e promossi da AgID secondo le procedure dettate
dalla medesima AgID con le Linee guida.
2-quater. I soggetti di cui art. 2, comma 2,
predispongono, nel rispetto delle Linee guida adottate
dall'AgID, piani di emergenza in grado di assicurare la
continuita' operativa delle operazioni indispensabili per i
servizi erogati e il ritorno alla normale operativita'.
Onde garantire quanto previsto, e' possibile il ricorso
all'art. 15 della legge 7 agosto 1990, n. 241, per
l'erogazione di servizi applicativi, infrastrutturali e di
dati, con ristoro dei soli costi di funzionamento. Per le
Amministrazioni dello Stato coinvolte si provvede mediante
rimodulazione degli stanziamenti dei pertinenti capitoli di
spesa o mediante riassegnazione alla spesa degli importi
versati a tale titolo ad apposito capitolo di entrata del
bilancio statale.».
- Si riporta il testo dell'art. 7 del decreto
legislativo 30 luglio 1999, n. 303, recante: «Ordinamento
della Presidenza del Consiglio dei ministri, a norma
dell'art. 11 della legge 15 marzo 1997, n. 59»:
«Art. 7 (Autonomia organizzativa). - 1. Per lo
svolgimento delle funzioni istituzionali di cui all'art. 2,
e per i compiti di organizzazione e gestione delle
occorrenti risorse umane e strumentali, il Presidente
individua con propri decreti le aree funzionali omogenee da
affidare alle strutture in cui si articola il Segretariato
generale.
2. Con propri decreti, il Presidente determina le
strutture della cui attivita' si avvalgono i Ministri o
Sottosegretari da lui delegati.
3. I decreti di cui ai commi 1 e 2 indicano il numero
massimo degli uffici in cui si articola ogni Dipartimento e
dei servizi in cui si articola ciascun ufficio. Alla
organizzazione interna delle strutture medesime provvedono,
nell'ambito delle rispettive competenze, il Segretario
generale ovvero il Ministro o Sottosegretario delegato.
4. Per lo svolgimento di particolari compiti per il
raggiungimento di risultati determinati o per la
realizzazione di specifici programmi, il Presidente
istituisce, con proprio decreto, apposite strutture di
missione, la cui durata temporanea, comunque non superiore
a quella del Governo che le ha istituite, e' specificata
dall'atto istitutivo. Entro trenta giorni dalla data di
entrata in vigore della presente disposizione, il
Presidente puo' ridefinire le finalita' delle strutture di
missione gia' operanti: in tale caso si applica l'art. 18,
comma 3, della legge 23 agosto 1988, n. 400, e successive
modificazioni. Sentiti il Comitato nazionale per la
bioetica e gli altri organi collegiali che operano presso
la Presidenza, il Presidente, con propri decreti, ne
disciplina le strutture di supporto.
4-bis. Per le attribuzioni che implicano l'azione
unitaria di piu' dipartimenti o uffici a questi
equiparabili, il Presidente puo' istituire con proprio
decreto apposite unita' di coordinamento
interdipartimentale, il cui responsabile e' nominato ai
sensi dell'art. 18, comma 3, della legge 23 agosto 1988, n.
400. Dall'attuazione del presente comma non devono in ogni
caso derivare nuovi o maggiori oneri per il bilancio dello
Stato.
5. Il Segretario generale e' responsabile del
funzionamento del Segretariato generale e della gestione
delle risorse umane e strumentali della Presidenza. Il
Segretario generale puo' essere coadiuvato da uno o piu'
Vicesegretari generali. Per le strutture affidate a
Ministri o Sottosegretari, le responsabilita' di gestione
competono ai funzionari preposti alle strutture medesime,
ovvero, nelle more della preposizione, a dirigenti
temporaneamente delegati dal Segretario generale, su
indicazione del Ministro o Sottosegretario competente.
6. Le disposizioni che disciplinano i poteri e le
responsabilita' dirigenziali nelle pubbliche
amministrazioni, con particolare riferimento alla
valutazione dei risultati, si applicano alla Presidenza nei
limiti e con le modalita' da definirsi con decreto del
Presidente, sentite le organizzazioni sindacali, tenuto
conto della peculiarita' dei compiti della Presidenza. Il
Segretario generale e, per le strutture ad essi affidate, i
Ministri o Sottosegretari delegati, indicano i parametri
organizzativi e funzionali, nonche' gli obiettivi di
gestione e di risultato cui sono tenuti i dirigenti
generali preposti alle strutture individuate dal
Presidente.
7. Il Presidente, con propri decreti, individua gli
uffici di diretta collaborazione propri e, sulla base delle
relative proposte, quelli dei Ministri senza portafoglio o
sottosegretari della Presidenza, e ne determina la
composizione.
8. La razionalita' dell'ordinamento e
dell'organizzazione della Presidenza e' sottoposta a
periodica verifica triennale, anche mediante ricorso a
strutture specializzate pubbliche o private. Il Presidente
informa le Camere dei risultati della verifica. In sede di
prima applicazione del presente decreto, la verifica e'
effettuata dopo due anni.».
- Si riporta il testo dell'art. 17, comma 14, della
legge 15 maggio 1997, n. 127, recante: «Misure urgenti per
lo snellimento dell'attivita' amministrativa e dei
procedimenti di decisione e di controllo»:
«Art. 17 (Ulteriori disposizioni in materia di
semplificazione dell'attivita' amministrativa e di
snellimento dei procedimenti di decisione e di controllo).
- 1-13 (Omissis).
14.Nel caso in cui disposizioni di legge o
regolamentari dispongano l'utilizzazione presso le
amministrazioni pubbliche di un contingente di personale in
posizione di fuori ruolo o di comando, le amministrazioni
di appartenenza sono tenute ad adottare il provvedimento di
fuori ruolo o di comando entro quindici giorni dalla
richiesta.
(Omissis)».