                               Art. 4 
 
          Modalita' e criteri procedurali di individuazione 
                 dei soggetti inclusi nel perimetro 
 
  1. Fermo restando quanto previsto per gli organismi di informazione
per  la  sicurezza  dall'articolo  1,  comma  2,  lettera   a),   del
decreto-legge, ai fini dell'individuazione dei soggetti  inclusi  nel
perimetro, le amministrazioni di cui  all'articolo  3,  comma  2,  in
relazione ai settori di attivita' di competenza di  cui  al  medesimo
articolo: 
    a) identificano le funzioni essenziali e i servizi essenziali  di
diretta pertinenza ovvero esercitati o prestati da soggetti  vigilati
o  da  operatori  anche  privati,  che  dipendono  da  reti,  sistemi
informativi  o   servizi   informatici,   la   cui   interruzione   o
compromissione  possa  arrecare  un  pregiudizio  per  la   sicurezza
nazionale; 
    b) valutano a tali fini, tenendo conto della rilevanza di ciascun
criterio in relazione agli specifici settori di attivita': 
      1) quanto agli  effetti  di  una  interruzione  della  funzione
essenziale o del  servizio  essenziale,  la  estensione  territoriale
della funzione essenziale o del servizio essenziale, il numero  e  la
tipologia di utenti potenzialmente interessati, i livelli di servizio
garantiti,  ove  previsti,  le  possibili  ricadute  economiche,  ove
applicabili, e ogni altro elemento rilevante; 
      2) quanto agli effetti della compromissione  dello  svolgimento
della funzione essenziale o del servizio essenziale,  le  conseguenze
della perdita di disponibilita', integrita' o riservatezza dei dati e
delle informazioni trattati per il loro svolgimento,  avuto  riguardo
alla tipologia ed alla quantita' degli stessi, alla loro sensibilita'
ed allo scopo cui sono destinati; 
      3) la possibile mitigazione, rispetto all'interruzione  o  alla
compromissione dello svolgimento  della  funzione  essenziale  o  del
servizio  essenziale,  in   relazione   al   tempo   necessario   per
ripristinarne lo  svolgimento  in  condizioni  di  sicurezza  e  alla
possibilita' che lo  svolgimento  della  funzione  essenziale  o  del
servizio  essenziale  possano  o  meno   essere   assicurati,   anche
temporaneamente,  con  modalita'  prive  di  supporto  informatizzato
ovvero anche parzialmente da altri soggetti; 
    c) individuano le funzioni essenziali e i servizi  essenziali  di
cui alla lettera a) per i quali, sulla base dei criteri di  cui  alla
lettera b), in caso di interruzione o compromissione, il  pregiudizio
per la sicurezza nazionale e' ritenuto massimo e le  possibilita'  di
mitigazione minime, e li graduano in una scala crescente; 
    d) individuano i soggetti che svolgono le funzioni essenziali o i
servizi  essenziali  di  cui  alla  lettera  c).  In  fase  di  prima
applicazione e fino all'aggiornamento del presente decreto, ai  sensi
dell'articolo 1, comma  5,  del  decreto-legge,  sono  individuati  i
soggetti titolari delle funzioni essenziali o dei servizi  essenziali
di  cui  alla  lettera  c),  un'interruzione  delle   cui   attivita'
comporterebbe il mancato svolgimento della funzione o del servizio.

          Note all'art. 4: 
              - Per il riferimento dell'art. 1 del  decreto-legge  21
          settembre 2019,  n.  105,  convertito,  con  modificazioni,
          dalla legge 18 novembre 2019, n. 133, si  veda  nelle  note
          alle premesse.