Art. 17
Accordi di condivisione delle informazioni sulla sicurezza
informatica
1. I soggetti che rientrano nell'ambito di applicazione del
presente decreto e laddove opportuno anche ulteriori soggetti,
possono scambiarsi, su base volontaria, pertinenti informazioni sulla
sicurezza informatica, comprese informazioni relative a minacce
informatiche, quasi-incidenti, vulnerabilita', tecniche e procedure,
indicatori di compromissione, tattiche avversarie, informazioni
specifiche sugli attori delle minacce, allarmi di sicurezza
informatica e raccomandazioni concernenti la configurazione degli
strumenti di sicurezza informatica per individuare le minacce
informatiche, se tale condivisione di informazioni:
a) mira a prevenire o rilevare gli incidenti, a recuperare dagli
stessi o a mitigarne l'impatto;
b) aumenta il livello di sicurezza informatica, in particolare
sensibilizzando in merito alle minacce informatiche, limitando o
inibendo la capacita' di diffusione di tali minacce e sostenendo una
serie di capacita' di difesa, la risoluzione e la divulgazione delle
vulnerabilita', tecniche di rilevamento, contenimento e prevenzione
delle minacce, strategie di mitigazione o fasi di risposta e
recupero, oppure promuovendo la ricerca collaborativa sulle minacce
informatiche tra soggetti pubblici e privati.
2. Lo scambio di informazioni di cui al comma 1 avviene nell'ambito
di comunita' di soggetti essenziali e di soggetti importanti e, se
opportuno, nell'ambito dei loro fornitori o fornitori di servizi.
Tale scambio e' attuato mediante accordi di condivisione delle
informazioni sulla sicurezza informatica che tengono conto della
natura potenzialmente sensibile delle informazioni condivise.
3. L'Agenzia per la cybersicurezza nazionale, nello svolgimento
delle funzioni di Autorita' nazionale competente NIS e di CSIRT
Italia, ove possibile, tenuto conto degli orientamenti e delle
migliori pratiche non vincolanti elaborati dall'ENISA, favorisce la
conclusione degli accordi di condivisione delle informazioni sulla
sicurezza informatica di cui al comma 2 e puo' specificare gli
elementi operativi, compreso l'uso di piattaforme TIC dedicate e di
strumenti di automazione, i contenuti e le condizioni degli accordi
di condivisione delle informazioni. Nello stabilire i dettagli
relativi alla partecipazione delle autorita' pubbliche a tali
accordi, l'Autorita' nazionale competente NIS puo' imporre
condizioni, secondo le modalita' di cui all'articolo 40, comma 5,
alinea, per le informazioni messe a disposizione dalle autorita'
competenti e dal CSIRT Italia. L'Agenzia per la cybersicurezza
nazionale, nello svolgimento delle funzioni di Autorita' nazionale
competente NIS e di CSIRT Italia, supporta i soggetti essenziali e i
soggetti importanti per l'applicazione di tali accordi conformemente
alle loro misure strategiche di cui all'articolo 9, comma 3, lettera
h).
4. I soggetti essenziali e i soggetti importanti notificano
all'Autorita' nazionale competente NIS la loro partecipazione agli
accordi di condivisione delle informazioni sulla sicurezza
informatica di cui al comma 2 al momento della conclusione di tali
accordi o, ove applicabile, del loro ritiro da tali accordi, una
volta che questo e' divenuto effettivo.
5. E' assicurato l'accesso degli Organismi di informazione per la
sicurezza di cui agli articoli 4, 6 e 7 della legge n. 124 del 2007
alle informazioni riguardanti l'elenco dei soggetti essenziali e dei
soggetti importanti, tramite la piattaforma digitale di cui
all'articolo 7, le notifiche di cui agli articoli 25 e 26, le
vulnerabilita' rilevate nell'applicazione del presente decreto, e le
ulteriori informazioni rispetto a quelle di cui al presente comma che
dovessero essere ritenute utili, relative alle attivita' di cui al
presente decreto, previe intese tra i predetti Organismi e l'Agenzia
per la cybersicurezza nazionale.
Note all'art. 17:
- Si riporta il testo degli articoli 4, 6 e 7 della
legge n. 124 del 2007 (Sistema di informazione per la
sicurezza della Repubblica e nuova disciplina del segreto),
pubblicata nella Gazzetta ufficiale del 13 agosto 2007, n.
187:
«Art. 4 (Dipartimento delle informazioni per la
sicurezza). - 1. Per lo svolgimento dei compiti di cui al
comma 3 e' istituito, presso la Presidenza del Consiglio
dei ministri, il Dipartimento delle informazioni per la
sicurezza (DIS).
2. Il Presidente del Consiglio dei ministri e
l'Autorita' delegata, ove istituita, si avvalgono del DIS
per l'esercizio delle loro competenze, al fine di
assicurare piena unitarieta' nella programmazione della
ricerca informativa del Sistema di informazione per la
sicurezza, nonche' nelle analisi e nelle attivita'
operative dei servizi di informazione per la sicurezza.
3. Il DIS svolge i seguenti compiti:
a) coordina l'intera attivita' di informazione per
la sicurezza, verificando altresi' i risultati delle
attivita' svolte dall'AISE e dall'AISI, ferma restando la
competenza dei predetti servizi relativamente alle
attivita' di ricerca informativa e di collaborazione con i
servizi di sicurezza degli Stati esteri;
b) e' costantemente informato delle operazioni di
competenza dei servizi di informazione per la sicurezza e
trasmette al Presidente del Consiglio dei ministri le
informative e le analisi prodotte dal Sistema di
informazione per la sicurezza;
c) raccoglie le informazioni, le analisi e i
rapporti provenienti dai servizi di informazione per la
sicurezza, dalle Forze armate e di polizia, dalle
amministrazioni dello Stato e da enti di ricerca anche
privati; ferma l'esclusiva competenza dell'AISE e dell'AISI
per l'elaborazione dei rispettivi piani di ricerca
operativa, elabora analisi strategiche o relative a
particolari situazioni; formula valutazioni e previsioni,
sulla scorta dei contributi analitici settoriali dell'AISE
e dell'AISI;
d) elabora, anche sulla base delle informazioni e
dei rapporti di cui alla lettera c), analisi globali da
sottoporre al CISR, nonche' progetti di ricerca
informativa, sui quali decide il Presidente del Consiglio
dei ministri, dopo avere acquisito il parere del CISR;
d-bis) sulla base delle direttive di cui
all'articolo 1, comma 3-bis, nonche' delle informazioni e
dei rapporti di cui alla lettera c) del presente comma,
coordina le attivita' di ricerca informativa finalizzate a
rafforzare la protezione cibernetica e la sicurezza
informatica nazionali;
e) promuove e garantisce, anche attraverso riunioni
periodiche, lo scambio informativo tra l'AISE, l'AISI e le
Forze di polizia; comunica al Presidente del Consiglio dei
ministri le acquisizioni provenienti dallo scambio
informativo e i risultati delle riunioni periodiche;
f) trasmette, su disposizione del Presidente del
Consiglio dei ministri, sentito il CISR, informazioni e
analisi ad amministrazioni pubbliche o enti, anche ad
ordinamento autonomo, interessati all'acquisizione di
informazioni per la sicurezza;
g) elabora, d'intesa con l'AISE e l'AISI, il piano
di acquisizione delle risorse umane e materiali e di ogni
altra risorsa comunque strumentale all'attivita' dei
servizi di informazione per la sicurezza, da sottoporre
all'approvazione del Presidente del Consiglio dei ministri;
h) sentite l'AISE e l'AISI, elabora e sottopone
all'approvazione del Presidente del Consiglio dei ministri
lo schema del regolamento di cui all'articolo 21, comma 1;
i) esercita il controllo sull'AISE e sull'AISI,
verificando la conformita' delle attivita' di informazione
per la sicurezza alle leggi e ai regolamenti, nonche' alle
direttive e alle disposizioni del Presidente del Consiglio
dei ministri. Per tale finalita', presso il DIS e'
istituito un ufficio ispettivo le cui modalita' di
organizzazione e di funzionamento sono definite con il
regolamento di cui al comma 7. Con le modalita' previste da
tale regolamento e' approvato annualmente, previo parere
del Comitato parlamentare di cui all'articolo 30, il piano
annuale delle attivita' dell'ufficio ispettivo. L'ufficio
ispettivo, nell'ambito delle competenze definite con il
predetto regolamento, puo' svolgere, anche a richiesta del
direttore generale del DIS, autorizzato dal Presidente del
Consiglio dei ministri, inchieste interne su specifici
episodi e comportamenti verificatisi nell'ambito dei
servizi di informazione per la sicurezza;
l) assicura l'attuazione delle disposizioni
impartite dal Presidente del Consiglio dei Ministri con
apposito regolamento adottato ai sensi dell'articolo 1,
comma 2, ai fini della tutela amministrativa del segreto di
Stato e delle classifiche di segretezza, vigilando altresi'
sulla loro corretta applicazione;
m) cura le attivita' di promozione e diffusione
della cultura della sicurezza e la comunicazione
istituzionale;
n) impartisce gli indirizzi per la gestione
unitaria del personale di cui all'articolo 21, secondo le
modalita' definite dal regolamento di cui al comma 1 del
medesimo articolo;
n-bis) gestisce unitariamente, ferme restando le
competenze operative dell'AISE e dell'AISI, gli
approvvigionamenti e i servizi logistici comuni.
4. Fermo restando quanto previsto dall'articolo
118-bis del codice di procedura penale, introdotto
dall'articolo 14 della presente legge, qualora le
informazioni richieste alle Forze di polizia, ai sensi
delle lettere c) ed e) del comma 3 del presente articolo,
siano relative a indagini di polizia giudiziaria, le
stesse, se coperte dal segreto di cui all'articolo 329 del
codice di procedura penale, possono essere acquisite solo
previo nulla osta della autorita' giudiziaria competente.
L'autorita' giudiziaria puo' trasmettere gli atti e le
informazioni anche di propria iniziativa.
5. La direzione generale del DIS e' affidata ad un
dirigente di prima fascia o equiparato dell'amministrazione
dello Stato, la cui nomina e revoca spettano in via
esclusiva al Presidente del Consiglio dei ministri, sentito
il CISR. L'incarico ha la durata massima di otto anni ed e'
conferibile, senza soluzione di continuita', anche con
provvedimenti successivi, ciascuno dei quali di durata non
superiore al quadriennio. Per quanto previsto dalla
presente legge, il direttore del DIS e' il diretto
referente del Presidente del Consiglio dei ministri e
dell'Autorita' delegata, ove istituita, salvo quanto
previsto dall'articolo 6, comma 5, e dall'articolo 7, comma
5, ed e' gerarchicamente e funzionalmente sovraordinato al
personale del DIS e degli uffici istituiti nell'ambito del
medesimo Dipartimento.
6. Il Presidente del Consiglio dei ministri, sentito
il direttore generale del DIS, nomina uno o piu' vice
direttori generali; il direttore generale affida gli altri
incarichi nell'ambito del Dipartimento, ad eccezione degli
incarichi il cui conferimento spetta al Presidente del
Consiglio dei ministri.
7. L'ordinamento e l'organizzazione del DIS e degli
uffici istituiti nell'ambito del medesimo Dipartimento sono
disciplinati con apposito regolamento.
8. Il regolamento previsto dal comma 7 definisce le
modalita' di organizzazione e di funzionamento dell'ufficio
ispettivo di cui al comma 3, lettera i), secondo i seguenti
criteri:
a) agli ispettori e' garantita piena autonomia e
indipendenza di giudizio nell'esercizio delle funzioni di
controllo;
b) salva specifica autorizzazione del Presidente
del Consiglio dei ministri o dell'Autorita' delegata, ove
istituita, i controlli non devono interferire con le
operazioni in corso;
c) sono previste per gli ispettori specifiche prove
selettive e un'adeguata formazione;
d) non e' consentito il passaggio di personale
dall'ufficio ispettivo ai servizi di informazione per la
sicurezza;
e) gli ispettori, previa autorizzazione del
Presidente del Consiglio dei ministri o dell'Autorita'
delegata, ove istituita, possono accedere a tutti gli atti
conservati presso i servizi di informazione per la
sicurezza e presso il DIS; possono altresi' acquisire,
tramite il direttore generale del DIS, altre informazioni
da enti pubblici e privati.».
«Articolo 6 (Agenzia informazioni e sicurezza
esterna). - 1. E' istituita l'Agenzia informazioni e
sicurezza esterna (AISE), alla quale e' affidato il compito
di ricercare ed elaborare nei settori di competenza tutte
le informazioni utili alla difesa dell'indipendenza,
dell'integrita' e della sicurezza della Repubblica, anche
in attuazione di accordi internazionali, dalle minacce
provenienti dall'estero.
2. Spettano all'AISE, inoltre, le attivita' in
materia di controproliferazione concernenti i materiali
strategici, nonche' le attivita' di informazione per la
sicurezza, che si svolgono al di fuori del territorio
nazionale, a protezione degli interessi politici, militari,
economici, scientifici e industriali dell'Italia.
3. E', altresi', compito dell'AISE individuare e
contrastare al di fuori del territorio nazionale le
attivita' di spionaggio dirette contro l'Italia e le
attivita' volte a danneggiare gli interessi nazionali.
4. L'AISE puo' svolgere operazioni sul territorio
nazionale soltanto in collaborazione con l'AISI, quando
tali operazioni siano strettamente connesse ad attivita'
che la stessa AISE svolge all'estero. A tal fine il
direttore generale del DIS provvede ad assicurare le
necessarie forme di coordinamento e di raccordo
informativo, anche al fine di evitare sovrapposizioni
funzionali o territoriali.
5. L'AISE risponde al Presidente del Consiglio dei
ministri.
6. L'AISE informa tempestivamente e con continuita'
il Ministro della difesa, il Ministro degli affari esteri e
il Ministro dell'interno per i profili di rispettiva
competenza.
7. Il Presidente del Consiglio dei ministri, con
proprio decreto, nomina e revoca il direttore dell'AISE,
scelto tra dirigenti di prima fascia o equiparati
dell'amministrazione dello Stato, sentito il CISR.
L'incarico ha la durata massima di otto anni ed e'
conferibile, senza soluzione di continuita', anche con
provvedimenti successivi, ciascuno dei quali di durata non
superiore al quadriennio.
8. Il direttore dell'AISE riferisce costantemente
sull'attivita' svolta al Presidente del Consiglio dei
ministri o all'Autorita' delegata, ove istituita, per il
tramite del direttore generale del DIS. Riferisce
direttamente al Presidente del Consiglio dei ministri in
caso di urgenza o quando altre particolari circostanze lo
richiedano, informandone senza ritardo il direttore
generale del DIS; presenta al CISR, per il tramite del
direttore generale del DIS, un rapporto annuale sul
funzionamento e sull'organizzazione dell'Agenzia.
9. Il Presidente del Consiglio dei ministri nomina e
revoca, sentito il direttore dell'AISE, uno o piu' vice
direttori. Il direttore dell'AISE affida gli altri
incarichi nell'ambito dell'Agenzia.
10. L'organizzazione e il funzionamento dell'AISE
sono disciplinati con apposito regolamento.».
«Articolo 7 (Agenzia informazioni e sicurezza
interna). - 1. E' istituita l'Agenzia informazioni e
sicurezza interna (AISI), alla quale e' affidato il compito
di ricercare ed elaborare nei settori di competenza tutte
le informazioni utili a difendere, anche in attuazione di
accordi internazionali, la sicurezza interna della
Repubblica e le istituzioni democratiche poste dalla
Costituzione a suo fondamento da ogni minaccia, da ogni
attivita' eversiva e da ogni forma di aggressione criminale
o terroristica.
2. Spettano all'AISI le attivita' di informazione per
la sicurezza, che si svolgono all'interno del territorio
nazionale, a protezione degli interessi politici, militari,
economici, scientifici e industriali dell'Italia.
3. E', altresi', compito dell'AISI individuare e
contrastare all'interno del territorio nazionale le
attivita' di spionaggio dirette contro l'Italia e le
attivita' volte a danneggiare gli interessi nazionali.
4. L'AISI puo' svolgere operazioni all'estero
soltanto in collaborazione con l'AISE, quando tali
operazioni siano strettamente connesse ad attivita' che la
stessa AISI svolge all'interno del territorio nazionale. A
tal fine il direttore generale del DIS provvede ad
assicurare le necessarie forme di coordinamento e di
raccordo informativo, anche al fine di evitare
sovrapposizioni funzionali o territoriali.
5. L'AISI risponde al Presidente del Consiglio dei
ministri.
6. L'AISI informa tempestivamente e con continuita'
il Ministro dell'interno, il Ministro degli affari esteri e
il Ministro della difesa per i profili di rispettiva
competenza.
7. Il Presidente del Consiglio dei ministri nomina e
revoca, con proprio decreto, il direttore dell'AISI, scelto
tra i dirigenti di prima fascia o equiparati
dell'amministrazione dello Stato, sentito il CISR.
L'incarico ha la durata massima di otto anni ed e'
conferibile, senza soluzione di continuita', anche con
provvedimenti successivi, ciascuno dei quali di durata non
superiore al quadriennio.
8. Il direttore dell'AISI riferisce costantemente
sull'attivita' svolta al Presidente del Consiglio dei
ministri o all'Autorita' delegata, ove istituita, per il
tramite del direttore generale del DIS. Riferisce
direttamente al Presidente del Consiglio dei ministri in
caso di urgenza o quando altre particolari circostanze lo
richiedano, informandone senza ritardo il direttore
generale del DIS; presenta al CISR, per il tramite del
direttore generale del DIS, un rapporto annuale sul
funzionamento e sull'organizzazione dell'Agenzia.
9. Il Presidente del Consiglio dei ministri nomina e
revoca, sentito il direttore dell'AISI, uno o piu' vice
direttori. Il direttore dell'AISI affida gli altri
incarichi nell'ambito dell'Agenzia.
10. L'organizzazione e il funzionamento dell'AISI
sono disciplinati con apposito regolamento.».