Art. 7 Definizione dei criteri per la predisposizione e l'aggiornamento degli elenchi delle reti, dei sistemi informativi e dei servizi informatici 1. Ai sensi dell'articolo 1, comma 2, del decreto-legge, i soggetti inclusi nel perimetro predispongono e aggiornano, con cadenza almeno annuale, l'elenco di beni ICT di rispettiva pertinenza, con l'indicazione delle reti, dei sistemi informativi e dei servizi informatici che li compongono, osservando i criteri individuati nel successivo comma. 2. Ricevuta la comunicazione prevista dall'articolo 1, comma 2-bis), secondo periodo, del decreto-legge, i soggetti inclusi nel perimetro, in esito all'analisi del rischio, per ogni funzione essenziale o servizio essenziale di cui all'articolo 4, comma 1, lettera c), provvedono: a) ad individuare i beni ICT necessari a svolgere la funzione essenziale o il servizio essenziale. A tale fine sono valutati: 1) l'impatto di un incidente sul bene ICT, in termini sia di limitazione della operativita' del bene stesso, sia di compromissione della disponibilita', integrita', o riservatezza dei dati e delle informazioni da esso trattati, ai fini dello svolgimento della funzione o del servizio essenziali; 2) le dipendenze con altre reti, sistemi informativi, servizi informatici o infrastrutture fisiche di pertinenza di altri soggetti, ivi compresi quelli utilizzati per fini di manutenzione e gestione; b) a predisporre l'elenco dei beni ICT di cui all'articolo 1, comma 2, lettera b), del decreto-legge. In fase di prima applicazione e fino all'aggiornamento del presente decreto, ai sensi dell'articolo 1, comma 5, del decreto-legge, sono individuati, all'esito dell'analisi del rischio, in ossequio al principio di gradualita', i beni ICT che, in caso di incidente, causerebbero l'interruzione totale dello svolgimento della funzione essenziale o del servizio essenziale o una compromissione degli stessi con effetti irreversibili sotto il profilo della integrita' o della riservatezza dei dati e delle informazioni. 3. Per le reti, i sistemi informativi e i servizi informatici attinenti alla gestione delle informazioni classificate si applica quanto previsto dall'articolo 1, comma 2, lettera b), del decreto-legge.
Note all'art. 7: - Per il riferimento dell'art. 1 del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, si veda nelle note alle premesse.