                               Art. 7 
 
Definizione dei criteri  per  la  predisposizione  e  l'aggiornamento
  degli elenchi delle reti, dei sistemi  informativi  e  dei  servizi
  informatici 
 
  1. Ai sensi dell'articolo 1, comma 2, del decreto-legge, i soggetti
inclusi nel perimetro predispongono e aggiornano, con cadenza  almeno
annuale,  l'elenco  di  beni  ICT  di  rispettiva   pertinenza,   con
l'indicazione delle reti,  dei  sistemi  informativi  e  dei  servizi
informatici che li compongono, osservando i criteri  individuati  nel
successivo comma. 
  2.  Ricevuta  la  comunicazione  prevista  dall'articolo  1,  comma
2-bis), secondo periodo, del decreto-legge, i  soggetti  inclusi  nel
perimetro, in  esito  all'analisi  del  rischio,  per  ogni  funzione
essenziale o servizio essenziale di  cui  all'articolo  4,  comma  1,
lettera c), provvedono: 
    a) ad individuare i beni ICT necessari  a  svolgere  la  funzione
essenziale o il servizio essenziale. A tale fine sono valutati: 
      1) l'impatto di un incidente sul bene ICT, in  termini  sia  di
limitazione della operativita' del bene stesso, sia di compromissione
della disponibilita', integrita', o riservatezza  dei  dati  e  delle
informazioni da  esso  trattati,  ai  fini  dello  svolgimento  della
funzione o del servizio essenziali; 
      2) le dipendenze con altre reti, sistemi  informativi,  servizi
informatici o infrastrutture fisiche di pertinenza di altri soggetti,
ivi compresi quelli utilizzati per fini di manutenzione e gestione; 
    b) a predisporre l'elenco dei beni ICT  di  cui  all'articolo  1,
comma 2, lettera b), del decreto-legge. In fase di prima applicazione
e fino all'aggiornamento del presente decreto, ai sensi dell'articolo
1,  comma  5,  del   decreto-legge,   sono   individuati,   all'esito
dell'analisi del rischio, in ossequio al principio di gradualita',  i
beni ICT che,  in  caso  di  incidente,  causerebbero  l'interruzione
totale dello svolgimento della funzione  essenziale  o  del  servizio
essenziale  o   una   compromissione   degli   stessi   con   effetti
irreversibili sotto il profilo della integrita' o della  riservatezza
dei dati e delle informazioni. 
  3. Per le reti, i  sistemi  informativi  e  i  servizi  informatici
attinenti alla gestione delle informazioni  classificate  si  applica
quanto  previsto  dall'articolo  1,  comma   2,   lettera   b),   del
decreto-legge.

          Note all'art. 7: 
              - Per il riferimento dell'art. 1 del  decreto-legge  21
          settembre 2019,  n.  105,  convertito,  con  modificazioni,
          dalla legge 18 novembre 2019, n. 133, si  veda  nelle  note
          alle premesse.