Art. 33
Coordinamento con la disciplina del perimetro di sicurezza nazionale
cibernetica
1. Ai fini dell'articolo 4:
a) gli obblighi di gestione del rischio per la sicurezza
informatica e di notifica di incidente previsti dal decreto-legge 21
settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18
novembre 2019, n. 133, sono considerati almeno equivalenti a quelli
previsti dal presente decreto;
b) alle reti, ai sistemi informativi e ai servizi informatici
inseriti nell'elenco di cui all'articolo 1, comma 2, lettera b), del
decreto-legge n. 105 del 2019, non si applicano le disposizioni di
cui al presente decreto. Restano fermi gli obblighi del presente
decreto per i sistemi informativi e di rete diversi da quelli di cui
al primo periodo;
c) i soggetti di cui all'articolo 1, comma 2-bis, del
decreto-legge n. 105 del 2019, non sono sottoposti agli obblighi di
notifica di cui all'articolo 25 del presente decreto per gli
incidenti riconducibili a una notifica effettuata ai sensi
dell'articolo 1, comma 3, del medesimo decreto-legge;
d) le informazioni attinenti ai soggetti di cui all'articolo 1,
comma 2-bis, del decreto-legge n. 105 del 2019, ovvero trasmesse da
questi ultimi all'Agenzia per la cybersicurezza nazionale ai sensi
del presente decreto, possono essere escluse dagli obblighi di
comunicazione di cui all'articolo 22.
Note all'art. 33:
- Si riporta il testo dell'art. 1, commi 2 e 2-bis, del
citato decreto-legge n. 105/2019, convertito con
modificazioni dalla legge 18 novembre 2019, n. 133:
«Art. 1 (Perimetro di sicurezza nazionale
cibernetica). - 1. (Omissis).
2. Entro quattro mesi dalla data di entrata in vigore
della legge di conversione del presente decreto, con
decreto del Presidente del Consiglio dei ministri, adottato
su proposta del Comitato interministeriale per la
cybersicurezza (CIC):
a) sono definiti modalita' e criteri procedurali di
individuazione di amministrazioni pubbliche, enti e
operatori pubblici e privati di cui al comma 1 aventi una
sede nel territorio nazionale, inclusi nel perimetro di
sicurezza nazionale cibernetica e tenuti al rispetto delle
misure e degli obblighi previsti dal presente articolo; ai
fini dell'individuazione, fermo restando che per gli
Organismi di informazione per la sicurezza si applicano le
norme previste dalla legge 3 agosto 2007, n. 124, si
procede sulla base dei seguenti criteri:
1) il soggetto esercita una funzione essenziale
dello Stato, ovvero assicura un servizio essenziale per il
mantenimento di attivita' civili, sociali o economiche
fondamentali per gli interessi dello Stato;
2) l'esercizio di tale funzione o la prestazione
di tale servizio dipende da reti, sistemi informativi e
servizi informatici;
2-bis) l'individuazione avviene sulla base di un
criterio di gradualita', tenendo conto dell'entita' del
pregiudizio per la sicurezza nazionale che, in relazione
alle specificita' dei diversi settori di attivita', puo'
derivare dal malfunzionamento, dall'interruzione, anche
parziali, ovvero dall'utilizzo improprio delle reti, dei
sistemi informativi e dei servizi informatici predetti;
b) sono definiti, sulla base di un'analisi del
rischio e di un criterio di gradualita' che tenga conto
delle specificita' dei diversi settori di attivita', i
criteri con i quali i soggetti di cui al comma 2-bis
predispongono e aggiornano con cadenza almeno annuale un
elenco delle reti, dei sistemi informativi e dei servizi
informatici di cui al comma 1, di rispettiva pertinenza,
comprensivo della relativa architettura e componentistica,
fermo restando che, per le reti, i sistemi informativi e i
servizi informatici attinenti alla gestione delle
informazioni classificate, si applica quanto previsto dal
regolamento adottato ai sensi dell'articolo 4, comma 3,
lettera l), della legge 3 agosto 2007, n. 124;
all'elaborazione di tali criteri provvede, adottando
opportuni moduli organizzativi, il Tavolo interministeriale
di cui all'articolo 6 del regolamento di cui al decreto del
Presidente del Consiglio dei ministri 30 luglio 2020, n.
131; entro sei mesi dalla data della comunicazione,
prevista dal comma 2-bis, a ciascuno dei soggetti iscritti
nell'elenco di cui al medesimo comma, i soggetti pubblici e
quelli di cui all'articolo 29 del codice
dell'amministrazione digitale, di cui al decreto
legislativo 7 marzo 2005, n. 82, nonche' quelli privati, di
cui al citato comma 2-bis, trasmettono tali elenchi
all'Agenzia per la cybersicurezza nazionale, anche per le
attivita' di prevenzione, preparazione e gestione di crisi
cibernetiche affidate al Nucleo per la cybersicurezza; il
Dipartimento delle informazioni per la sicurezza, l'Agenzia
informazioni e sicurezza esterna (AISE) e l'Agenzia
informazioni e sicurezza interna (AISI) ai fini
dell'esercizio delle funzioni istituzionali previste dagli
articoli 1, comma 3-bis, 4, 6 e 7 della legge n. 124 del
2007, nonche' l'organo del Ministero dell'interno per la
sicurezza e per la regolarita' dei servizi di
telecomunicazione di cui all'articolo 7-bis del
decreto-legge 27 luglio 2005, n. 144, convertito, con
modificazioni, dalla legge 31 luglio 2005, n. 155, accedono
a tali elenchi per il tramite della piattaforma digitale di
cui all'articolo 9, comma 1, del regolamento di cui al
decreto del Presidente del Consiglio dei ministri n. 131
del 2020, costituita presso l'Agenzia per la cybersicurezza
nazionale.
2-bis. L'elencazione dei soggetti individuati ai
sensi del comma 2, lettera a), e' contenuta in un atto
amministrativo, adottato dal Presidente del Consiglio dei
ministri, su proposta del CIC, entro trenta giorni dalla
data di entrata in vigore del decreto del Presidente del
Consiglio dei ministri di cui al comma 2. Il predetto atto
amministrativo, per il quale e' escluso il diritto di
accesso, non e' soggetto a pubblicazione, fermo restando
che a ciascun soggetto e' data, separatamente,
comunicazione senza ritardo dell'avvenuta iscrizione
nell'elenco. L'aggiornamento del predetto atto
amministrativo e' effettuato con le medesime modalita' di
cui al presente comma.
2-ter - 19-ter. (Omissis).»