Art. 37 quater
Modifica all'articolo 1 del decreto-legge 21 settembre 2019, n. 105,
convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133
1. All'articolo 1 del decreto-legge 21 settembre 2019, n. 105,
convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133,
dopo il comma 3 e' inserito il seguente: «3-bis. Al di fuori dei casi
di cui al comma 3, i soggetti di cui al comma 2-bis notificano gli
incidenti di cui all'articolo 1, comma 1, lettera h), del regolamento
di cui al decreto del Presidente del Consiglio dei ministri 14 aprile
2021, n. 81, aventi impatto su reti, sistemi informativi e servizi
informatici di propria pertinenza diversi da quelli di cui al comma
2, lettera b), del presente articolo, fatta eccezione per quelli
aventi impatto sulle reti, sui sistemi informativi e sui servizi
informatici del Ministero della difesa, per i quali si applicano i
principi e le modalita' di cui all'articolo 528, comma 1, lettera d),
del codice di cui al decreto legislativo 15 marzo 2010, n. 66. I
medesimi soggetti effettuano la notifica entro il termine di
settantadue ore. Si applicano, per la decorrenza del termine e per le
modalita' di notifica, in quanto compatibili, le disposizioni
dell'articolo 3, comma 4, secondo e terzo periodo, del regolamento di
cui al decreto del Presidente del Consiglio dei ministri 14 aprile
2021, n. 81. Si applicano, altresi', le disposizioni di cui
all'articolo 4, commi 2 e 4, del medesimo regolamento. Con
determinazioni tecniche del direttore generale, sentito il vice
direttore generale, dell'Agenzia per la cybersicurezza nazionale, e'
indicata la tassonomia degli incidenti che debbono essere oggetto di
notifica ai sensi del presente comma e possono essere dettate
specifiche modalita' di notifica».
Riferimenti normativi
- Si riporta il testo dell'articolo 1 del decreto-legge
21 settembre 2019, n. 105, convertito, con modificazioni,
dalla legge 18 novembre 2019 (Disposizioni urgenti in
materia di perimetro di sicurezza nazionale cibernetica e
di disciplina dei poteri speciali nei settori di rilevanza
strategica), come modificato dalla presente legge:
«Art. 1 (Perimetro di sicurezza nazionale cibernetica).
- 1. Al fine di assicurare un livello elevato di sicurezza
delle reti, dei sistemi informativi e dei servizi
informatici delle amministrazioni pubbliche, degli enti e
degli operatori pubblici e privati aventi una sede nel
territorio nazionale, da cui dipende l'esercizio di una
funzione essenziale dello Stato, ovvero la prestazione di
un servizio essenziale per il mantenimento di attivita'
civili, sociali o economiche fondamentali per gli interessi
dello Stato e dal cui malfunzionamento, interruzione, anche
parziali, ovvero utilizzo improprio, possa derivare un
pregiudizio per la sicurezza nazionale, e' istituito il
perimetro di sicurezza nazionale cibernetica.
2. Entro quattro mesi dalla data di entrata in vigore
della legge di conversione del presente decreto, con
decreto del Presidente del Consiglio dei ministri, adottato
su proposta del Comitato interministeriale per la
cybersicurezza (CIC):
a) sono definiti modalita' e criteri procedurali di
individuazione di amministrazioni pubbliche, enti e
operatori pubblici e privati di cui al comma 1 aventi una
sede nel territorio nazionale, inclusi nel perimetro di
sicurezza nazionale cibernetica e tenuti al rispetto delle
misure e degli obblighi previsti dal presente articolo; ai
fini dell'individuazione, fermo restando che per gli
Organismi di informazione per la sicurezza si applicano le
norme previste dalla legge 3 agosto 2007, n. 124, si
procede sulla base dei seguenti criteri:
1) il soggetto esercita una funzione essenziale
dello Stato, ovvero assicura un servizio essenziale per il
mantenimento di attivita' civili, sociali o economiche
fondamentali per gli interessi dello Stato;
2) l'esercizio di tale funzione o la prestazione di
tale servizio dipende da reti, sistemi informativi e
servizi informatici;
2-bis) l'individuazione avviene sulla base di un
criterio di gradualita', tenendo conto dell'entita' del
pregiudizio per la sicurezza nazionale che, in relazione
alle specificita' dei diversi settori di attivita', puo'
derivare dal malfunzionamento, dall'interruzione, anche
parziali, ovvero dall'utilizzo improprio delle reti, dei
sistemi informativi e dei servizi informatici predetti;
b) sono definiti, sulla base di un'analisi del
rischio e di un criterio di gradualita' che tenga conto
delle specificita' dei diversi settori di attivita', i
criteri con i quali i soggetti di cui al comma 2-bis
predispongono e aggiornano con cadenza almeno annuale un
elenco delle reti, dei sistemi informativi e dei servizi
informatici di cui al comma 1, di rispettiva pertinenza,
comprensivo della relativa architettura e componentistica,
fermo restando che, per le reti, i sistemi informativi e i
servizi informatici attinenti alla gestione delle
informazioni classificate, si applica quanto previsto dal
regolamento adottato ai sensi dell'articolo 4, comma 3,
lettera l), della legge 3 agosto 2007, n. 124;
all'elaborazione di tali criteri provvede, adottando
opportuni moduli organizzativi, il Tavolo interministeriale
di cui all'articolo 6 del regolamento di cui al decreto del
Presidente del Consiglio dei ministri 30 luglio 2020, n.
131; entro sei mesi dalla data della comunicazione,
prevista dal comma 2-bis, a ciascuno dei soggetti iscritti
nell'elenco di cui al medesimo comma, i soggetti pubblici e
quelli di cui all'articolo 29 del codice
dell'amministrazione digitale, di cui al decreto
legislativo 7 marzo 2005, n. 82, nonche' quelli privati, di
cui al citato comma 2-bis, trasmettono tali elenchi
all'Agenzia per la cybersicurezza nazionale, anche per le
attivita' di prevenzione, preparazione e gestione di crisi
cibernetiche affidate al Nucleo per la cybersicurezza; il
Dipartimento delle informazioni per la sicurezza, l'Agenzia
informazioni e sicurezza esterna (AISE) e l'Agenzia
informazioni e sicurezza interna (AISI) ai fini
dell'esercizio delle funzioni istituzionali previste dagli
articoli 1, comma 3-bis, 4, 6 e 7 della legge n. 124 del
2007, nonche' l'organo del Ministero dell'interno per la
sicurezza e per la regolarita' dei servizi di
telecomunicazione di cui all'articolo 7-bis del
decreto-legge 27 luglio 2005, n. 144, convertito, con
modificazioni, dalla legge 31 luglio 2005, n. 155, accedono
a tali elenchi per il tramite della piattaforma digitale di
cui all'articolo 9, comma 1, del regolamento di cui al
decreto del Presidente del Consiglio dei ministri n. 131
del 2020, costituita presso l'Agenzia per la cybersicurezza
nazionale.
2-bis. L'elencazione dei soggetti individuati ai sensi
del comma 2, lettera a), e' contenuta in un atto
amministrativo, adottato dal Presidente del Consiglio dei
ministri, su proposta del CIC, entro trenta giorni dalla
data di entrata in vigore del decreto del Presidente del
Consiglio dei ministri di cui al comma 2. Il predetto atto
amministrativo, per il quale e' escluso il diritto di
accesso, non e' soggetto a pubblicazione, fermo restando
che a ciascun soggetto e' data, separatamente,
comunicazione senza ritardo dell'avvenuta iscrizione
nell'elenco. L'aggiornamento del predetto atto
amministrativo e' effettuato con le medesime modalita' di
cui al presente comma.
2-ter. Gli elenchi dei soggetti di cui alla lettera a)
del comma 2 del presente articolo sono trasmessi al
Dipartimento delle informazioni per la sicurezza, che
provvede anche a favore dell'AISE e dell'AISI ai fini
dell'esercizio delle funzioni istituzionali previste dagli
articoli 1, comma 3-bis, 4, 6 e 7 della legge 3 agosto
2007, n. 124.
3. Entro dieci mesi dalla data di entrata in vigore
della legge di conversione del presente decreto, con
decreto del Presidente del Consiglio dei ministri, che
disciplina altresi' i relativi termini e modalita'
attuative, adottato su proposta del CIC:
a) sono definite le procedure secondo cui i soggetti
di cui al comma 2-bis notificano gli incidenti aventi
impatto su reti, sistemi informativi e servizi informatici
di cui al comma 2, lettera b), al Gruppo di intervento per
la sicurezza informatica in caso di incidente (CSIRT)
Italia, che inoltra tali notifiche, tempestivamente, al
Dipartimento delle informazioni per la sicurezza anche per
le attivita' demandate al Nucleo per la sicurezza
cibernetica; il Dipartimento delle informazioni per la
sicurezza assicura la trasmissione delle notifiche cosi'
ricevute all'organo del Ministero dell'interno per la
sicurezza e la regolarita' dei servizi di telecomunicazione
di cui all'articolo 7-bis del decreto-legge 27 luglio 2005,
n. 144, convertito, con modificazioni, dalla legge 31
luglio 2005, n. 155, nonche' alla Presidenza del Consiglio
dei ministri, se provenienti da un soggetto pubblico o da
un soggetto di cui all'articolo 29 del decreto legislativo
7 marzo 2005, n. 82, ovvero al Ministero dello sviluppo
economico, se effettuate da un soggetto privato;
b) sono stabilite misure volte a garantire elevati
livelli di sicurezza delle reti, dei sistemi informativi e
dei servizi informatici di cui al comma 2, lettera b),
tenendo conto degli standard definiti a livello
internazionale e dell'Unione europea relative:
1) alla struttura organizzativa preposta alla
gestione della sicurezza;
1-bis) alle politiche di sicurezza e alla gestione
del rischio;
2) alla mitigazione e gestione degli incidenti e
alla loro prevenzione, anche attraverso interventi su
apparati o prodotti che risultino gravemente inadeguati sul
piano della sicurezza;
3) alla protezione fisica e logica e dei dati;
4) all'integrita' delle reti e dei sistemi
informativi;
5) alla gestione operativa, ivi compresa la
continuita' del servizio;
6) al monitoraggio, test e controllo;
7) alla formazione e consapevolezza;
8) all'affidamento di forniture di beni, sistemi e
servizi di information and communication technology (ICT),
anche mediante definizione di caratteristiche e requisiti
di carattere generale, di standard e di eventuali limiti.
3-bis. Al di fuori dei casi di cui al comma 3, i
soggetti di cui al comma 2-bis notificano gli incidenti di
cui all'articolo 1, comma 1, lettera h), del regolamento di
cui al decreto del Presidente del Consiglio dei ministri 14
aprile 2021, n. 81, aventi impatto su reti, sistemi
informativi e servizi informatici di propria pertinenza
diversi da quelli di cui al comma 2, lettera b), del
presente articolo, fatta eccezione per quelli aventi
impatto sulle reti, sui sistemi informativi e sui servizi
informatici del Ministero della difesa, per i quali si
applicano i principi e le modalita' di cui all'articolo
528, comma 1, lettera d), del codice di cui al decreto
legislativo 15 marzo 2010, n. 66. I medesimi soggetti
effettuano la notifica entro il termine di settantadue ore.
Si applicano, per la decorrenza del termine e per le
modalita' di notifica, in quanto compatibili, le
disposizioni dell'articolo 3, comma 4, secondo e terzo
periodo, del regolamento di cui al decreto del Presidente
del Consiglio dei ministri 14 aprile 2021, n. 81. Si
applicano, altresi', le disposizioni di cui all'articolo 4,
commi 2 e 4, del medesimo regolamento. Con determinazioni
tecniche del direttore generale, sentito il vice direttore
generale, dell'Agenzia per la cybersicurezza nazionale, e'
indicata la tassonomia degli incidenti che debbono essere
oggetto di notifica ai sensi del presente comma e possono
essere dettate specifiche modalita' di notifica.
Omissis.».