IL PRESIDENTE
DEL CONSIGLIO DEI MINISTRI
Vista la legge 23 agosto 1988, n. 400, recante: «Disciplina
dell'attivita' di Governo e ordinamento della Presidenza del
Consiglio dei ministri»;
Visto il decreto legislativo 30 luglio 1999, n. 300, recante:
«Riforma dell'organizzazione del Governo a norma dell'art. 11 della
legge 15 marzo 1997, n. 59»;
Visto il decreto legislativo 30 marzo 2001, n. 165, recante: «Norme
generali sull'ordinamento del lavoro alle dipendenze delle
amministrazioni pubbliche»;
Vista la legge 3 agosto 2007, n. 124, recante: «Sistema di
informazione per la sicurezza della Repubblica e nuova disciplina del
segreto»;
Visto il decreto legislativo 18 maggio 2018, n. 65, recante:
«Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e
del Consiglio, del 6 luglio 2016, recante misure per un livello
comune elevato di sicurezza delle reti e dei sistemi informativi
nell'Unione»;
Visto il decreto-legge 21 settembre 2019, n. 105, convertito, con
modificazioni, dalla legge 18 novembre 2019, n. 133, recante:
«Disposizioni urgenti in materia di perimetro di sicurezza nazionale
cibernetica e di disciplina dei poteri speciali nei settori di
rilevanza strategica»;
Visto il decreto-legge 14 giugno 2021, n. 82, convertito, con
modificazioni, dalla legge 4 agosto 2021, n. 109, recante:
«Disposizioni urgenti in materia di cybersicurezza, definizione
dell'architettura nazionale di cybersicurezza e istituzione
dell'Agenzia per la cybersicurezza nazionale» e, in particolare,
l'art. 2, che attribuisce, in via esclusiva, al Presidente del
Consiglio dei ministri, l'alta direzione e la responsabilita'
generale delle politiche di cybersicurezza, nonche' il potere di
impartire le direttive per la cybersicurezza, ai fini dell'esercizio
di tale competenza;
Visto il decreto del Presidente del Consiglio dei ministri 17
maggio 2022 con cui e' stata adottata la «Strategia nazionale di
cybersicurezza» e il relativo «Piano di implementazione»;
Sentito il Comitato interministeriale per la cybersicurezza;
Adotta
la presente direttiva:
Premessa
L'intensificazione e la crescente sofisticazione delle minacce
informatiche nell'attuale contesto geo-politico, caratterizzato in
particolare dalla grave crisi internazionale in atto in Ucraina,
richiedono con sempre maggiore urgenza il raggiungimento di un alto
livello di cybersicurezza, l'attuazione di efficaci misure di
gestione dei relativi rischi, nonche' la necessita' di un'immediata e
quanto piu' completa conoscenza situazionale. Cio' non solo al fine
di conseguire una piu' elevata capacita' di protezione e risposta di
fronte a emergenze cibernetiche, ma anche di disporre di un quadro
analitico della minaccia funzionale all'esercizio dell'indirizzo
politico.
In tale contesto, e' affidato dall'ordinamento all'Agenzia per la
cybersicurezza nazionale il compito di sviluppare capacita' nazionali
di prevenzione, monitoraggio, rilevamento, analisi e risposta, per
prevenire e gestire gli incidenti di sicurezza informatica e gli
attacchi informatici, peculiarmente attribuito alla componente
operativa dell'Agenzia (CSIRT Italia), al cui personale, peraltro,
viene espressamente riconosciuta, nello svolgimento delle relative
funzioni, la qualifica di pubblico ufficiale.
Nell'esercizio di tale compito, e per un immediato ed efficace
risultato ai fini del contenimento del rischio e della mitigazione
del danno, l'Agenzia puo' fare ricorso, in attuazione dell'art. 5,
comma 5, del decreto istitutivo (decreto-legge n. 82 del 2021), alla
collaborazione di altri organi dello Stato e altre amministrazioni.
Cio' nel presupposto che la resilienza cibernetica del Paese non puo'
prescindere da uno sforzo collettivo e sinergico.
Ambito di applicazione, finalita' e linee di indirizzo
La presente direttiva si rivolge alle amministrazioni pubbliche di
cui all'art. 1, comma 2, del decreto legislativo 30 marzo 2001, n.
165, e fornisce indirizzi di coordinamento e organizzazione volti a
promuovere la gestione adeguata e coordinata delle minacce
informatiche, degli incidenti e delle situazioni di crisi di natura
cibernetica, in coerenza con le finalita' espresse in premessa.
Da tale ambito applicativo restano esclusi gli organi dello Stato
preposti alla prevenzione, accertamento e repressione dei reati, alla
tutela dell'ordine e della sicurezza pubblica e alla difesa e
sicurezza militare dello Stato, nonche' gli organismi di informazione
per la sicurezza di cui agli articoli 4, 6 e 7 della legge 3 agosto
2007, n. 124.
Appare dunque evidente l'esigenza che l'attivita' di supporto
dell'Agenzia, sviluppata in occasione di eventi e incidenti
cibernetici, venga a dispiegarsi con la piu' ampia collaborazione da
parte dei soggetti impattati, nel loro stesso interesse e in quello,
piu' generale, della resilienza cibernetica del Paese, onde ridurre i
rischi di possibili propagazioni di conseguenze lesive, ovvero del
ripetersi di analoghi attacchi, in danno di ulteriori soggetti
pubblici e privati. Rischi, questi, che potrebbero acquisire una
rilevanza sistemica sino a determinare un pregiudizio per la
sicurezza nazionale.
Si richiamano, pertanto, le amministrazioni destinatarie ad operare
garantendo: i) che l'Agenzia per la cybersicurezza nazionale nello
svolgimento delle sue attivita' istituzionali e, in particolare, gli
operatori del CSIRT Italia anche nel caso di intervento in situ a
seguito di incidente, dispongano del pieno supporto dei soggetti
impattati, anche nel caso in cui si avvalgano di societa' in house o
comunque a controllo pubblico. Cio' anche allo scopo di acquisire una
completa ed esaustiva conoscenza situazionale volta a consentire, in
corrispondenza, peraltro, agli impegni collaborativi nel quadro
unionale, ogni utile operazione di analisi e valutazione della
minaccia, funzionali alle attivita' di prevenzione e gestione degli
incidenti di cybersicurezza; ii) conseguentemente, per tutto il tempo
necessario al pieno esercizio delle proprie competenze, l'accesso ai
locali, ai sistemi informativi e alle reti informatiche di pertinenza
delle amministrazioni impattate, compatibilmente con i limiti e i
vincoli derivanti dalle prerogative dell'autorita' giudiziaria.
Si confida nella sensibilita' di tutte le amministrazioni, ai fini
della piena osservanza delle linee di indirizzo contenute nella
presente direttiva.
Roma, 6 luglio 2023
Il Presidente
del Consiglio dei ministri
Meloni
Registrato alla Corte dei conti il 26 luglio 2023
Ufficio di controllo sugli atti della Presidenza del Consiglio dei
ministri, del Ministero della giustizia e del Ministero degli affari
esteri e della cooperazione internazionale, n. 2110