IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI Vista la legge 3 agosto 2007, n. 124, recante «Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto»; Visti il Trattato del Nord Atlantico (NATO) ratificato con legge 1° agosto 1949, n. 465, e i seguenti atti: Accordo tra gli Stati membri per la tutela della sicurezza delle informazioni, approvato dal Consiglio del Nord Atlantico in data 21 giugno 1996; Documento C-M(2002)49 «La sicurezza in seno all'Organizzazione del Trattato del Nord Atlantico», approvato dal Consiglio del Nord Atlantico in data 26 marzo 2002; Visto il decreto del Presidente del Consiglio dei ministri 11 aprile 2002, recante «Schema nazionale per la valutazione e la certificazione della sicurezza delle tecnologie dell'informazione, ai fini della tutela delle informazioni classificate, concernenti la sicurezza interna ed esterna dello Stato», pubblicato nella Gazzetta Ufficiale n. 131 del 6 giugno 2002; Vista la decisione del Consiglio europeo, n. 2013/488/UE del 23 settembre 2013 sulle norme di sicurezza per proteggere le informazioni classificate UE; Vista la decisione della Commissione europea 2015/444/UE, Euratom del 13 marzo 2015 sulle norme di sicurezza per proteggere le informazioni classificate UE; Visto il regolamento n. 1049/2001 del Parlamento europeo e del Consiglio del 30 maggio 2001, relativo all'accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione; Visto l'accordo interistituzionale del 20 novembre 2002 tra il Parlamento europeo e il Consiglio relativo all'accesso da parte del Parlamento europeo alle informazioni sensibili del Consiglio nel settore della politica di sicurezza e di difesa; Visto il decreto del Presidente del Consiglio dei ministri 8 aprile 2008, recante «Criteri per l'individuazione delle notizie, delle informazioni, dei documenti, degli atti, delle attivita', delle cose e dei luoghi suscettibili di essere oggetto di segreto di Stato», pubblicato nella Gazzetta Ufficiale n. 90 del 16 aprile 2008; Visto il decreto del Presidente del Consiglio dei ministri 12 giugno 2009, n. 7, recante «Determinazione dell'ambito dei singoli livelli di segretezza, dei soggetti con potere di classifica, dei criteri d'individuazione delle materie oggetto di classifica nonche' dei modi di accesso nei luoghi militari o definiti di interesse per la sicurezza della Repubblica», pubblicato nella Gazzetta Ufficiale n. 154 del 6 luglio 2009; Visto il decreto del Presidente del Consiglio dei ministri 22 luglio 2011, recante «Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate», pubblicato nella Gazzetta Ufficiale n. 203 del 1° settembre 2011; Visto il decreto del Presidente del Consiglio dei ministri 20 luglio 2012, n. 1, e ss.mm.ii., recante «Regolamento disciplinante l'organizzazione ed il funzionamento degli archivi del DIS, AISE e AISI», pubblicato, per comunicato, nella Gazzetta Ufficiale n. 178 del 1° agosto 2012; Visto il decreto del Presidente del Consiglio dei ministri 26 ottobre 2012, n. 2, recante, nella parte II, «Accertamento preventivo per il rilascio del Nulla Osta di Sicurezza», pubblicato, per comunicato, nella Gazzetta Ufficiale n. 273 del 22 novembre 2012; Visto l'accordo interistituzionale del 12 marzo 2014 tra il Parlamento europeo e il Consiglio relativo alla trasmissione al Parlamento europeo e al trattamento da parte di quest'ultimo delle informazioni classificate detenute dal Consiglio su materie che non rientrano nel settore della politica estera e di sicurezza comune; Visto l'art. 3, della legge 3 agosto 2007, n. 124, che consente al Presidente del Consiglio dei ministri di delegare le funzioni che non sono ad esso attribuite in via esclusiva ad un Ministro senza portafoglio o a un Sottosegretario di Stato, denominati «Autorita' delegata»; Visto l'art. 43, della legge 3 agosto 2007, n. 124, che consente l'adozione di regolamenti in deroga alle disposizioni dell'art. 17 della legge 23 agosto 1988, n. 400, e ss.mm.ii. e, dunque, in assenza del parere del Consiglio di Stato; Visto l'art. 4, comma 3, lettera l), della legge 3 agosto 2007, n. 124, cosi' come modificato con decreto-legge 1° luglio 2009, n. 78, convertito con legge 3 agosto 2009, n. 102, il quale prevede che il Dipartimento delle informazioni per la sicurezza assicura l'attuazione delle disposizioni impartite dal Presidente del Consiglio dei ministri con apposito regolamento adottato ai sensi dell'art. 1, comma 2 della medesima legge 3 agosto 2007, n. 124, ai fini della tutela amministrativa del segreto di Stato e delle classifiche di segretezza, vigilando altresi' sulla loro corretta applicazione; Ravvisata l'esigenza di armonizzare ed integrare le vigenti disposizioni che disciplinano la protezione e la tutela amministrativa delle informazioni coperte da segreto di Stato e quelle classificate con le disposizioni normative in materia di contratti pubblici, antimafia, prevenzione alla corruzione e di tutela delle attivita' strategiche di rilevanza nazionale intervenute successivamente all'entrata in vigore del decreto del Presidente del Consiglio dei ministri 22 luglio 2011, n. 4; Acquisito il parere del Comitato parlamentare per la sicurezza della Repubblica; Sentito il Comitato interministeriale per la sicurezza della Repubblica; A d o t t a il seguente regolamento: Art. 1 Definizioni 1. Ai fini del presente regolamento si intende per: a) "legge", la legge 3 agosto 2007, n. 124, e successive modificazioni ed integrazioni; b) "Sicurezza delle informazioni", la salvaguardia e la continua e completa protezione delle informazioni classificate, a diffusione esclusiva o coperte da segreto di Stato, attraverso l'adozione di norme e procedure, organizzative ed esecutive, nei settori delle abilitazioni di sicurezza, della sicurezza fisica, della tecnologia delle informazioni e delle comunicazioni; c) "Autorita' nazionale per la sicurezza" (ANS), il Presidente del Consiglio dei Ministri nell'esercizio delle funzioni di tutela amministrativa del segreto di Stato e delle informazioni classificate o a diffusione esclusiva; d) "Autorita' delegata", il Ministro senza portafoglio o il Sottosegretario di Stato delegato dal Presidente del Consiglio dei Ministri ai sensi dell'art. 3 della legge; e) "Organizzazione nazionale di sicurezza", il complesso di Organi, Uffici, unita' amministrative, organizzative, produttive o di servizio della Pubblica amministrazione e di ogni altra persona giuridica, ente, associazione od operatore economico legittimati alla trattazione di informazioni classificate, a diffusione esclusiva o coperte da segreto di Stato, le cui finalita' consistono nell'assicurare modalita' di gestione e trattazione uniformi e sicure, nonche' protezione ininterrotta alle informazioni classificate, a diffusione esclusiva o coperte da segreto di Stato; f) "Segreto di Stato", il segreto come definito dall'art. 39, comma 1, della legge; g) "Informazione coperta da segreto di Stato", l'informazione, la notizia, il documento, l'atto, l'attivita', la cosa o il luogo sui quali il vincolo del segreto di Stato sia stato apposto o opposto e confermato e, ove possibile, annotato; h) "Classifica di segretezza", il livello di segretezza attribuito ad un'informazione ai sensi dell'art. 42 della legge e dell'art. 4 del decreto del Presidente del Consiglio dei ministri n. 7 del 12 giugno 2009; i) "Necessita' di conoscere", il principio in base al quale l'accesso alle informazioni classificate, a diffusione esclusiva o coperte da segreto di Stato e' consentito esclusivamente alle persone che ne hanno necessita' per lo svolgimento del proprio incarico; l) "Necessita' di condividere", il principio in base al quale l'informazione classificata o a diffusione esclusiva puo' esser diffusa nel limitato e controllato circuito di coloro che ne hanno necessita' per lo svolgimento del proprio incarico; m) "Originatore", il soggetto che ha apposto la classifica di segretezza all'informazione ai sensi dell'art. 42, comma 2, della legge e dell'art. 4, comma 7, del decreto del Presidente del Consiglio dei ministri n. 7 del 12 giugno 2009; n) "Qualifica di sicurezza" o "qualifica", la sigla o altro termine convenzionale (es. NATO, UE, altre) che, attribuita ad un'informazione, classificata e non, indica l'organizzazione internazionale o dell'Unione europea o il programma intergovernativo di appartenenza della stessa e il relativo ambito di circolazione; o) "Informazione classificata", ogni informazione, atto, attivita', documento, materiale o cosa, cui sia stata attribuita una delle classifiche di segretezza previste dall'art. 42, comma 3, della legge; p) "Documento classificato", l'informazione classificata rappresentata in forma grafica, fotocinematografica, elettromagnetica, informatica o in ogni altra forma; q) "Materiale classificato", qualsiasi oggetto, cosa o componente di macchinario, prototipo, equipaggiamento, arma, sistema elementare o dispositivo o parte di esso, compreso il software operativo, prodotto a mano o meccanicamente, automaticamente o elettronicamente, finito o in corso di lavorazione, compresi i materiali per la sicurezza delle comunicazioni (COMSEC), i Communication and Information System (CIS), nonche' i prodotti della Tecnologia dell'Informazione (Information and Communication Technology - ICT) coperti da una classifica di segretezza; r) "Declassifica", la riduzione ad un livello inferiore o l'eliminazione della classifica di segretezza gia' attribuita ad un'informazione; s) "Informazioni non classificate controllate", le informazioni non classificate che, in ragione della loro sensibilita', richiedono misure di protezione minime, individuate nelle disposizioni applicative del presente decreto; t) "Trattazione delle informazioni classificate, a diffusione esclusiva o coperte da segreto di Stato", la gestione, l'accesso, la conoscenza, la consultazione, l'elaborazione, la selezione, l'estrazione, il raffronto, l'utilizzo, la comunicazione delle informazioni classificate o coperte da segreto di Stato o a diffusione esclusiva; u) "Gestione dei documenti classificati, a diffusione esclusiva o coperti da segreto di Stato", la protezione fisica, logica e tecnica, l'originazione, la spedizione, la contabilizzazione, la diramazione, la ricezione, la registrazione, la riproduzione, la conservazione, la custodia, l'archiviazione, il trasporto e la distruzione legittima dei documenti classificati, nonche' la preparazione dei relativi plichi; v) "Informazioni a diffusione esclusiva", informazioni la cui diffusione e' limitata al solo ambito nazionale italiano, unitamente o meno ad uno o piu' ambiti nazionali stranieri, per motivi di protezione di interessi strategici nazionali e delle relazioni con Paesi stranieri negli ambiti di cui all'art. 40, attraverso la limitazione della conoscibilita' di informazioni a persone in possesso della sola cittadinanza italiana, unitamente o meno a persone che posseggono la sola cittadinanza di uno o piu' Paesi stranieri, mediante l'indicazione "ESCLUSIVO ITALIA" ovvero "ESCLUSIVO ITALIA e (denominazione del o dei Paesi stranieri)"; z) "Nulla osta di sicurezza" per le persone fisiche - in seguito NOS - il provvedimento che legittima alla trattazione di informazioni classificate SEGRETISSIMO, SEGRETO o RISERVATISSIMO coloro che hanno la necessita' di conoscerle; aa) "Violazione della sicurezza", azioni od omissioni contrarie ad una disposizione in materia di protezione e tutela delle informazioni classificate o coperte da segreto di Stato, che potrebbero mettere a repentaglio o compromettere le informazioni stesse; bb) "Compromissione di informazioni classificate", la conseguenza negativa di violazione della sicurezza che deriva dalla conoscenza di informazioni classificate o coperte da segreto di Stato da parte di persona non autorizzata ovvero non adeguatamente abilitata ai fini della sicurezza o che non abbia la necessita' di conoscerle; cc) "Operatore economico", l'imprenditore, il fornitore e il prestatore di servizi o il raggruppamento o il consorzio di essi, come definiti all'art. 3 del decreto legislativo 12 aprile 2006, n. 163; dd) "Nulla Osta di Sicurezza Industriale Strategico" (NOSIS), il provvedimento che abilita l'operatore economico, la cui attivita' assume rilevanza strategica per gli interessi nazionali, alla trattazione di informazioni classificate e alla partecipazione a gare d'appalto e procedure finalizzate all'affidamento di contratti classificati e qualificati NATO e UE e alla relativa esecuzione; ee) "Abilitazione Preventiva" (AP), il provvedimento che consente all'operatore economico la partecipazione a gare d'appalto o a procedure classificate finalizzate all'affidamento di contratti classificati RISERVATISSIMO e SEGRETO ovvero qualificati; ff) "Nulla Osta di Sicurezza Industriale" (NOSI), il provvedimento che abilita l'operatore economico alla trattazione e gestione di informazioni classificate e consente di partecipare a gare d'appalto o a procedure classificate finalizzate all'affidamento di contratti con classifica superiore a SEGRETO, anche qualificati, nonche', in caso di aggiudicazione, di eseguire lavori, fornire beni e servizi, realizzare opere, studi e progettazioni ai quali sia stata attribuita una classifica di segretezza RISERVATISSIMO o superiore ovvero qualificati; gg) "Sicurezza fisica", il complesso delle misure di sicurezza destinate alla protezione fisica delle strutture, delle aree, degli edifici, degli uffici, dei sistemi di comunicazione e di informazione e di qualunque altro luogo dove sono trattate o custodite informazioni classificate o coperte da segreto di Stato; hh) "INFOSEC" (sicurezza delle informazioni), le misure di sicurezza atte a tutelare le informazioni classificate o coperte da segreto di Stato, elaborate e memorizzate con sistemi informatici e trasmesse con sistemi di comunicazione ed altri sistemi elettronici; ii) "COMSEC" (sicurezza delle comunicazioni), le misure di sicurezza crittografica, delle trasmissioni, fisica e del personale, finalizzate a garantire la protezione delle informazioni classificate o coperte da segreto di Stato, trattate attraverso sistemi di comunicazione, nonche' ad impedirne la conoscenza da parte di soggetti non autorizzati. I materiali COMSEC comprendono i materiali crittografici in senso stretto (CIFRA) ed i materiali a controllo COMSEC (CCI - COMSEC Controlled Item), come disciplinato dall'art. 53; ll) "Communication and Information System" (o "CIS") e' il complesso di apparati, aree ad accesso riservato, personale abilitato, hardware, software e procedure operative, finalizzato all'elaborazione, memorizzazione e trasmissione di informazioni classificate o coperte da segreto di Stato, attraverso sistemi informatici; mm) "Sicurezza CIS" (Communication and Information System), le misure di sicurezza volte ad assicurare la protezione dei CIS; nn) "TEMPEST", le tecnologie atte ad eliminare, o ridurre entro valori non pericolosi ai fini della sicurezza, le emissioni prodotte dalle apparecchiature elettroniche che elaborano e trattano informazioni classificate o coperte da segreto di Stato; oo) "Sicurezza cibernetica", l'insieme delle misure di sicurezza da attuare per limitare le vulnerabilita' e contrastare gli attacchi informatici che, anche attraverso le connessioni di rete, possono causare danni alle infrastrutture o sistemi informatici che trattano informazioni classificate, a diffusione esclusiva o coperte da segreto di Stato; pp) "omologazione dei laboratori TEMPEST, dei CIS, dei centri e dei sistemi COMSEC", processo strutturato di verifica della conformita' del sistema ad un insieme di requisiti tecnici di sicurezza predeterminati; qq) "autorizzazione" l'abilitazione temporanea dei CIS all'esercizio, subordinata a condizioni e limiti di utilizzo; rr) "criteri di valutazione", i criteri applicati per la valutazione di soluzioni tecnologiche sotto il profilo della sicurezza definiti da standard riconosciuti a livello internazionale NATO e UE che, consentono il mutuo riconoscimento di un prodotto o di un sistema ICT; ss) "Schema nazionale di certificazione", l'insieme delle regole e delle procedure nazionali per la valutazione e certificazione di prodotti e sistemi ICT; tt) "Ente di certificazione", l'organismo pubblico responsabile della certificazione dei prodotti e dei sistemi informatici, dell'accreditamento dei centri di valutazione nonche' della definizione, dell'applicazione e dell'aggiornamento dello schema nazionale; uu) "Centro di valutazione (CE.VA.)", un organismo accreditato dall'UCSe, per le valutazioni di sicurezza di un prodotto o di un sistema ICT.