IL PRESIDENTE
DEL CONSIGLIO DEI MINISTRI
Vista la legge 23 agosto 1988, n. 400, recante disciplina
dell'attivita' di Governo e ordinamento della Presidenza del
Consiglio dei ministri;
Visto il decreto-legge 21 settembre 2019, n. 105, convertito, con
modificazioni, dalla legge 18 novembre 2019, n. 133, recante
disposizioni urgenti in materia di perimetro di sicurezza nazionale
cibernetica e di disciplina dei poteri speciali nei settori di
rilevanza strategica e, in particolare, l'articolo 1, comma 7,
lettera b);
Vista la legge 1° aprile 1981, n. 121, recante nuovo ordinamento
dell'Amministrazione della Pubblica sicurezza e, in particolare,
l'articolo 16;
Visto il decreto legislativo 8 giugno 2001, n. 231, recante
disciplina della responsabilita' amministrativa delle persone
giuridiche, delle societa' e delle associazioni anche prive di
personalita' giuridica, a norma dell'articolo 11 della legge 29
settembre 2000, n. 300;
Visto il decreto legislativo 30 dicembre 2003, n. 366, recante
modifiche ed integrazioni al decreto legislativo 30 luglio 1999, n.
300, concernenti le funzioni e la struttura organizzativa del
Ministero delle comunicazioni, a norma dell'articolo 1 della legge 6
luglio 2002, n. 137, e, in particolare, l'articolo 6;
Vista la legge 31 dicembre 2009, n. 196, recante legge di
contabilita' e finanza pubblica e, in particolare, l'articolo 1,
comma 3;
Visto il decreto-legge 14 giugno 2021, n. 82, convertito, con
modificazioni, dalla legge 4 agosto 2021, n. 109, recante
disposizioni urgenti in materia di cybersicurezza, definizione
dell'architettura nazionale di cybersicurezza e istituzione
dell'Agenzia per la cybersicurezza nazionale;
Visto il decreto del Presidente del Consiglio dei ministri 30
luglio 2020, n. 131, recante regolamento in materia di perimetro di
sicurezza nazionale cibernetica, ai sensi dell'articolo 1, comma 2,
del decreto-legge 21 settembre 2019, n. 105, convertito, con
modificazioni, dalla legge 18 novembre 2019, n. 133;
Visto il decreto del Presidente della Repubblica 5 febbraio 2021,
n. 54, recante attuazione dell'articolo 1, comma 6, del decreto-legge
21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge
18 novembre 2019, n. 133;
Visto il decreto del Presidente del Consiglio dei ministri 14
aprile 2021, n. 81, recante regolamento in materia di notifiche degli
incidenti aventi impatto su reti, sistemi informativi e servizi
informatici di cui all'articolo 1, comma 2, lettera b), del
decreto-legge 21 settembre 2019, n. 105, convertito, con
modificazioni, dalla legge 18 novembre 2019, n. 133, e di misure
volte a garantire elevati livelli di sicurezza;
Visto il decreto del Ministro delle comunicazioni 15 febbraio 2006,
pubblicato nella Gazzetta Ufficiale n. 82 del 7 aprile 2006;
Visto il decreto del Presidente del Consiglio dei ministri del 17
febbraio 2017, recante direttiva concernente indirizzi per la
protezione cibernetica e la sicurezza informatica nazionali,
pubblicato nella Gazzetta ufficiale della Repubblica italiana n. 87
del 13 aprile 2017;
Visto il decreto del Ministro dello sviluppo economico 15 febbraio
2019, recante l'istituzione del Centro di Valutazione e
Certificazione Nazionale;
Visto il decreto del Presidente del Consiglio dei ministri 15
giugno 2021 recante l'individuazione delle categorie di beni, sistemi
e servizi ICT destinati ad essere impiegati nel perimetro di
sicurezza nazionale cibernetica, in attuazione dell'articolo 1, comma
6, lettera a), del decreto-legge 21 settembre 2019, n. 105,
convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133,
pubblicato nella GU n. 198 del 19 agosto 2021;
Ritenuto di dover stabilire i criteri di accreditamento dei
laboratori di prova da parte del CVCN e i raccordi, ivi compresi i
contenuti, le modalita' e i termini delle comunicazioni, tra il CVCN
e i predetti laboratori, nonche' tra il CVCN e i Centri di
Valutazione del Ministero dell'interno e del Ministero della difesa,
anche al fine di assicurare il coordinamento delle rispettive
attivita' e garantire la massima convergenza e la non duplicazione
delle valutazioni in presenza di medesimi condizioni e livelli di
rischio;
Udito il parere del Consiglio di Stato n. 01584 del 1° ottobre 2021
espresso dalla sezione consultiva per gli atti normativi
nell'adunanza del 7 settembre 2021;
Sulla proposta del Comitato interministeriale per la
cybersicurezza;
Adotta
il seguente regolamento:
Art. 1
Definizioni
1. Ai fini del presente decreto si intende per:
a) decreto-legge, il decreto-legge 21 settembre 2019, n. 105,
convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133;
b) perimetro, il perimetro di sicurezza nazionale cibernetica
istituito ai sensi dell'articolo 1, comma 1, del decreto-legge;
c) soggetti inclusi nel perimetro, i soggetti inseriti
nell'elenco di cui all'articolo 1, comma 2-bis, del decreto-legge;
d) DPR, il decreto del Presidente della Repubblica 5 febbraio
2021, n. 54, di cui all'articolo 1, comma 6, del decreto-legge;
e) rete, sistema informativo:
1) una rete di comunicazione elettronica ai sensi dell'articolo
2, comma 1, lettera vv), del decreto legislativo 1° agosto 2003, n.
259;
2) qualsiasi dispositivo o gruppo di dispositivi interconnessi
o collegati, uno o piu' dei quali eseguono, in base ad un programma,
un trattamento automatico di dati digitali, ivi inclusi i sistemi di
controllo industriale;
3) i dati digitali conservati, trattati, estratti o trasmessi
per mezzo di reti o dispositivi di cui ai numeri 1) e 2), per il loro
funzionamento, uso, protezione e manutenzione, compresi i programmi
di cui al numero 2);
f) servizio informatico, un servizio consistente interamente o
prevalentemente nel trattamento di informazioni, per mezzo della rete
e dei sistemi informativi, ivi incluso quello di cloud computing di
cui all'articolo 3, comma 1, lettera aa), del decreto legislativo 18
maggio 2018, n. 65;
g) bene ICT (information and communication technology), un
insieme di reti, sistemi informativi e servizi informatici, o parti
di essi, di qualunque natura, considerato unitariamente ai fini dello
svolgimento di funzioni essenziali dello Stato o per l'erogazione di
servizi essenziali, ai sensi dell'articolo 7 del decreto del
Presidente del Consiglio dei ministri 30 luglio 2020, n. 131, recante
il regolamento di cui all'articolo 1, comma 2, del decreto-legge;
h) categorie, le tipologie di beni, sistemi o servizi ICT
destinati ad essere impiegati sui beni ICT individuate dal decreto
del Presidente del Consiglio dei ministri 15 giugno 2021, sulla base
di criteri tecnici di cui all'articolo 13 del DPR, la cui
acquisizione e' subordinata alla valutazione del CVCN o dei CV, ai
sensi dell'articolo 1, comma 6, lettera a), del decreto-legge;
i) oggetto della fornitura, bene, sistema o servizio ICT
appartenente alle categorie che il soggetto incluso nel perimetro
intende acquisire, destinato all'impiego sui beni ICT individuati ai
sensi dell'articolo 7 del decreto del Presidente del Consiglio dei
ministri 30 luglio 2020, n. 131;
l) Agenzia, l'Agenzia per la cybersicurezza nazionale, istituita
a tutela degli interessi nazionali nel campo della cybersicurezza,
anche ai fini della tutela della sicurezza nazionale nello spazio
cibernetico, con decreto-legge 14 giugno 2021, n. 82, convertito, con
modificazioni, dalla legge 4 agosto 2021, n. 109;
m) CVCN, il Centro di Valutazione e Certificazione Nazionale di
cui all'articolo 1, comma 6, lettera a), del decreto-legge, come
modificato dal decreto-legge 14 giugno 2021, n. 82, che opera secondo
modalita', termini e procedure definiti nel DPR;
n) CV, i Centri di Valutazione del Ministero dell'interno e del
Ministero della difesa di cui all'articolo 1, comma 6, lettera a),
del decreto-legge;
o) oggetto della valutazione, l'oggetto della fornitura
sottoposto al procedimento di valutazione da parte del CVCN o dei CV
secondo modalita', termini e procedure definiti nel DPR;
p) fornitore, persona fisica o giuridica che fornisce l'oggetto
della fornitura destinato alle reti, ai sistemi informativi e ai
servizi informatici di cui all'articolo 1, comma 2, lettera b), del
decreto-legge;
q) LAP, laboratorio di prova che ha ottenuto l'accreditamento dal
CVCN ai sensi dell'articolo 1, comma 7, lettera b), del
decreto-legge;
r) accreditamento, il riconoscimento formale dell'indipendenza,
affidabilita' e competenza tecnica di un laboratorio di prova o CV,
ai fini dell'esecuzione dei test di cui all'articolo 5, comma 3, del
DPR, secondo le pertinenti modalita' di cui all'articolo 7 del
medesimo DPR;
s) determinazione tecnica del CVCN, documento elaborato dal CVCN,
concordato con i CV per gli aspetti di loro competenza, contenente
regole, requisiti, specifiche tecniche, procedure per
l'accreditamento dei laboratori di prova e il raccordo tra il CVCN, i
LAP e i CV;
t) rapporto di prova, documento su cui sono registrati gli esiti
analitici e le informazioni necessarie all'interpretazione dei
risultati dei test eseguiti, redatto in conformita' alle prescrizioni
della norma EN ISO/IEC 17025;
u) rapporto di valutazione, documento redatto dal CVCN e dai CV
sulla base del rapporto di prova di cui all'articolo 8, commi 1 e 2,
del DPR;
v) responsabile del laboratorio di prova, la persona che ha la
responsabilita' e l'autorita' definite per l'esecuzione di tutte le
operazioni gestionali e tecniche relative alle funzioni per cui il
laboratorio di prova e' accreditato;
z) responsabile del sistema di gestione per la qualita', la
persona che ha la responsabilita' e l'autorita' definite per
garantire che il sistema di gestione per la qualita' sia attuato,
seguito e migliorato in modo continuativo;
aa) responsabile per i rapporti con il CVCN, la persona che ha la
responsabilita' e l'autorita' definite per curare i rapporti con il
CVCN;
bb) richiedente, il soggetto che ha presentato domanda per
l'accreditamento di un laboratorio di prova;
cc) amministrazione pubblica, amministrazione pubblica
individuata nell'elenco di cui all'articolo 1, comma 3, della legge
31 dicembre 2009, n. 196;
dd) titolare di un laboratorio di prova, la persona fisica o
giuridica che, quale proprietario, o nell'esercizio d'impresa o in
base a ogni altro titolo, eserciti il controllo o la gestione del
laboratorio;
ee) verifica, attivita' di analisi e controllo documentale delle
evidenze al fine di accertare il rispetto e il mantenimento dei
requisiti necessari per l'accreditamento;
ff) ispezione, attivita' di tipo ricognitivo e valutativo che si
articola nell'analisi, rilevazione, acquisizione e verifica di
conformita' di elementi di fatto al fine di accertare il rispetto e
il mantenimento dei requisiti necessari per l'accreditamento;
gg) incidente, ogni evento di natura accidentale o intenzionale
che determina il malfunzionamento, l'interruzione, anche parziali,
ovvero l'utilizzo improprio delle reti, dei sistemi informativi o dei
servizi informatici;
hh) CSIRT Italia, il Computer security incident response team
istituito ai sensi dell'articolo 8 del decreto legislativo 18 maggio
2018, n. 65.
NOTE
Avvertenza:
Il testo delle note qui pubblicato e' stato redatto
dall'amministrazione competente per materia, ai sensi
dell'art. 10, comma 3, del testo unico delle disposizioni
sulla promulgazione delle leggi, sull'emanazione dei
decreti del Presidente della Repubblica e sulle
pubblicazioni ufficiali della Repubblica italiana,
approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo
fine di facilitare la lettura delle disposizioni di legge
alle quali e' operato il rinvio. Restano invariati il
valore e l'efficacia degli atti legislativi qui trascritti.
Note alle premesse
- La legge 23 agosto 1988, n. 400 (Disciplina
dell'attivita' di Governo e ordinamento della Presidenza
del Consiglio dei ministri), e' pubblicata nella Gazzetta
Ufficiale 12 settembre 1988, n. 214, S.O. n. 86.
- Si riporta il testo dell'articolo 1, comma 7, lett.
b), del decreto-legge 21 settembre 2019, n. 105
(Disposizioni urgenti in materia di perimetro di sicurezza
nazionale cibernetica e di disciplina dei poteri speciali
nei settori di rilevanza strategica), pubblicato nella
Gazzetta Ufficiale 21 settembre 2019, n. 222, e convertito,
con modificazioni, dalla legge 18 novembre 2019, n. 133:
«Art. 1 (Perimetro di sicurezza nazionale
cibernetica). - 1. - 6. (omissis)
7. Nell'ambito dell'approvvigionamento di prodotti,
processi, servizi ICT e associate infrastrutture destinati
alle reti, ai sistemi informativi e per l'espletamento dei
servizi informatici di cui al comma 2, lettera b), il CVCN
assume i seguenti compiti:
a) (omissis);
b) ai fini della verifica delle condizioni di
sicurezza e dell'assenza di vulnerabilita' note, anche in
relazione all'ambito di impiego, definisce le metodologie
di verifica e di test e svolge le attivita' di cui al comma
6, lettera a), dettando, se del caso, anche prescrizioni di
utilizzo al committente; a tali fini il CVCN si avvale
anche di laboratori dallo stesso accreditati secondo
criteri stabiliti da un decreto del Presidente del
Consiglio dei ministri, adottato entro dieci mesi dalla
data di entrata in vigore della legge di conversione del
presente decreto, su proposta del CIC, impiegando, per le
esigenze delle amministrazioni centrali dello Stato, quelli
eventualmente istituiti, senza nuovi o maggiori oneri a
carico della finanza pubblica, presso le medesime
amministrazioni. Con lo stesso decreto sono altresi'
stabiliti i raccordi, ivi compresi i contenuti, le
modalita' e i termini delle comunicazioni, tra il CVCN e i
predetti laboratori, nonche' tra il medesimo CVCN e i
Centri di valutazione del Ministero dell'interno e del
Ministero della difesa, di cui al comma 6, lettera a),
anche la fine di assicurare il coordinamento delle
rispettive attivita' e perseguire la convergenza e la non
duplicazione delle valutazioni in presenza di medesimi
condizioni e livelli di rischio;».
- Si riporta il testo dell'articolo 16 della legge 1°
aprile 1981, n. 121 (Nuovo ordinamento dell'Amministrazione
della pubblica sicurezza), pubblicato nella Gazzetta
Ufficiale 10 aprile 1981, n. 100, S.O:
«Art. 16 (Forze di polizia). - Ai fini della tutela
dell'ordine e della sicurezza pubblica, oltre alla polizia
di Stato sono forze di polizia, fermi restando i rispettivi
ordinamenti e dipendenze:
a) l'Arma dei carabinieri, quale forza armata in
servizio permanente di pubblica sicurezza;
b) il Corpo della guardia di finanza, per il
concorso al mantenimento dell'ordine e della sicurezza
pubblica.
Fatte salve le rispettive attribuzioni e le normative
dei vigenti ordinamenti, sono altresi' forze di polizia e
possono essere chiamati a concorrere nell'espletamento di
servizi di ordine e sicurezza pubblica il Corpo degli
agenti di custodia e il Corpo forestale dello Stato.
Le forze di polizia possono essere utilizzate anche
per il servizio di pubblico soccorso.».
- Il decreto legislativo 8 giugno 2001, n. 231
(Disciplina della responsabilita' amministrativa delle
persone giuridiche, delle societa' e delle associazioni
anche prive di personalita' giuridica, a norma
dell'articolo 11 della legge 29 settembre 2000, n. 300), e'
pubblicato nella Gazzetta Ufficiale 19 giugno 2001, n. 140.
- Si riporta il testo dell'articolo 6 del decreto
legislativo 30 dicembre 2003, n. 366 (Modifiche ed
integrazioni al decreto legislativo 30 luglio 1999, n. 300,
concernenti le funzioni e la struttura organizzativa del
Ministero delle comunicazioni, a norma dell'articolo 1
della legge 6 luglio 2002, n. 137), pubblicato nella
Gazzetta Ufficiale 8 gennaio 2004, n. 5:
«Art. 6 (Individuazione delle prestazioni in conto
terzi e produttivita' del personale). - 1. Con decreto del
Ministro delle comunicazioni, di concerto con il Ministro
dell'economia e delle finanze, da emanare entro sessanta
giorni dalla data di entrata in vigore del presente decreto
legislativo, si provvede all'individuazione delle
prestazioni eseguite dal Ministero delle comunicazioni per
conto terzi e alla variazione in aumento delle tariffe
previste dal D.M. 5 settembre 1995 del Ministro delle poste
e delle telecomunicazioni, concernente tariffazione delle
prestazioni scientifiche e sperimentali eseguite
dall'Istituto superiore delle poste e delle
telecomunicazioni per conto terzi, pubblicato nella
Gazzetta Ufficiale n. 273 del 29 novembre 1995 e dal D.M.
24 settembre 2003 del Ministro delle comunicazioni,
concernente determinazione delle quote di surrogazione del
personale, dei costi di uso delle apparecchiature e degli
automezzi e delle spese generali ai fini del rimborso degli
oneri sostenuti dal Ministero delle comunicazioni per
prestazioni rese a terzi, pubblicato nella Gazzetta
Ufficiale n. 284 del 6 dicembre 2003.
2. In considerazione dell'accresciuta complessita'
delle funzioni e dei compiti assegnati al Ministero
dall'articolo 32-ter, comma 1, lettere h), i) ed m), del
decreto legislativo 30 luglio 1999, n. 300, come modificato
dall'articolo 2, comma 1, del presente decreto legislativo,
dall'articolo 2-bis, comma 10, del decreto-legge 23 gennaio
2001, n. 5, convertito, con modificazioni, dalla legge 20
marzo 2001, n. 66, come modificato dall'articolo 41, comma
8, della legge 16 gennaio 2003, n. 3, dal decreto
legislativo 9 maggio 2001, n. 269, nonche' dal decreto
legislativo 1° agosto 2003, n. 259, una somma non superiore
al 30 per cento delle entrate provenienti dalla riscossione
dei compensi per prestazioni non rientranti tra i servizi
pubblici essenziali o non espletate a garanzia di diritti
fondamentali rese dal Ministero delle comunicazioni per
conto terzi, certificate con decreto del Ministro delle
comunicazioni, e' destinata, d'intesa con le organizzazioni
sindacali, all'incentivazione della produttivita' del
personale in servizio presso il predetto Ministero, ai
sensi della vigente normativa. Il Ministro dell'economia e
delle finanze e' autorizzato ad apportare con propri
decreti le occorrenti variazioni di bilancio.».
- Si riporta il testo dell'articolo 1, comma 3, della
legge 31 dicembre 2009, n. 196 (Legge di contabilita' e
finanza pubblica), pubblicata nella Gazzetta Ufficiale 31
dicembre 2009, n. 303, S.O. n. 245:
«Art. 1 (Principi di coordinamento e ambito di
riferimento). - 1. - 2. (omissis)
3. La ricognizione delle amministrazioni pubbliche di
cui al comma 2 e' operata annualmente dall'ISTAT con
proprio provvedimento e pubblicata nella Gazzetta Ufficiale
entro il 30 settembre.».
- Il decreto-legge 14 giugno 2021, n. 82 (Disposizioni
urgenti in materia di cybersicurezza, definizione
dell'architettura nazionale di cybersicurezza e istituzione
dell'Agenzia per la cybersicurezza nazionale), e'
pubblicato nella Gazzetta Ufficiale 14 giugno 2021, n. 140,
e convertito, con modificazioni, dalla legge 4 agosto 2021,
n. 109.
- Il decretodel Presidente del Consiglio dei ministri
30 luglio 2020, n. 131 (Regolamento in materia di perimetro
di sicurezza nazionale cibernetica, ai sensi dell'articolo
1, comma 2, del decreto-legge 21 settembre 2019, n. 105,
convertito, con modificazioni, dalla legge 18 novembre
2019, n. 133), e' pubblicato nella Gazzetta Ufficiale 21
ottobre 2020, n. 261.
- Il decreto del Presidente della Repubblica 5 febbraio
2021, n. 54 (Regolamento recante attuazione dell'articolo
1, comma 6, del decreto-legge 21 settembre 2019, n. 105,
convertito, con modificazioni, dalla legge 18 novembre
2019, n. 133), e' pubblicato nella Gazzetta Ufficiale 23
aprile 2021, n. 97.
- Il decreto del Presidente del Consiglio dei ministri
14 aprile 2021, n. 81 (Regolamento in materia di notifiche
degli incidenti aventi impatto su reti, sistemi informativi
e servizi informatici di cui all'articolo 1, comma 2,
lettera b), del decreto-legge 21 settembre 2019, n. 105,
convertito, con modificazioni, dalla legge 18 novembre
2019, n. 133, e di misure volte a garantire elevati livelli
di sicurezza), e' pubblicato nella Gazzetta Ufficiale 11
giugno 2021, n. 138.
Note all'art. 1:
- Si riporta il testo dell'articolo 1, commi 1 e 2-bis,
del citato decreto-legge 21 settembre 2019, n. 105
(Disposizioni urgenti in materia di perimetro di sicurezza
nazionale cibernetica e di disciplina dei poteri speciali
nei settori di rilevanza strategica):
«Art. 1 (Perimetro di sicurezza nazionale
cibernetica). - 1. Al fine di assicurare un livello elevato
di sicurezza delle reti, dei sistemi informativi e dei
servizi informatici delle amministrazioni pubbliche, degli
enti e degli operatori pubblici e privati aventi una sede
nel territorio nazionale, da cui dipende l'esercizio di una
funzione essenziale dello Stato, ovvero la prestazione di
un servizio essenziale per il mantenimento di attivita'
civili, sociali o economiche fondamentali per gli interessi
dello Stato e dal cui malfunzionamento, interruzione, anche
parziali, ovvero utilizzo improprio, possa derivare un
pregiudizio per la sicurezza nazionale, e' istituito il
perimetro di sicurezza nazionale cibernetica.
2. (omissis).
2-bis. L'elencazione dei soggetti individuati ai
sensi del comma 2, lettera a), e' contenuta in un atto
amministrativo, adottato dal Presidente del Consiglio dei
ministri, su proposta del CIC, entro trenta giorni dalla
data di entrata in vigore del decreto del Presidente del
Consiglio dei ministri di cui al comma 2. Il predetto atto
amministrativo, per il quale e' escluso il diritto di
accesso, non e' soggetto a pubblicazione, fermo restando
che a ciascun soggetto e' data, separatamente,
comunicazione senza ritardo dell'avvenuta iscrizione
nell'elenco. L'aggiornamento del predetto atto
amministrativo e' effettuato con le medesime modalita' di
cui al presente comma.».
- Per il decreto del Presidente della Repubblica 5
febbraio 2021, n. 54 si veda nelle note alle premesse.
- Si riporta il testo dell'articolo 1, comma 6, del
citato decreto-legge 21 settembre 2019, n. 105:
«Art. 1 (Perimetro di sicurezza nazionale
cibernetica). - 1. - 5. (omissis)
6. Con regolamento, adottato ai sensi dell'articolo
17, comma 1, della legge 23 agosto 1988, n. 400, entro
dieci mesi dalla data di entrata in vigore della legge di
conversione del presente decreto, sono disciplinati le
procedure, le modalita' e i termini con cui:
a) i soggetti di cui al comma 2-bis, che intendano
procedere, anche per il tramite delle centrali di
committenza alle quali essi sono tenuti a fare ricorso ai
sensi dell'articolo 1, comma 512, della legge 28 dicembre
2015, n. 208, all'affidamento di forniture di beni, sistemi
e servizi ICT destinati a essere impiegati sulle reti, sui
sistemi informativi e per l'espletamento dei servizi
informatici di cui al comma 2, lettera b), appartenenti a
categorie individuate, sulla base di criteri di natura
tecnica, con decreto del Presidente del Consiglio dei
ministri, da adottare entro dieci mesi dalla data di
entrata in vigore della legge di conversione del presente
decreto, ne danno comunicazione al Centro di valutazione e
certificazione nazionale (CVCN), istituito presso il
Ministero dello sviluppo economico; la comunicazione
comprende anche la valutazione del rischio associato
all'oggetto della fornitura, anche in relazione all'ambito
di impiego. L'obbligo di comunicazione di cui alla presente
lettera e' efficace a decorrere dal trentesimo giorno
successivo alla pubblicazione nella Gazzetta Ufficiale
della Repubblica italiana del decreto del Presidente del
Consiglio dei ministri che, sentita l'Agenzia per la
cybersicurezza nazionale, attesta l'operativita' del CVCN e
comunque dal 30 giugno 2022. Entro quarantacinque giorni
dalla ricezione della comunicazione, prorogabili di
quindici giorni, una sola volta, in caso di particolare
complessita', il CVCN puo' effettuare verifiche preliminari
ed imporre condizioni e test di hardware e software da
compiere anche in collaborazione con i soggetti di cui al
comma 2-bis, secondo un approccio gradualmente crescente
nelle verifiche di sicurezza. Decorso il termine di cui al
precedente periodo senza che il CVCN si sia pronunciato, i
soggetti che hanno effettuato la comunicazione possono
proseguire nella procedura di affidamento. In caso di
imposizione di condizioni e test di hardware e software, i
relativi bandi di gara e contratti sono integrati con
clausole che condizionano, sospensivamente ovvero
risolutivamente, il contratto al rispetto delle condizioni
e all'esito favorevole dei test disposti dal CVCN. I test
devono essere conclusi nel termine di sessanta giorni.
Decorso il termine di cui al precedente periodo, i soggetti
che hanno effettuato la comunicazione possono proseguire
nella procedura di affidamento. In relazione alla
specificita' delle forniture di beni, sistemi e servizi ICT
da impiegare su reti, sistemi informativi e servizi
informatici del Ministero dell'interno e del Ministero
della difesa, individuati ai sensi del comma 2, lettera b),
i predetti Ministeri, nell'ambito delle risorse umane e
finanziarie disponibili a legislazione vigente e senza
nuovi o maggiori oneri a carico della finanza pubblica, in
coerenza con quanto previsto dal presente decreto, possono
procedere, con le medesime modalita' e i medesimi termini
previsti dai periodi precedenti, attraverso la
comunicazione ai propri Centri di valutazione accreditati
per le attivita' di cui al presente decreto, ai sensi del
comma 7, lettera b), che impiegano le metodologie di
verifica e di test definite dal CVCN. Per tali casi i
predetti Centri informano il CVCN con le modalita'
stabilite con il decreto del Presidente del Consiglio dei
ministri, di cui al comma 7, lettera b). Non sono oggetto
di comunicazione gli affidamenti delle forniture di beni,
sistemi e servizi ICT destinate alle reti, ai sistemi
informativi e ai servizi informatici per lo svolgimento
delle attivita' di prevenzione, accertamento e repressione
dei reati e i casi di deroga stabiliti dal medesimo
regolamento con riguardo alle forniture di beni, sistemi e
servizi ICT per le quali sia indispensabile procedere in
sede estera, fermo restando, in entrambi i casi, l'utilizzo
di beni, sistemi e servizi ICT conformi ai livelli di
sicurezza di cui al comma 3, lettera b), salvo motivate
esigenze connesse agli specifici impieghi cui essi sono
destinati;
b) i soggetti individuati quali fornitori di beni,
sistemi e servizi destinati alle reti, ai sistemi
informativi e ai servizi informatici di cui al comma 2,
lettera b), assicurano al CVCN e, limitatamente agli ambiti
di specifica competenza, ai Centri di valutazione operanti
presso i Ministeri dell'interno e della difesa, di cui alla
lettera a) del presente comma, la propria collaborazione
per l'effettuazione delle attivita' di test di cui alla
lettera a) del presente comma, sostenendone gli oneri; il
CVCN segnala la mancata collaborazione al Ministero dello
sviluppo economico, in caso di fornitura destinata a
soggetti privati, o alla Presidenza del Consiglio dei
ministri, in caso di fornitura destinata a soggetti
pubblici ovvero a quelli di cui all'articolo 29 del codice
di cui al decreto legislativo 7 marzo 2005, n. 82; sono
inoltrate altresi' alla Presidenza del Consiglio dei
ministri le analoghe segnalazioni dei Centri di valutazione
dei Ministeri dell'interno e della difesa, di cui alla
lettera a);
c) la Presidenza del Consiglio dei ministri, per i
profili di pertinenza dei soggetti pubblici e di quelli di
cui all'articolo 29 del codice dell'Amministrazione
digitale di cui al decreto legislativo 7 marzo 2005, n. 82,
di cui al comma 2-bis, e il Ministero dello sviluppo
economico, per i soggetti privati di cui al medesimo comma,
svolgono attivita' di ispezione e verifica in relazione a
quanto previsto dal comma 2, lettera b), dal comma 3, dal
presente comma e dal comma 7, lettera b), impartendo, se
necessario, specifiche prescrizioni; nello svolgimento
delle predette attivita' di ispezione e verifica l'accesso,
se necessario, a dati o metadati personali e amministrativi
e' effettuato in conformita' a quanto previsto dal
regolamento (UE) 2016/679 del Parlamento europeo e del
Consiglio, del 27 aprile 2016, e dal codice in materia di
protezione dei dati personali, di cui al decreto
legislativo 30 giugno 2003, n. 196; per le reti, i sistemi
informativi e i servizi informatici di cui al comma 2,
lettera b), connessi alla funzione di prevenzione e
repressione dei reati, alla tutela dell'ordine e della
sicurezza pubblica, alla difesa civile e alla difesa e
sicurezza militare dello Stato, le attivita' di ispezione e
verifica sono svolte, nell'ambito delle risorse umane e
finanziarie disponibili a legislazione vigente e senza
nuovi o maggiori oneri a carico della finanza pubblica,
dalle strutture specializzate in tema di protezione di reti
e sistemi, nonche', nei casi in cui siano espressamente
previste dalla legge, in tema di prevenzione e di contrasto
del crimine informatico, delle amministrazioni da cui
dipendono le Forze di polizia e le Forze armate, che ne
comunicano gli esiti alla Presidenza del Consiglio dei
ministri per i profili di competenza.».
- Si riporta il testo dell'articolo 2, comma 1, lettera
vv), del decreto legislativo 1º agosto 2003, n. 259 (Codice
delle comunicazioni elettroniche), pubblicato nella
Gazzetta Ufficiale 15 settembre 2003, n. 214, S.O. n. 150:
«Art. 2 (Definizioni) (ex art. 2 eecc e art. 1 Codice
2003). - 1. Ai fini del presente decreto si intende per:
a) - uu) (omissis)
vv). reti di comunicazione elettronica: i sistemi
di trasmissione, basati o meno su un'infrastruttura
permanente o una capacita' di amministrazione centralizzata
e, se del caso, le apparecchiature di commutazione o di
instradamento e altre risorse, inclusi gli elementi di rete
non attivi, che consentono di trasmettere segnali via cavo,
via radio, a mezzo di fibre ottiche o con altri mezzi
elettromagnetici, comprese le reti satellitari, le reti
mobili e fisse (a commutazione di circuito e a commutazione
di pacchetto, compresa internet), i sistemi per il
trasporto via cavo della corrente elettrica, nella misura
in cui siano utilizzati per trasmettere i segnali, le reti
utilizzate per la diffusione radiotelevisiva e le reti
televisive via cavo, indipendentemente dal tipo di
informazione trasportato;».
- Si riporta il testo dell'articolo 3, comma 1, lettera
aa), del decreto legislativo 18 maggio 2018, n. 65
(Attuazione della direttiva (UE) 2016/1148 del Parlamento
europeo e del Consiglio, del 6 luglio 2016, recante misure
per un livello comune elevato di sicurezza delle reti e dei
sistemi informativi nell'Unione), pubblicato nella Gazzetta
Ufficiale 9 giugno 2018, n. 132:
«Art. 3 (Definizioni). - 1. Ai fini del presente
decreto si intende per:
a) - z) (omissis)
aa). servizio di cloud computing, un servizio
digitale che consente l'accesso a un insieme scalabile ed
elastico di risorse informatiche condivisibili.».
- Si riporta il testo dell'articolo 7 del decreto del
Presidente del Consiglio dei ministri 30 luglio 2020, n.
131 (Regolamento in materia di perimetro di sicurezza
nazionale cibernetica, ai sensi dell'articolo 1, comma 2,
del decreto-legge 21 settembre 2019, n. 105, convertito,
con modificazioni, dalla legge 18 novembre 2019, n. 133):
«Art. 7 (Definizione dei criteri per la
predisposizione e l'aggiornamento degli elenchi delle reti,
dei sistemi informativi e dei servizi informatici). - 1. Ai
sensi dell'articolo 1, comma 2, del decreto-legge, i
soggetti inclusi nel perimetro predispongono e aggiornano,
con cadenza almeno annuale, l'elenco di beni ICT di
rispettiva pertinenza, con l'indicazione delle reti, dei
sistemi informativi e dei servizi informatici che li
compongono, osservando i criteri individuati nel successivo
comma.
2. Ricevuta la comunicazione prevista dall'articolo
1, comma 2-bis), secondo periodo, del decreto-legge, i
soggetti inclusi nel perimetro, in esito all'analisi del
rischio, per ogni funzione essenziale o servizio essenziale
di cui all'articolo 4, comma 1, lettera c), provvedono:
a) ad individuare i beni ICT necessari a svolgere
la funzione essenziale o il servizio essenziale. A tale
fine sono valutati:
1) l'impatto di un incidente sul bene ICT, in
termini sia di limitazione della operativita' del bene
stesso, sia di compromissione della disponibilita',
integrita', o riservatezza dei dati e delle informazioni da
esso trattati, ai fini dello svolgimento della funzione o
del servizio essenziali;
2) le dipendenze con altre reti, sistemi
informativi, servizi informatici o infrastrutture fisiche
di pertinenza di altri soggetti, ivi compresi quelli
utilizzati per fini di manutenzione e gestione;
b) a predisporre l'elenco dei beni ICT di cui
all'articolo 1, comma 2, lettera b), del decreto-legge. In
fase di prima applicazione e fino all'aggiornamento del
presente decreto, ai sensi dell'articolo 1, comma 5, del
decreto-legge, sono individuati, all'esito dell'analisi del
rischio, in ossequio al principio di gradualita', i beni
ICT che, in caso di incidente, causerebbero l'interruzione
totale dello svolgimento della funzione essenziale o del
servizio essenziale o una compromissione degli stessi con
effetti irreversibili sotto il profilo della integrita' o
della riservatezza dei dati e delle informazioni.
3. Per le reti, i sistemi informativi e i servizi
informatici attinenti alla gestione delle informazioni
classificate si applica quanto previsto dall'articolo 1,
comma 2, lettera b), del decreto-legge.».
- Si riporta il testo dell'articolo 1, comma 2, del
citato decreto-legge 21 settembre 2019, n. 105:
«Art. 1 (Perimetro di sicurezza nazionale
cibernetica). - 1. (omissis)
2. Entro quattro mesi dalla data di entrata in vigore
della legge di conversione del presente decreto, con
decreto del Presidente del Consiglio dei ministri, adottato
su proposta del Comitato interministeriale per la
cybersicurezza (CIC):
a) sono definiti modalita' e criteri procedurali di
individuazione di amministrazioni pubbliche, enti e
operatori pubblici e privati di cui al comma 1 aventi una
sede nel territorio nazionale, inclusi nel perimetro di
sicurezza nazionale cibernetica e tenuti al rispetto delle
misure e degli obblighi previsti dal presente articolo; ai
fini dell'individuazione, fermo restando che per gli
Organismi di informazione per la sicurezza si applicano le
norme previste dalla legge 3 agosto 2007, n. 124, si
procede sulla base dei seguenti criteri:
1) il soggetto esercita una funzione essenziale
dello Stato, ovvero assicura un servizio essenziale per il
mantenimento di attivita' civili, sociali o economiche
fondamentali per gli interessi dello Stato;
2) l'esercizio di tale funzione o la prestazione
di tale servizio dipende da reti, sistemi informativi e
servizi informatici;
2-bis) l'individuazione avviene sulla base di un
criterio di gradualita', tenendo conto dell'entita' del
pregiudizio per la sicurezza nazionale che, in relazione
alle specificita' dei diversi settori di attivita', puo'
derivare dal malfunzionamento, dall'interruzione, anche
parziali, ovvero dall'utilizzo improprio delle reti, dei
sistemi informativi e dei servizi informatici predetti;
b) sono definiti, sulla base di un'analisi del
rischio e di un criterio di gradualita' che tenga conto
delle specificita' dei diversi settori di attivita', i
criteri con i quali i soggetti di cui al comma 2-bis
predispongono e aggiornano con cadenza almeno annuale un
elenco delle reti, dei sistemi informativi e dei servizi
informatici di cui al comma 1, di rispettiva pertinenza,
comprensivo della relativa architettura e componentistica,
fermo restando che, per le reti, i sistemi informativi e i
servizi informatici attinenti alla gestione delle
informazioni classificate, si applica quanto previsto dal
regolamento adottato ai sensi dell'articolo 4, comma 3,
lettera l), della legge 3 agosto 2007, n. 124;
all'elaborazione di tali criteri provvede, adottando
opportuni moduli organizzativi, il Tavolo interministeriale
di cui all'articolo 6 del regolamento di cui al decreto del
Presidente del Consiglio dei ministri 30 luglio 2020, n.
131; entro sei mesi dalla data della comunicazione,
prevista dal comma 2-bis, a ciascuno dei soggetti iscritti
nell'elenco di cui al medesimo comma, i soggetti pubblici e
quelli di cui all'articolo 29 del codice
dell'amministrazione digitale, di cui al decreto
legislativo 7 marzo 2005, n. 82, nonche' quelli privati, di
cui al citato comma 2-bis, trasmettono tali elenchi
all'Agenzia per la cybersicurezza nazionale, anche per le
attivita' di prevenzione, preparazione e gestione di crisi
cibernetiche affidate al Nucleo per la cybersicurezza; il
Dipartimento delle informazioni per la sicurezza, l'Agenzia
informazioni e sicurezza esterna (AISE) e l'Agenzia
informazioni e sicurezza interna (AISI) ai fini
dell'esercizio delle funzioni istituzionali previste dagli
articoli 1, comma 3-bis, 4, 6 e 7 della legge n. 124 del
2007, nonche' l'organo del Ministero dell'interno per la
sicurezza e per la regolarita' dei servizi di
telecomunicazione di cui all'articolo 7-bis del
decreto-legge 27 luglio 2005, n. 144, convertito, con
modificazioni, dalla legge 31 luglio 2005, n. 155, accedono
a tali elenchi per il tramite della piattaforma digitale di
cui all'articolo 9, comma 1, del regolamento di cui al
decreto del Presidente del Consiglio dei ministri n. 131
del 2020, costituita presso l'Agenzia per la cybersicurezza
nazionale.».
- Per il decreto del Presidente del Consiglio dei
ministri 15 giugno 2021 si veda nelle premesse.
- Si riporta il testo dell'articolo 13 del citato
decreto del Presidente della Repubblica 5 febbraio 2021, n.
54 (Regolamento recante attuazione dell'articolo 1, comma
6, del decreto-legge 21 settembre 2019, n. 105, convertito,
con modificazioni, dalla legge 18 novembre 2019, n. 133):
«Art. 13 (Criteri tecnici per l'individuazione delle
categorie). - 1. Le categorie di beni, sistemi e servizi
ICT oggetto della valutazione da parte del CVCN o dai CV
sono individuate sulla base dell'esecuzione o svolgimento
delle seguenti funzioni:
a) commutazione oppure protezione da intrusioni e
rilevazione di minacce informatiche in una rete, ivi
inclusa l'applicazione di politiche di sicurezza;
b) comando, controllo e attuazione in una rete di
controllo industriale;
c) monitoraggio e controllo di configurazione di
una rete di comunicazione elettronica;
d) sicurezza della rete riguardo alla
disponibilita', autenticita', integrita' o riservatezza dei
servizi offerti o dei dati conservati, trasmessi o
trattati;
e) autenticazione e allocazione delle risorse di
una rete di comunicazione elettronica;
f) implementazione di un servizio informatico per
mezzo della configurazione di un programma software
esistente oppure dello sviluppo, parziale o totale, di un
nuovo programma software, costituente la parte applicativa
rilevante ai fini dell'erogazione del servizio informatico
stesso.
2. Le categorie, sulla base dei criteri di cui al
comma 1, sono individuate con decreto del Presidente del
Consiglio dei ministri, ai sensi dell'articolo 1, comma 6,
lettera a), del decreto-legge.».
- Per il decreto-legge 14 giugno 2021, n. 82 si veda
nelle note alle premesse.
- Per il testo dell'articolo 1, comma 7, lettera b),
del decreto-legge 21 settembre 2019, n. 105 si veda nelle
note alle premesse.
- Si riporta il testo dell'articolo 5, comma 3,
dell'articolo 7 e dell'articolo 8, commi 1 e 2, del citato
decreto del Presidente della Repubblica 5 febbraio 2021, n.
54:
«Art. 5 (Verifiche preliminari, individuazione di
condizioni e test). - 1.-2. (omissis).
3. Il CVCN e i CV possono richiedere l'esecuzione
delle seguenti tipologie di test:
a) test di corretta implementazione delle
funzionalita' di sicurezza allo scopo di verificare che
queste ultime si comportino secondo le relative specifiche
di progetto;
b) test di intrusione a supporto dell'analisi di
vulnerabilita'.».
«Art. 7 (Esecuzione dei test). - 1. Concluse le
attivita' preliminari di cui all'articolo 6, il CVCN o i CV
comunicano l'avvio dei test al soggetto incluso nel
perimetro e al fornitore. I test si concludono entro i
termini individuati dall'articolo 4, comma 5.
2. Con la comunicazione di cui al comma 1 il CVCN o i
CV specificano le modalita' di collaborazione dei fornitori
durante l'esecuzione delle prove.
3. I test sono eseguiti presso i laboratori del CVCN,
dei CV e dei LAP. Se necessario, possono essere eseguiti da
personale del CVCN, dei CV e dei LAP presso il fornitore o
il soggetto incluso nel perimetro.
4. I test sono effettuati secondo le metodologie
predisposte dal CVCN di cui dall'articolo 4, comma 8,
assicurando il rispetto di quanto previsto all'articolo 4,
comma 9. I CV e i LAP sono tenuti a non divulgare tali
metodologie.
5. Ai sensi dell'articolo 10-bis della legge 7 agosto
1990, n. 241, nel caso in cui si verifichi un
malfunzionamento dell'oggetto di valutazione o
dell'ambiente di test predisposto dal fornitore che renda
impossibile o difficoltosa l'esecuzione dei test, il CVCN o
i CV comunicano tempestivamente al soggetto incluso nel
perimetro, informando anche il fornitore, i motivi che
ostano al proseguimento dei test. Entro il termine di dieci
giorni dalla ricezione della comunicazione, il fornitore
puo' provvedere a risolvere il malfunzionamento. La
predetta comunicazione sospende i termini di cui
all'articolo 4, comma 5, che iniziano nuovamente a
decorrere dalla data di soluzione del malfunzionamento
verificata dal CVCN o dai CV. In caso di eventuale mancata
soluzione entro il termine, il CVCN o i CV comunicano al
soggetto incluso nel perimetro e al fornitore
l'impossibilita' di proseguire l'esecuzione dei test e
concludono il procedimento indicando la motivazione.
6. Il CVCN, i CV e i LAP redigono un rapporto di
prova nel quale sono indicati in dettaglio l'ambiente di
test, le prove eseguite ed i relativi esiti.
7. I LAP, eventualmente incaricati per l'esecuzione
dei test, trasmettono il rapporto di prova al CVCN entro
sette giorni lavorativi dalla scadenza dei termini per
l'esecuzione dei test.
8. Nel caso in cui sia stato incaricato il LAP e si
verifichi un malfunzionamento dell'oggetto di valutazione o
dell'ambiente di test predisposto dal fornitore, lo stesso
LAP informa tempestivamente il CVCN che procede ai sensi
del comma 5.».
«Art. 8 (Esito della valutazione e prescrizioni di
utilizzo). - 1. Sulla base del rapporto di prova di cui
all'articolo 7, commi 6 e 7, il CVCN e i CV redigono il
rapporto di valutazione contenente l'esito dei test. Il
rapporto di valutazione e' comunicato al soggetto incluso
nel perimetro e al fornitore entro i termini di cui
all'articolo 4, comma 5.
2. In caso di esito negativo del rapporto di
valutazione, il CVCN e i CV, previa comunicazione dei
motivi ostativi all'accoglimento dell'istanza ai sensi
dell'articolo 10-bis della legge 7 agosto 1990, n. 241,
comunicano al soggetto incluso nel perimetro e al fornitore
il provvedimento negativo motivato.».
- Per il testo dell'articolo 1, comma 3, della legge 31
dicembre 2009, n. 196 si veda nelle note alle premesse.
- Si riporta il testo vigente dell'articolo 8 del
citato decreto legislativo 18 maggio 2018, n. 65:
«Art. 8 (Gruppi di intervento per la sicurezza
informatica in caso di incidente - CSIRT). - 1. E'
istituito, presso l'Agenzia per la cybersicurezza
nazionale, il CSIRT Italia, che svolge i compiti e le
funzioni del Computer Emergency Response Team (CERT)
nazionale, di cui all'articolo 16-bis del decreto
legislativo 1° agosto 2003, n. 259, e del CERT-PA, gia'
operante presso l'Agenzia per l'Italia digitale ai sensi
dell'articolo 51 del decreto legislativo 7 marzo 2005, n.
82.
2. L'organizzazione e il funzionamento del CSIRT
Italia sono disciplinati con decreto del Presidente del
Consiglio dei ministri ai sensi dell'articolo 7 del decreto
legislativo 30 luglio 1999, n. 303, da adottare entro il 9
novembre 2018.
3. Nelle more dell'adozione del decreto di cui al
comma 2, le funzioni di CSIRT Italia sono svolte dal CERT
nazionale unitamente al CERT-PA in collaborazione tra loro.
4. Il CSIRT Italia assicura la conformita' ai
requisiti di cui all'allegato I, punto 1, svolge i compiti
di cui all'allegato I, punto 2, si occupa dei settori di
cui all'allegato II e dei servizi di cui all'allegato III e
dispone di un'infrastruttura di informazione e
comunicazione appropriata, sicura e resiliente a livello
nazionale.
5. Il CSIRT Italia definisce le procedure per la
prevenzione e la gestione degli incidenti informatici.
6. Il CSIRT Italia garantisce la collaborazione
effettiva, efficiente e sicura, nella rete di CSIRT di cui
all'articolo 11.
7. La Presidenza del Consiglio dei ministri comunica
alla Commissione europea il mandato del CSIRT Italia e le
modalita' di trattamento degli incidenti a questo affidati.
8. Il CSIRT Italia, per lo svolgimento delle proprie
funzioni, puo' avvalersi anche dell'Agenzia per l'Italia
digitale.
9. Le funzioni svolte dal Ministero dello sviluppo
economico in qualita' di CERT nazionale ai sensi
dell'articolo 16-bis, del decreto legislativo 1° agosto
2003, n. 259, nonche' quelle svolte da Agenzia per l'Italia
digitale in qualita' di CERT-PA, ai sensi dell'articolo 51
del decreto legislativo 7 marzo 2005, n. 82, sono
trasferite al CSIRT Italia a far data dalla entrata in
vigore del decreto di cui al comma 2.
10. Per le spese relative al funzionamento del CSIRT
Italia e' autorizzata la spesa di 2.000.000 di euro annui a
decorrere dall'anno 2020. A tali oneri si provvede ai sensi
dell'articolo 22.».