Dopo alcuni mesi di gestazione la riforma della sicurezza informatica nazionale prende corpo in 13 articoli. Tra le novità il ruolo dei privati e i nuovi poteri del DIS
DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 17 febbraio 2017
Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali
(GU n.87 del 13-4-2017)
IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI
Vista la legge 3 agosto 2007, n. 124, recante «Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto», come modificata e integrata dalla legge 7 agosto 2012, n. 133, e, in particolare, l’art. 1, comma 3-bis, che dispone che il Presidente del Consiglio dei ministri, sentito il Comitato interministeriale per la sicurezza della Repubblica (CISR), adotti apposite direttive per rafforzare le attività di informazione per la protezione delle infrastrutture critiche materiali e immateriali, con particolare riguardo alla protezione cibernetica e alla sicurezza informatica nazionali;
Visti altresì, l’art. 5, della legge n. 124 del 2007, che disciplina le funzioni del CISR cui sono attribuiti compiti di consulenza, proposta e deliberazione sugli indirizzi e sulle finalità generali della politica dell’informazione per la sicurezza, nonchè di elaborazione degli indirizzi generali e degli obiettivi fondamentali da perseguire nel quadro della politica dell’informazione per la sicurezza;
Visto il decreto-legge 30 ottobre 2015, n. 174, convertito, con modificazioni, dalla legge 11 dicembre 2015, n. 198, ed in particolare l’art. 7-bis, comma 5, che attribuisce al CISR, convocato dal Presidente del Consiglio dei ministri in caso di situazioni di crisi che coinvolgano aspetti di sicurezza nazionale, compiti di consulenza, proposta e deliberazione, secondo modalità stabilite con regolamento adottato ai sensi dell’art. 43, della legge n. 124 del 2007;
Visto l’art. 4, comma 3, lettera d-bis), della legge n. 124 del 2007, ai sensi del quale il Dipartimento delle informazioni per la sicurezza coordina le attività di ricerca informativa finalizzate a rafforzare la protezione cibernetica e la sicurezza informatica nazionali;
Vista la direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (c.d. Direttiva NIS);
Vista la legge 1° aprile 1981, n. 121, recante «Nuovo ordinamento dell’Amministrazione della Pubblica sicurezza», ed in particolare l’art. 1;
Visti il decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, recante misure urgenti per il contrasto del terrorismo internazionale che, all’art. 7-bis, dispone che, ferme restando le competenze dei Servizi di informazione per la sicurezza, i competenti organi del Ministero dell’interno assicurano i servizi di protezione informatica delle infrastrutture critiche informatizzate di interesse nazionale ed il decreto del Ministro dell’interno 9 gennaio 2008, con il quale sono state individuate le predette infrastrutture ed è stata prevista l’istituzione del Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche (CNAIPIC);
Visti l’art. 14 del decreto legislativo 30 luglio 1999, n. 300, recante «Riforma dell’organizzazione del Governo, a norma dell’art. 11 della legge 15 marzo 1997, n. 59», che attribuisce, tra l’altro, al Ministero dell’interno competenze in materia di difesa civile ed il decreto del Ministro dell’interno 28 settembre 2001 che istituisce la Commissione interministeriale tecnica di difesa civile;
Visto il decreto legislativo 15 marzo 2010, n. 66, recante «Codice dell’ordinamento militare» e, in particolare, l’art. 89 che individua le attribuzioni delle Forze armate e le disposizioni e direttive conseguenti che disciplinano i compiti attinenti alla difesa cibernetica;
Visto il decreto legislativo 1° agosto 2003, n. 259, recante «Codice delle comunicazioni elettroniche» e, in particolare, le disposizioni che affidano al Ministero dello sviluppo economico competenze in materia di sicurezza ed integrità delle reti pubbliche di comunicazione e dei servizi di comunicazione elettronica accessibili al pubblico;
Visto il decreto-legge 22 giugno 2012, n. 83, convertito, con modificazioni, dalla legge 7 agosto 2012, n. 134, e successive modificazioni, che ha istituito l’Agenzia per l’Italia digitale (AgID);
Visto il decreto legislativo 7 marzo 2005, n. 82, recante il Codice dell’amministrazione digitale e, in particolare, le disposizioni in materia di funzioni dell’AgID e di sicurezza informatica;
Vista la legge 24 febbraio 1992, n. 225, recante «Istituzione del Servizio nazionale della protezione civile»;
Visto il decreto legislativo 11 aprile 2011, n. 61, attuativo della direttiva 2008/114/CE recante l’individuazione e la designazione delle infrastrutture critiche europee e la valutazione della necessità di migliorarne la protezione;
Visto l’art. 5, comma 2, lettera h), della legge 23 agosto 1988, n. 400;
Visto il decreto legislativo 30 luglio 1999, n. 303, recante «Ordinamento della Presidenza del Consiglio dei ministri a norma dell’art. 11 della legge 15 marzo 1997, n. 59»;
Visto il regolamento recante «Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate e a diffusione esclusiva», adottato con decreto del Presidente del Consiglio dei ministri 6 novembre 2015, n. 5, ai sensi dell’art. 4, comma 3, lettera l), della legge n. 124 del 2007;
Visto il regolamento recante «Ordinamento ed organizzazione del Dipartimento delle informazioni per la sicurezza», adottato con decreto del Presidente del Consiglio dei ministri 26 ottobre 2012, n. 2, ed in particolare l’art. 4, comma 5, ai sensi del quale presso il Dipartimento delle informazioni per la sicurezza è istituito un organismo collegiale permanente, c.d. CISR Tecnico,per l’espletamento, a supporto del Comitato interministeriale per la sicurezza della Repubblica, di attività di istruttoria, di approfondimento e di valutazione anche con riferimento a specifiche situazioni di crisi;
Vista la direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali, adottata con decreto del Presidente del Consiglio dei ministri del 24 gennaio 2013, che ha definito, in un contesto unitario, l’architettura istituzionale deputata alla tutela della sicurezza nazionale relativamente alle infrastrutture critiche materiali e immateriali, con particolare riguardo alla protezione cibernetica e alla sicurezza informatica nazionali;
Considerato l’attuale quadro legislativo, improntato alla distribuzione di funzioni e compiti aventi rilievo per la sicurezza cibernetica tra molteplici soggetti istituzionali competenti nelle diverse fasi: della prevenzione degli eventi dannosi nello spazio cibernetico; dell’elaborazione di linee guida e standard tecnici di sicurezza; della difesa dello Stato da attacchi nello spazio cibernetico; della prevenzione e repressione dei crimini informatici; della preparazione e della risposta nei confronti di eventi cibernetici;
Considerato che sul richiamato quadro legislativo è intervenuto l’art. 7-bis, comma 5, del decreto-legge 30 ottobre 2015, n. 174, convertito, con modificazioni, dalla legge n. 198 del 2015, che ha attribuito al CISR funzioni di consulenza, proposta e deliberazione, in caso di situazioni di crisi che coinvolgano aspetti di sicurezza nazionale;
Ravvisata pertanto la necessità di aggiornare, anche nelle more del recepimento, entro il 9 maggio 2018, della citata direttiva (UE) 2016/1148, la predetta architettura istituzionale alla luce delle previsioni recate dall’art. 7-bis, comma 5, del decreto-legge 30 ottobre 2015, n. 174, convertito, con modificazioni, dalla legge n. 198 del 2015, così da ricondurre a sistema e unitarietà le diverse competenze coinvolte nella gestione della situazione di crisi, in relazione al grado di pregiudizio alla sicurezza della Repubblica e delle Istituzioni democratiche poste dalla Costituzione a suo fondamento;
Ritenuto in tale quadro di procedere, altresì, ad una razionalizzazione e semplificazione della predetta architettura istituzionale, prevedendo che le funzioni di coordinamento e raccordo delle attività di prevenzione, preparazione e gestione di eventuali situazioni di crisi di natura cibernetica siano attestate presso strutture che assicurino un più diretto ed efficace collegamento con il Comitato interministeriale per la sicurezza della Repubblica;
Ritenuto per quanto sopra di dover procedere all’adozione di un nuovo provvedimento che sostituisca il decreto del Presidente del Consiglio dei ministri 24 gennaio 2013;
Sentito il Comitato interministeriale per la sicurezza della Repubblica;
Dispone:
Art. 1
Oggetto
1. Il presente decreto definisce, in un contesto unitario e integrato, l’architettura istituzionale deputata alla tutela della sicurezza nazionale relativamente alle infrastrutture critiche materiali e immateriali, con particolare riguardo alla protezione cibernetica e alla sicurezza informatica nazionali, indicando a tal fine i compiti affidati a ciascuna componente ed i meccanismi e le procedure da seguire ai fini della riduzione delle vulnerabilità, della prevenzione dei rischi, della risposta tempestiva alle aggressioni e del ripristino immediato della funzionalità dei sistemi in caso di crisi.
2. I soggetti compresi nell’architettura istituzionale di cui al comma 1 operano nel rispetto delle competenze già attribuite dalla legge a ciascuno di essi.
3. Il modello organizzativo-funzionale delineato con il presente decreto persegue la piena integrazione con le attività di competenza del Ministero dello sviluppo economico e dell’Agenzia per l’Italia digitale, nonchè con quelle espletate dalle strutture del Ministero della difesa dedicate alla protezione delle proprie reti e sistemi nonchè alla condotta di operazioni militari nello spazio cibernetico, dalle strutture del Ministero dell’interno, dedicate alla prevenzione e al contrasto del crimine informatico e alla difesa civile, e quelle della protezione civile.
Art. 2
Definizioni
1. Ai fini del presente decreto si intende per:
a) Presidente: il Presidente del Consiglio dei ministri;
b) CISR: il Comitato interministeriale per la sicurezza della Repubblica di cui all’art. 5, della legge 3 agosto 2007, n. 124;
c) «CISR tecnico»: l’Organismo di supporto al CISR di cui all’art. 5;
d) DIS: il Dipartimento delle informazioni per la sicurezza di cui all’art. 4, della legge n. 124 del 2007;
e) Agenzie: l’Agenzia informazioni e sicurezza esterna e l’Agenzia informazioni e sicurezza interna di cui agli articoli 6 e 7, della legge n. 124 del 2007;
f) organismi di informazione per la sicurezza: il DIS, l’AISE e l’AISI di cui agli articoli 4, 6 e 7 della legge n. 124 del 2007;
g) Consigliere militare: il Consigliere militare del Presidente del Consiglio dei ministri di cui all’art. 11, del decreto del Presidente del Consiglio dei ministri 1° ottobre 2012;
h) spazio cibernetico: l’insieme delle infrastrutture informatiche interconnesse, comprensivo di hardware, software, dati ed utenti, nonchè delle relazioni logiche, comunque stabilite, tra di essi;
i) sicurezza cibernetica: condizione per la quale lo spazio cibernetico risulti protetto grazie all’adozione di idonee misure di sicurezza fisica, logica e procedurale rispetto ad eventi, di natura volontaria o accidentale, consistenti nell’acquisizione e nel trasferimento indebiti di dati, nella loro modifica o distruzione illegittima, ovvero nel controllo indebito, danneggiamento, distruzione o blocco del regolare funzionamento delle reti e dei sistemi informativi o dei loro elementi costitutivi;
l) minaccia cibernetica: complesso delle condotte che possono essere realizzate nello spazio cibernetico o tramite esso, ovvero in danno dello stesso e dei suoi elementi costitutivi, che si sostanzia in particolare, nelle azioni di singoli individui od organizzazioni, statali e non, pubbliche o private, finalizzate all’acquisizione e al trasferimento indebiti di dati, alla loro modifica o distruzione illegittima, ovvero a controllare indebitamente, danneggiare, distruggere o ostacolare il regolare funzionamento delle reti e dei sistemi informativi o dei loro elementi costitutivi;
m) evento cibernetico: avvenimento significativo, di natura volontaria o accidentale, consistente nell’acquisizione e nel trasferimento indebiti di dati, nella loro modifica o distruzione illegittima, ovvero nel controllo indebito, danneggiamento, distruzione o blocco del regolare funzionamento delle reti e dei sistemi informativi o dei loro elementi costitutivi;
n) allarme: comunicazione di avviso di evento cibernetico da valutarsi ai fini dell’attivazione di misure di risposta pianificate;
o) situazione di crisi cibernetica: situazione in cui l’evento cibernetico assume dimensioni, intensità o natura tali da incidere sulla sicurezza nazionale o da non poter essere fronteggiato dalle singole amministrazioni competenti in via ordinaria ma con l’assunzione di decisioni coordinate in sede interministeriale;
p) operatori di servizi essenziali: gli operatori di cui all’allegato II della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (c.d. direttiva NIS);
q) fornitori di servizi digitali: i fornitori di cui all’allegato III della direttiva NIS.
Art. 3
Presidente del Consiglio dei ministri
1. Il Presidente, quale responsabile della politica generale del Governo e vertice del Sistema di informazione per la sicurezza della Repubblica, ai fini della tutela della sicurezza nazionale anche nello spazio cibernetico:
a) assume le determinazioni ai sensi dell’art. 7-bis, comma 5, del decreto-legge 30 ottobre 2015, n. 174, convertito con modificazioni dalla legge 11 dicembre 2015, n. 198, provvedendo, nelle situazioni di crisi che coinvolgono aspetti di sicurezza nazionale, a convocare il CISR secondo le modalità stabilite con il regolamento ivi previsto;
b) adotta, curandone l’aggiornamento, su proposta del CISR, il quadro strategico nazionale per la sicurezza dello spazio cibernetico, contenente l’indicazione dei profili e delle tendenze evolutive delle minacce e delle vulnerabilità dei sistemi e delle reti di interesse nazionale, la definizione dei ruoli e dei compiti dei diversi soggetti, pubblici e privati, e di quelli nazionali operanti al di fuori del territorio del Paese, l’individuazione degli strumenti e delle procedure con cui perseguire l’accrescimento della capacità del Paese di prevenzione e risposta rispetto ad eventi nello spazio cibernetico, anche in un’ottica di diffusione della cultura della sicurezza;
c) adotta, su deliberazione del CISR, il Piano nazionale per la protezione cibernetica e la sicurezza informatica nazionali contenente gli obiettivi da conseguire e le linee di azione da porre in essere per realizzare il quadro strategico nazionale;
d) emana le direttive ed ogni atto d’indirizzo necessari per l’attuazione del Piano di cui alla lettera c);
e) impartisce, sentito il CISR, le direttive al DIS e alle Agenzie ai sensi dell’art. 1, comma 3-bis, della legge n. 124 del 2007.
Art. 4
Comitato interministeriale per la sicurezza della Repubblica
1. Nella materia della sicurezza dello spazio cibernetico, il CISR:
a) partecipa, in caso di crisi cibernetica, alle determinazioni del Presidente, con funzioni di consulenza e di proposta, nonchè di deliberazione nei casi indicati all’art. 7-bis, comma 5, del decreto-legge n. 174 del 2015, convertito con modificazioni dalla legge n. 198 del 2015;
b) propone al Presidente l’adozione del quadro strategico nazionale di cui all’art. 3, comma 1, lettera b);
c) delibera il Piano nazionale per la sicurezza dello spazio cibernetico di cui all’art. 3, comma 1, lettera c), ai fini dell’adozione da parte del Presidente;
d) esprime parere, ai sensi dell’art. 5, comma 2, lettera h), della legge n. 400 del 1988, sulle direttive del Presidente di cui all’art. 3, comma 1, lettera d);
e) è sentito, ai sensi dell’art. 1, comma 3-bis, della legge n. 124 del 2007, ai fini dell’adozione delle direttive del Presidente agli organismi di informazione per la sicurezza;
f) esercita l’alta sorveglianza sull’attuazione del Piano nazionale per la sicurezza dello spazio cibernetico;
g) approva linee di indirizzo per favorire l’efficace collaborazione tra i soggetti istituzionali e gli operatori privati interessati alla sicurezza cibernetica, nonchè per la condivisione delle informazioni e per l’adozione di best pratices e di misure rivolte all’obiettivo della sicurezza cibernetica;
h) elabora, ai sensi dell’art. 5, della legge n. 124 del 2007, gli indirizzi generali e gli obiettivi fondamentali in materia di protezione cibernetica e di sicurezza informatica nazionali da perseguire nel quadro della politica dell’informazione per la sicurezza da parte degli organismi di informazione per la sicurezza, ciascuno per i profili di rispettiva competenza;
i) promuove l’adozione delle iniziative necessarie per assicurare, in forma coordinata, la piena partecipazione dell’Italia ai diversi consessi di cooperazione internazionale, sia in ambito bilaterale e multilaterale, ivi compresa la NATO, e dell’UE, al fine della definizione e adozione di politiche e strategie comuni di prevenzione e risposta;
l) formula le proposte di intervento normativo ed organizzativo ritenute necessarie al fine del potenziamento delle misure di prevenzione e di risposta alla minaccia cibernetica e quelle per la gestione delle crisi.
2. Si applicano le disposizioni dell’art. 5, commi 4 e 5, della legge n. 124 del 2007.
Art. 5
Organismo di supporto al CISR – «CISR tecnico»
1. Alle attività di supporto per lo svolgimento da parte del CISR delle funzioni di cui all’art. 4 del presente decreto, provvede l’organismo collegiale di coordinamento, presieduto dal Direttore generale del DIS, nella composizione di cui all’art. 4, comma 5, del regolamento adottato con decreto del Presidente del Consiglio dei ministri 26 ottobre 2012, n. 2, recante l’organizzazione ed il funzionamento del Dipartimento delle informazioni per la sicurezza.
2. L’organismo collegiale di coordinamento di cui al comma 1:
a) svolge attività preparatoria delle riunioni del CISR dedicate alla materia della sicurezza cibernetica;
b) assicura l’istruttoria per l’adozione degli atti e per l’espletamento delle attività, da parte del CISR, di cui all’art. 4, comma 1, del presente decreto;
c) espleta le attività necessarie a verificare l’attuazione degli interventi previsti dal Piano nazionale per la sicurezza dello spazio cibernetico e l’efficacia delle procedure di coordinamento tra i diversi soggetti, pubblici e privati, chiamati ad attuarli;
d) coordina, in attuazione degli indirizzi approvati dal CISR e sulla base degli elementi forniti dalle amministrazioni ed enti competenti, dagli organismi di informazione per la sicurezza, dal Nucleo per la sicurezza cibernetica di cui all’art. 8 e dagli operatori privati, la formulazione delle indicazioni necessarie allo svolgimento delle attività di individuazione delle minacce alla sicurezza dello spazio cibernetico, al riconoscimento delle vulnerabilità, nonchè per l’adozione di best practices e misure di sicurezza;
3. Per le finalità di cui al comma 2, l’organismo collegiale di coordinamento compie approfondimenti ed acquisisce ogni utile contributo e valutazione ritenuti necessari.
Art. 6
Linee di azione per la sicurezza cibernetica
1. Il direttore generale del DIS, per le finalità di tutela della sicurezza nazionale di cui al presente decreto, adotta le iniziative idonee a definire le necessarie linee di azione di interesse generale con l’obiettivo di innalzare e migliorare i livelli di sicurezza dei sistemi e delle reti, perseguendo, in particolare, l’individuazione e la disponibilità dei più adeguati ed avanzati supporti tecnologici in funzione della preparazione alle azioni di prevenzione, contrasto e risposta in caso di crisi cibernetica da parte delle amministrazioni ed enti pubblici e degli operatori privati di cui all’art. 11.
2. Per la realizzazione delle linee di azione indicate al comma 1, il direttore generale del DIS predispone gli opportuni moduli organizzativi, di coordinamento e di raccordo, prevedendo il ricorso anche a professionalità delle pubbliche amministrazioni, degli enti di ricerca pubblici e privati, delle università e di operatori economici privati.
3. Il direttore generale del DIS, per le finalità di cui al presente articolo, può fare ricorso a convenzioni e intese con le pubbliche amministrazioni e soggetti privati, ai sensi dell’art. 13 della legge n. 124 del 2007 ed all’affidamento di incarichi ad esperti esterni ai sensi dell’art. 21 della predetta legge.
Art. 7
Organismi di informazione per la sicurezza
1. Il DIS e le Agenzie svolgono la propria attività nel campo della sicurezza cibernetica avvalendosi degli strumenti e secondo le modalità e le procedure stabilite dalla legge n. 124 del 2007.
2. Per le finalità di cui al comma 1, il direttore generale del DIS, sulla base delle direttive adottate dal Presidente ai sensi dell’art. 1, comma 3-bis, della legge n. 124 del 2007 e alla luce degli indirizzi generali e degli obiettivi fondamentali individuati dal CISR, cura, ai sensi dell’art. 4, comma 3, lettera d-bis), della citata legge, il coordinamento delle attività di ricerca informativa finalizzate a rafforzare la protezione cibernetica e la sicurezza informatica nazionali.
3. Il DIS, attraverso i propri uffici, assicura il supporto al direttore generale per l’espletamento delle attività di coordinamento di cui al comma 2. Il DIS provvede, altresì, sulla base delle informazioni acquisite ai sensi dell’art. 4, comma 3, lettera c), della legge n. 124 del 2007, alla luce delle acquisizioni provenienti dallo scambio informativo di cui all’art. 4, comma 3, lettera e), della citata legge, e dei dati acquisiti ai sensi dell’art. 13, commi 1 e 2, della medesima legge, alla formulazione di analisi, valutazioni e previsioni sulla minaccia cibernetica. Provvede, in base a quanto disposto dal presente decreto, alla trasmissione di informazioni rilevanti ai fini della sicurezza cibernetica alle pubbliche amministrazioni e agli altri soggetti, anche privati, interessati all’acquisizione di informazioni, ai sensi dell’art. 4, comma 3, lettera f), della citata legge, nonchè alla condivisione delle stesse informazioni nell’ambito del Nucleo per la sicurezza cibernetica di cui all’art. 8.
4. Le Agenzie, ciascuna nell’ambito delle rispettive attribuzioni, svolgono, secondo gli indirizzi definiti dalle direttive del Presidente e le linee di coordinamento delle attività di ricerca informativa stabilite dal direttore generale del DIS ai sensi del comma 2, le attività di ricerca e di elaborazione informativa rivolte alla protezione cibernetica e alla sicurezza informatica nazionali.
5. Per lo svolgimento delle attività previste dal presente articolo, il DIS e le Agenzie, secondo le forme di coordinamento definite ai sensi dell’art. 4, comma 3, lettera d-bis), della legge n. 124 del 2007, corrispondono con le pubbliche amministrazioni, i soggetti erogatori di servizi di pubblica utilità, le università e con gli enti di ricerca, stipulando a tal fine apposite convenzioni ai sensi dell’art. 13, comma 1, della medesima legge. Possono accedere, per le medesime finalità, agli archivi informatici dei soggetti di cui all’art. 13, comma 2, della legge n. 124 del 2007, secondo le modalità e con le procedure indicate dal regolamento ivi previsto.
6. Il DIS, ai sensi dell’art. 4, comma 3, lettera m), della legge n. 124 del 2007, pone in essere ogni iniziativa volta a promuovere e diffondere la conoscenza e la consapevolezza in merito ai rischi derivanti dalla minaccia cibernetica e sulle misure necessarie a prevenirli.
Art. 8
Nucleo per la sicurezza cibernetica
1. Presso il Dipartimento delle informazioni per la sicurezza è costituito, in via permanente, il Nucleo per la sicurezza cibernetica, a supporto del Presidente e del CISR, nella materia della sicurezza dello spazio cibernetico, per gli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi e per l’attivazione delle procedure di allertamento.
2. Il Nucleo è presieduto da un vice direttore generale del DIS, designato dal direttore generale, ed è composto dal Consigliere militare e da un rappresentante rispettivamente del DIS, dell’AISE, dell’AISI, del Ministero degli affari esteri, del Ministero dell’interno, del Ministero della difesa, del Ministero della giustizia, del Ministero dello sviluppo economico, del Ministero dell’economia e delle finanze, del Dipartimento della protezione civile e dell’Agenzia per l’Italia digitale. Per gli aspetti relativi alla trattazione di informazioni classificate il Nucleo è integrato da un rappresentante dell’ufficio centrale per la segretezza di cui all’art. 9, della legge n. 124 del 2007.
3. I componenti possono farsi assistere alle riunioni da altri rappresentanti delle rispettive amministrazioni in relazione alle materie oggetto di trattazione e, in particolare, per le esigenze di raccordo di cui all’art. 9, comma 2, lettera a).
4. In relazione agli argomenti delle riunioni possono anche essere chiamati a partecipare rappresentanti di altre amministrazioni, di università o di enti e istituti di ricerca, nonchè di operatori privati interessati alla materia della sicurezza cibernetica.
5. Il Nucleo per la sicurezza cibernetica si riunisce almeno una volta al mese, su iniziativa del presidente-vice direttore generale del DIS o su richiesta di almeno un componente del Nucleo.
6. Sulle attività svolte, il Nucleo riferisce al direttore generale del DIS, per la successiva informazione al Presidente e al CISR.
Art. 9
Compiti del Nucleo per la sicurezza cibernetica
1. Per le finalità di cui all’art. 8, comma 1, il Nucleo per la sicurezza cibernetica svolge funzioni di raccordo tra le diverse componenti dell’architettura istituzionale che intervengono a vario titolo nella materia della sicurezza cibernetica, nel rispetto delle competenze attribuite dalla legge a ciascuna di esse.
2. In particolare, nel campo della prevenzione e della preparazione ad eventuali situazioni di crisi cibernetica, il Nucleo:
a) promuove, sulla base delle direttive di cui all’art. 3, comma 1, lettera d), la programmazione e la pianificazione operativa della risposta a situazioni di crisi cibernetica da parte delle amministrazioni e degli operatori privati interessati e l’elaborazione delle necessarie procedure di coordinamento interministeriale, in raccordo con le pianificazioni di difesa civile e di protezione civile, anche nel quadro di quanto previsto ai sensi dell’art. 7-bis, comma 5, del decreto-legge n. 174 del 2015, convertito, con modificazioni, dalla legge n. 198 del 2015;
b) mantiene attiva, 24 ore su 24, 7 giorni su 7, l’unità per l’allertamento e la risposta a situazioni di crisi cibernetica;
c) valuta e promuove, in raccordo con le amministrazioni competenti per specifici profili della sicurezza cibernetica, e tenuto conto di quanto previsto dall’art. 7 riguardo all’attività degli organismi di informazione per la sicurezza, procedure di condivisione delle informazioni, anche con gli operatori privati interessati, ai fini della diffusione di allarmi relativi ad eventi cibernetici e per la gestione delle crisi;
d) acquisisce le comunicazioni circa i casi di violazioni o tentativi di violazione della sicurezza o di perdita dell’integrità significativi ai fini del corretto funzionamento delle reti e dei servizi dal Ministero dello sviluppo economico, dagli organismi di informazione per la sicurezza, dalle Forze di polizia e, in particolare, dal CNAIPIC nell’esercizio dei servizi di protezione informatica delle infrastrutture critiche ai sensi dell’art. 7-bis del decreto-legge n. 144 del 2005, convertito, con modificazioni, dalla legge n. 155 del 2005, dalle strutture del Ministero della difesa e dai CERT di cui all’art. 10, comma 3;
e) promuove e coordina, in raccordo con il Ministero dello sviluppo economico e con l’Agenzia per l’Italia digitale per i profili di rispettiva competenza, lo svolgimento di esercitazioni interministeriali, ovvero la partecipazione nazionale in esercitazioni internazionali che riguardano la simulazione di eventi di natura cibernetica;
f) costituisce punto di riferimento nazionale per i rapporti con l’ONU, la NATO, l’UE, altre organizzazioni internazionali ed altri Stati, ferme restando le specifiche competenze del Ministero dello sviluppo economico, del Ministero degli affari esteri e della cooperazione internazionale, del Ministero dell’interno, del Ministero della difesa e di altre amministrazioni previste dalla normativa vigente, assicurando comunque in materia ogni necessario raccordo.
3. Ai fini dell’attivazione delle azioni di risposta e ripristino rispetto a situazioni di crisi cibernetica, il Nucleo:
a) riceve, anche dall’estero, le segnalazioni di evento cibernetico e dirama gli allarmi alle amministrazioni e agli operatori privati, ai fini dell’attuazione di quanto previsto nelle pianificazioni di cui al comma 2, lettera a);
b) valuta se l’evento assume dimensioni, intensità o natura tali da non poter essere fronteggiato dalle singole amministrazioni competenti in via ordinaria, ma richiede l’assunzione di decisioni coordinate in sede interministeriale, provvedendo in tal caso, allo svolgimento delle attività di raccordo e coordinamento di cui all’art. 10, nella composizione ivi prevista;
c) informa tempestivamente il Presidente, per il tramite del direttore generale del DIS, sulla situazione in atto, ai fini delle determinazioni di cui all’art. 7-bis, comma 5, del richiamato decreto-legge n. 174 del 2015, convertito, con modificazioni, dalla legge n. 198 del 2015.
4. Il Nucleo per la sicurezza cibernetica elabora appositi rapporti sullo stato di attuazione delle misure di coordinamento ai fini della preparazione e gestione della crisi previste dal presente decreto e li trasmette, per le finalità di cui all’art. 5, comma 2, lettera c), all’organismo collegiale di cui all’art. 5.
Art. 10
Gestione delle crisi di natura cibernetica
1. Per la gestione delle crisi di natura cibernetica, il Nucleo si riunisce nella composizione individuata ai sensi del comma 2, nei casi di cui all’art. 9, comma 3, lettera b), ovvero a seguito delle determinazioni di cui all’art. 7-bis, comma 5, del decreto-legge n. 174 del 2015, convertito, con modificazioni, dalla legge n. 198 del 2015.
2. Ai sensi del comma 1, la composizione del Nucleo è integrata, in ragione delle necessità, con un rappresentante del Ministero della salute, del Ministero delle infrastrutture e dei trasporti, del Dipartimento dei Vigili del fuoco, del soccorso pubblico e della difesa civile, in rappresentanza anche della Commissione interministeriale tecnica di difesa civile (CITDC), dell’ufficio del Consigliere militare del Presidente del Consiglio dei ministri autorizzati ad assumere decisioni che impegnano la propria amministrazione. Alle riunioni i componenti possono farsi accompagnare da altri funzionari della propria amministrazione. Alle stesse riunioni possono essere chiamati a partecipare rappresentanti di altre amministrazioni, anche locali, ed enti, anche essi autorizzati ad assumere decisioni, degli operatori privati di cui all’art. 11 e di altri soggetti eventualmente interessati. Il Nucleo può essere convocato anche in composizione ristretta con la partecipazione dei rappresentanti delle sole amministrazioni e soggetti interessati.
3. è compito del Nucleo, nella composizione per la gestione delle crisi, di cui al comma 2, assicurare che le attività di reazione e stabilizzazione di competenza delle diverse amministrazioni ed enti rispetto a situazioni di crisi di natura cibernetica, vengano espletate in maniera coordinata secondo quanto previsto dall’art. 9, comma 2, lettera a), avvalendosi, per gli aspetti tecnici di risposta sul piano informatico e telematico, del Computer Emergency Response Team (CERT) nazionale, istituito presso il Ministero dello sviluppo economico, del CERT-PA, istituito presso l’Agenzia per l’Italia digitale, e degli altri CERT istituiti ai sensi della normativa vigente. Nei casi di cui all’art. 7-bis, comma 5, del decreto-legge n. 174 del 2015, convertito, con modificazioni, dalla legge n. 198 del 2015, il Nucleo opera nel quadro delle procedure individuate ai sensi delle disposizioni ivi previste.
4. Il Nucleo, per l’espletamento delle proprie funzioni e fermo restando quanto previsto ai sensi dell’art. 7-bis, comma 5, del decreto-legge n. 174 del 2015, convertito, con modificazioni, dalla legge n. 198 del 2015:
a) mantiene costantemente informato il Presidente, per il tramite del direttore generale del DIS, sulla crisi in atto, predisponendo punti aggiornati di situazione;
b) assicura il coordinamento per l’attuazione a livello interministeriale delle determinazioni del Presidente per il superamento della crisi;
c) raccoglie tutti i dati relativi alla crisi;
d) elabora rapporti e fornisce informazioni sulla crisi e li trasmette ai soggetti pubblici e privati interessati;
e) assicura i collegamenti finalizzati alla gestione della crisi con gli omologhi organismi di altri Stati, della NATO, dell’UE o di organizzazioni internazionali di cui l’Italia fa parte.
Art. 11
Operatori privati
1. Gli operatori privati che forniscono reti pubbliche di comunicazione o servizi di comunicazione elettronica accessibili al pubblico, gli operatori di servizi essenziali e i fornitori di servizi digitali, di cui rispettivamente all’art. 2, comma 1, lettere p) e q), quelli che gestiscono infrastrutture critiche di rilievo nazionale ed europeo, il cui funzionamento è condizionato dall’operatività di sistemi informatici e telematici, ivi comprese quelle individuate ai sensi dell’art. 1, comma 1, lettera d), del decreto del Ministro dell’interno 9 gennaio 2008, secondo quanto previsto dalla normativa vigente, ovvero previa apposita convenzione:
a) comunicano al Nucleo per la sicurezza cibernetica, anche per il tramite dei soggetti istituzionalmente competenti a ricevere le relative comunicazioni ai sensi dell’art. 16-bis, comma 2, lettera b), del decreto legislativo n. 259 del 2003, ogni significativa violazione della sicurezza o dell’integrità dei propri sistemi informatici, utilizzando canali di trasmissione protetti;
b) adottano le best practices e le misure finalizzate all’obiettivo della sicurezza cibernetica, definite ai sensi dell’art. 16-bis, comma 1, lettera a), del decreto legislativo n. 259 del 2003, e dell’art. 5, comma 2, lettera d), del presente decreto;
c) forniscono informazioni agli organismi di informazione per la sicurezza e consentono ad essi l’accesso ai Security Operations Center aziendali e ad altri eventuali archivi informatici di specifico interesse ai fini della sicurezza cibernetica, di rispettiva pertinenza, nei casi previsti dalla legge n. 124 del 2007, nel quadro delle vigenti procedure d’accesso coordinato definite dal DIS;
d) collaborano alla gestione delle crisi cibernetiche contribuendo al ripristino della funzionalità dei sistemi e delle reti da essi gestiti.
2. Il Ministro dello sviluppo economico, fermo restando quanto previsto dal regolamento di cui all’art. 4, comma 3, lettera l), della legge n. 124 del 2007, promuove l’istituzione di un centro di valutazione e certificazione nazionale per la verifica delle condizioni di sicurezza e dell’assenza di vulnerabilità di prodotti, apparati e sistemi destinati ad essere utilizzati per il funzionamento di reti, servizi e infrastrutture critiche, di cui al comma 1, nonchè di ogni altro operatore per cui sussista un interesse nazionale.
3. Ferme restando le conseguenze derivanti dalla violazione di altri specifici obblighi di legge, la mancata comunicazione degli eventi di cui al comma 1, lettera a), è altresì valutata ai fini dell’affidabilità richiesta per il possesso delle abilitazioni di sicurezza di cui al regolamento adottato ai sensi dell’art. 4, comma 3, lettera l), della legge n. 124 del 2007.
Art. 12
Tutela delle informazioni
1. Per lo scambio delle informazioni classificate e a diffusione esclusiva si osservano le disposizioni di cui al regolamento adottato ai sensi dell’art. 4, comma 3, lettera l), della legge n. 124 del 2007.
2. Il DIS, attraverso l’ufficio centrale per la segretezza, assolve, altresì, ai compiti previsti dal regolamento di cui al comma 1, relativi alla tutela dei Communication and Information System (CIS) delle pubbliche amministrazioni e degli operatori privati di cui all’art. 11 del presente decreto, che trattano informazioni classificate e a diffusione esclusiva.
Art. 13
Disposizioni transitorie e finali
1. Dal presente decreto non derivano nuovi oneri a carico del bilancio dello Stato.
2. Al fine di assicurare il funzionamento, senza soluzione di continuità, dell’unità di allertamento e risposta a crisi cibernetiche, di cui all’art. 9, comma 2, lettera b), durante il passaggio di competenze del Nucleo per la sicurezza cibernetica al DIS, previsto dal presente decreto, le strutture deputate alla gestione di tali attività sulla base del decreto del Presidente del Consiglio dei ministri 24 gennaio 2013 mantengono la loro operatività ed erogano i relativi servizi a favore del Nucleo, istituito presso il DIS, dalla data di entrata in vigore del presente decreto e fino a cessate esigenze, comunicate a cura del direttore generale del DIS.
3. Il presente decreto è pubblicato nella Gazzetta Ufficiale della Repubblica italiana.
4. A decorrere dalla data di pubblicazione del presente decreto è abrogato il decreto del Presidente del Consiglio dei ministri 24 gennaio 2013.
Roma, 17 febbraio 2017
Il Presidente
Gentiloni Silveri
Registrato alla Corte dei conti il 29 marzo 2017
Ufficio controllo atti P.C.M. Ministeri giustizia e affari esteri,
reg.ne prev. n. 691
www.gazzettaufficiale.it