Sicurezza informatica nazionale - DPCM 24/1/2013
DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 24 gennaio 2013
Direttiva recante indirizzi per la protezione cibernetica e la
sicurezza informatica nazionale. (13A02504)
(GU n.66 del 19-3-2013)
IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI
Vista la legge 3 agosto 2007, n. 124, recante "Sistema di
informazione per la sicurezza della Repubblica e nuova disciplina del
segreto", come modificata e integrata dalla legge 7 agosto 2012, n.
133, e, in particolare, l'art. 1, comma 3-bis, che dispone che il
Presidente del Consiglio dei Ministri, sentito il Comitato
interministeriale per la sicurezza della Repubblica, adotti apposite
direttive per rafforzare le attivita' di informazione per la
protezione delle infrastrutture critiche materiali e immateriali, con
particolare riguardo alla protezione cibernetica e alla sicurezza
informatica nazionali, e l'art. 38, comma 1-bis, ai sensi del quale
il Governo allega alla relazione sulla politica dell'informazione per
la sicurezza e sui risultati ottenuti, che presenta annualmente al
Parlamento, un documento di sicurezza nazionale, concernente le
attivita' relative alla protezione delle infrastrutture critiche
materiali e immateriali, nonche' alla protezione cibernetica e alla
sicurezza informatica;
Visto l'art. 4, comma 3, lett. d-bis) della citata legge 3 agosto
2007, n. 124, ai sensi del quale il Dipartimento delle informazioni
per la sicurezza coordina le attivita' di ricerca informativa
finalizzate a rafforzare la protezione cibernetica e la sicurezza
informatica nazionali;
Visto l'articolo 1 della legge 1° aprile 1981, n. 121;
Visti il decreto-legge 27 luglio 2005, n. 144, convertito, con
modificazioni, dalla legge 31 luglio 2005, n. 155, recante misure
urgenti per il contrasto del terrorismo internazionale che,
all'articolo 7-bis, dispone che, ferme restando le competenze dei
Servizi di informazione per la sicurezza, i competenti organi del
Ministero dell'interno assicurano i servizi di protezione informatica
delle infrastrutture critiche informatizzate di interesse nazionale
ed il decreto del Ministro dell'interno 9 gennaio 2008, con il quale
sono state individuate le predette infrastrutture ed e' stata
prevista l'istituzione del Centro nazionale anticrimine informatico
per la protezione delle infrastrutture critiche;
Visti l'art. 14 del decreto legislativo 30 luglio 1999, n. 300,
recante "Riforma dell'organizzazione del Governo, a norma
dell'articolo 11 della legge 15 marzo 1997, n. 59", che attribuisce,
tra l'altro, al Ministero dell'interno competenze in materia di
difesa civile ed il decreto del Ministro dell'interno 28 settembre
2001 che istituisce la Commissione interministeriale tecnica di
difesa civile;
Visti il decreto legislativo 15 marzo 2010, n. 66, recante "Codice
dell'ordinamento militare" e, in particolare, l'art. 89 che individua
le attribuzioni delle Forze armate e le disposizioni e direttive
conseguenti che disciplinano i compiti attinenti alla difesa
cibernetica;
Visto il decreto legislativo 1° agosto 2003, n. 259 recante "Codice
delle comunicazioni elettroniche" e, in particolare, le disposizioni
che affidano al Ministero dello sviluppo economico competenze in
materia di sicurezza ed integrita' delle reti pubbliche di
comunicazione e dei servizi di comunicazione elettronica accessibili
al pubblico;
Visto il decreto-legge 22 giugno 2012, n. 83, convertito, con
modificazioni, dalla legge 7 agosto 2012, n. 134, che ha istituito
l'Agenzia per l'Italia digitale, cui sono affidate, tra l'altro, le
funzioni attribuite all'Istituto superiore delle comunicazioni e
delle tecnologie dell'informazione in materia di sicurezza delle
reti, nonche' quelle di coordinamento, indirizzo e regolazione gia'
affidate a DigitPA;
Visto il decreto legislativo 7 marzo 2005, n. 82, recante il Codice
dell'amministrazione digitale e, in particolare, le disposizioni in
materia di sicurezza informatica;
Visto il decreto interministeriale 14 gennaio 2003, cosi' come
modificato dal decreto 5 settembre 2011, che ha istituito
l'Osservatorio per la sicurezza delle reti e la tutela delle
comunicazioni;
Vista la legge 24 febbraio 1992, n. 225, recante "Istituzione del
Servizio nazionale della protezione civile;
Visto il decreto legislativo 11 aprile 2011, n. 61, attuativo della
direttiva 2008/114/CE recante l'individuazione e la designazione
delle infrastrutture critiche europee e la valutazione della
necessita' di migliorarne la protezione;
Visto l'art. 5, comma 2, lett. h), della legge 23 agosto 1988, n.
400;
Visto il decreto legislativo 30 luglio 1999, n. 303, recante
"Ordinamento della Presidenza del Consiglio dei Ministri a norma
dell'articolo 11 della legge 15 marzo 1997, n. 59";
Visto il decreto del Presidente del Consiglio dei ministri 1°
ottobre 2012 recante "Ordinamento delle strutture generali della
Presidenza del Consiglio dei Ministri";
Visto il decreto del Presidente del Consiglio dei Ministri 5 maggio
2010, recante l'Organizzazione nazionale per la gestione di crisi;
Vista la mozione approvata in data 23 maggio 2012, con la quale il
Parlamento ha impegnato il Governo a porre in essere ogni idonea
iniziativa per giungere alla costituzione presso la Presidenza del
Consiglio dei Ministri di un Comitato interministeriale con il
compito di elaborare una strategia nazionale per la sicurezza dello
spazio cibernetico, di definire gli indirizzi generali e le direttive
da perseguire nel quadro della politica nazionale ed internazionale
in tale settore e di individuare, infine, gli interventi normativi
ritenuti necessari;
Ritenuto che, in ragione delle caratteristiche della minaccia
cibernetica quale rischio per la sicurezza nazionale, sia necessario
definire un quadro strategico nazionale, con la specificazione dei
ruoli che le diverse componenti istituzionali devono esercitare per
assicurare la sicurezza cibernetica del Paese e la predisposizione di
meccanismi e procedure di azione secondo un approccio
interdisciplinare e coordinato, su piu' livelli, che coinvolga tutti
gli attori pubblici, ferme restando le attribuzioni previste dalla
normativa vigente per ciascuno di essi, nonche' gli operatori privati
interessati;
Ritenuto altresi' necessario creare le condizioni, attraverso la
definizione e precisazione di compiti ed attivita' delle diverse
componenti istituzionali ed anche con l'individuazione di organi
nazionali di riferimento per la sicurezza cibernetica in grado di
interagire con le corrispondenti autorita' estere, affinche' l'Italia
possa partecipare pienamente ai diversi consessi di cooperazione
internazionale, sia in ambito bilaterale e multilaterale, sia dell'UE
e della NATO;
Considerato l'attuale quadro legislativo, improntato alla
distribuzione di funzioni e compiti aventi rilievo per la sicurezza
cibernetica tra molteplici soggetti istituzionali competenti nelle
diverse fasi della prevenzione degli eventi dannosi nello spazio
cibernetico; dell'elaborazione di linee guida e standard tecnici di
sicurezza; della difesa dello Stato da attacchi nello spazio
cibernetico; della prevenzione e repressione dei crimini informatici;
della preparazione e della risposta nei confronti di eventi
cibernetici;
Ritenuto che, sulla base del citato dato normativo, la definizione
di un quadro strategico nazionale in materia di sicurezza cibernetica
debba procedere secondo un percorso di graduale e progressiva
razionalizzazione di ruoli, strumenti e procedure con l'obiettivo di
accrescere la capacita' del Paese di assicurare la sicurezza dello
spazio cibernetico, ove necessario anche con interventi di carattere
normativo;
Ritenuto che, nell'immediato, debbano essere create le condizioni
perche', a legislazione vigente, possa essere sviluppata un'azione
integrata che metta a fattor comune le diverse attribuzioni
istituzionali delineate dal quadro normativo, ed inoltre assicuri, in
una logica di partenariato, il pieno apporto, nel rispetto di quanto
previsto dalla normativa vigente, anche delle competenze proprie
degli operatori privati, interessati alla gestione di sistemi e reti
di interesse strategico;
Ravvisata a tali fini la necessita' di impartire indirizzi
affinche' venga a delinearsi un'architettura istituzionale basata
sulla chiara individuazione dei soggetti chiamati ad intervenire e
dei compiti ad essi affidati, nel rispetto delle competenze gia'
attribuite dalla legge alle diverse componenti e dei meccanismi di
interazione tra di esse;
Ritenuto che tale architettura debba svilupparsi su tre distinti
livelli d'intervento, di cui il primo di indirizzo politico e
coordinamento strategico, cui affidare l'individuazione degli
obiettivi funzionali a garantire la protezione cibernetica e la
sicurezza informatica nazionali, anche attraverso l'elaborazione di
un Piano nazionale per la sicurezza dello spazio cibernetico, e che
tale livello debba anche sovraintendere allo studio e alla
predisposizione di proposte di intervento normativo che agevolino il
raggiungimento dei citati obiettivi; il secondo di supporto, a
carattere permanente, con funzioni di raccordo nei confronti di tutte
le Amministrazioni ed enti competenti, ai fini dell'attuazione degli
obiettivi e delle linee di azione indicate dalla pianificazione
nazionale e che provveda, al contempo, a programmare l'attivita'
operativa a livello interministeriale e ad attivare le procedure di
allertamento in caso di crisi; il terzo livello, di gestione delle
crisi, con il compito di curare e coordinare le attivita' di risposta
e di ripristino della funzionalita' dei sistemi, avvalendosi di tutte
le componenti interessate;
Ritenuto che, nel quadro del livello di supporto all'attuazione
della pianificazione nazionale, debbano essere disciplinate in
maniera peculiare, tenuto conto della loro specificita', le attivita'
di informazione per la sicurezza con l'obiettivo di potenziare le
attivita' di ricerca informativa e di analisi finalizzate a
rafforzare la protezione cibernetica e la sicurezza informatica,
facendo ricorso agli strumenti ed alle procedure di cui alla legge n.
124/2007 e, in particolare, alle direttive del Presidente del
Consiglio ai sensi dell'art. 1, comma 3-bis;
Ritenuto che il modello organizzativo-funzionale cosi' delineato
debba assicurare il pieno raccordo, in particolare, con le funzioni
del Ministero dello sviluppo economico e dell'Agenzia per l'Italia
digitale, nonche' con l'attivita' e le strutture di difesa dello
spazio cibernetico del Ministero della difesa, con quelle del
Ministero dell'interno, dedicate alla prevenzione e al contrasto del
crimine informatico e alla difesa civile, e con quelle della
protezione civile;
Considerato che la legge attribuisce al Comitato interministeriale
per la sicurezza della Repubblica (CISR) di cui all'articolo 5 della
legge n. 124/2007 compiti di consulenza, proposta e deliberazione
sugli indirizzi e sulle finalita' generali della politica
dell'informazione per la sicurezza, nonche' di elaborazione degli
indirizzi generali e degli obiettivi fondamentali da perseguire nel
quadro della politica dell'informazione per la sicurezza e che, in
particolare, ai sensi dell'art. 1, comma 3-bis, della predetta legge,
introdotto dalla legge n. 133/2012, il CISR e' sentito ai fini
dell'adozione da parte del Presidente del Consiglio dei ministri
delle direttive in materia di sicurezza cibernetica;
Ravvisata l'esigenza di dover assicurare, nella materia della
sicurezza cibernetica, un solido e affidabile meccanismo di raccordo
tra la politica dell'informazione per la sicurezza e gli altri ambiti
di azione che vengono in rilievo nella specifica materia, e di dovere
per questo concentrare in un unico organismo interministeriale
l'organo di indirizzo politico e di coordinamento strategico nel
campo della sicurezza cibernetica;
Ritenuto in considerazione dei compiti attribuiti dalla legge al
CISR e della composizione del Comitato, di individuare tale organismo
interministeriale nello stesso CISR, attribuendogli, ai sensi
dell'art. 5, comma 2, lett. h) della legge 23 agosto 1988, n. 400, i
compiti suindicati;
Ritenuto che il CISR, nell'esercizio delle citate funzioni, debba
essere adeguatamente e costantemente supportato da una attivita'
istruttoria, di approfondimento e di valutazione e che a tali fini il
Comitato interministeriale possa avvalersi dell'organismo collegiale
di coordinamento istituito presso il DIS, ai sensi dell'art. 4, comma
5, del DPCM 26 ottobre 2012, n. 2, recante l'organizzazione ed il
funzionamento del Dipartimento delle informazione per la sicurezza;
Ritenuto altresi' che per un efficace assolvimento dei compiti
attribuiti al CISR sia necessario assicurare un qualificato
contributo di carattere scientifico di informazione, di valutazione e
di proposta e che, per questo, appare opportuno istituire presso la
Scuola di formazione del DIS un organo dedicato, cui affidare anche
compiti funzionali alla promozione e diffusione di una cultura della
sicurezza cibernetica;
Ravvisata la necessita', ai fini dell'attuazione delle linee di
intervento contenute nel Piano nazionale di sicurezza dello spazio
cibernetico, in particolare per cio' che riguarda la preparazione e
la pianificazione interministeriale per la gestione delle crisi, che
parallelamente alle attivita' di acquisizione informativa e di
analisi demandate agli organismi informativi di cui alla legge n.
124/2007, le attivita' delle diverse Amministrazioni ed enti svolte
secondo le previsioni normative trovino una sede di raccordo che
agevoli e favorisca lo svolgimento in forma coordinata delle
attribuzioni di ciascuna componente;
Ritenuto a tale scopo, di prevedere la costituzione in via
permanente di un Nucleo per la sicurezza cibernetica, da istituire
presso l'Ufficio del Consigliere militare del Presidente del
Consiglio dei Ministri;
Ritenuto infine, che una ulteriore e specifica esigenza di
coordinamento si ponga con riguardo alla gestione operativa delle
crisi e all'adozione delle misure necessarie al ripristino della
funzionalita' dei sistemi, richiedendo la chiara definizione di ruoli
e procedure in modo da garantire un processo decisionale unitario e,
al contempo, l'interazione degli organi nazionali preposti alla
gestione dell'emergenza con gli omologhi organismi esistenti a
livello internazionale, e che, per le suddette finalita', debba
essere previsto un organo interministeriale da attivare in caso di
crisi;
Ritenuto di individuare tale organo nel Nucleo interministeriale
situazione e pianificazione di cui al DPCM 5 maggio 2010,
prevedendone una configurazione, quale "Tavolo interministeriale di
crisi cibernetica", funzionale all'ottimale gestione delle crisi di
natura cibernetica, e di disporre che detto organo, per gli aspetti
tecnici di computer emergency response, si avvalga del CERT nazionale
istituito presso il Ministero dello sviluppo economico ai sensi del
decreto legislativo n. 259/2003;
Sentito il Comitato interministeriale per la sicurezza della
Repubblica;
Dispone:
Art. 1
Oggetto
1. Il presente decreto definisce, in un contesto unitario e
integrato, l'architettura istituzionale deputata alla tutela della
sicurezza nazionale relativamente alle infrastrutture critiche
materiali e immateriali, con particolare riguardo alla protezione
cibernetica e alla sicurezza informatica nazionali, indicando a tal
fine i compiti affidati a ciascuna componente ed i meccanismi e le
procedure da seguire ai fini della riduzione della vulnerabilita',
della prevenzione dei rischi, della risposta tempestiva alle
aggressioni e del ripristino immediato della funzionalita' dei
sistemi in caso di crisi.
2. I soggetti compresi nell'architettura istituzionale di cui al
comma 1 operano nel rispetto delle competenze gia' attribuite dalla
legge a ciascuno di essi.
3. Il modello organizzativo-funzionale delineato con il presente
decreto persegue la piena integrazione con le attivita' di competenza
del Ministero dello sviluppo economico e dell'Agenzia per l'Italia
digitale, nonche' con quelle espletate dalle strutture del Ministero
della difesa dedicate alla protezione delle proprie reti e sistemi
nonche' alla condotta di operazioni militari nello spazio
cibernetico, dalle strutture del Ministero dell'interno, dedicate
alla prevenzione e al contrasto del crimine informatico e alla difesa
civile, e quelle della protezione civile.
Art. 2
Definizioni
1. Ai fini del presente decreto si intende per:
a) Presidente: il Presidente del Consiglio dei Ministri;
b) CISR: il Comitato interministeriale per la sicurezza della
Repubblica di cui all'art. 5 della legge n. 124/2007;
c) DIS: il Dipartimento delle informazioni per la sicurezza di
cui all'art. 4 della legge n. 124/2007;
d) Agenzie: l'Agenzia informazioni e sicurezza esterna e
l'Agenzia informazioni e sicurezza interna di cui agli articoli 6 e
7, della legge 3 agosto 2007, n. 124;
e) organismi di informazione per la sicurezza: il DIS, l'AISE e
l'AISE di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n.
124;
f) NISP: Nucleo interministeriale situazione e pianificazione di
cui al DPCM 5 maggio 2010;
g) Consigliere militare: il Consigliere militare del Presidente
del Consiglio dei Ministri di cui all'articolo 11 del DPCM 1° ottobre
2012;
h) spazio cibernetico: l'insieme delle infrastrutture
informatiche interconnesse, comprensivo di hardware, software, dati
ed utenti, nonche' delle relazioni logiche, comunque stabilite, tra
di essi;
i) sicurezza cibernetica: condizione per la quale lo spazio
cibernetico risulti protetto grazie all'adozione di idonee misure di
sicurezza fisica, logica e procedurale rispetto ad eventi, di natura
volontaria od accidentale, consistenti nell'acquisizione e nel
trasferimento indebiti di dati, nella loro modifica o distruzione
illegittima, ovvero nel danneggiamento, distruzione o blocco del
regolare funzionamento delle reti e dei sistemi informativi o dei
loro elementi costitutivi;
l) minaccia cibernetica: complesso delle condotte che possono
essere realizzate nello spazio cibernetico o tramite esso, ovvero in
danno dello stesso e dei suoi elementi costitutivi, che si sostanzia
in particolare, nelle azioni di singoli individui o organizzazioni,
statuali e non, pubbliche o private, finalizzate all'acquisizione e
al trasferimento indebiti di dati, alla loro modifica o distruzione
illegittima, ovvero a danneggiare, distruggere o ostacolare il
regolare funzionamento delle reti e dei sistemi informativi o dei
loro elementi costitutivi;
m) evento cibernetico: avvenimento significativo, di natura
volontaria od accidentale, consistente nell'acquisizione e nel
trasferimento indebiti di dati, nella loro modifica o distruzione
illegittima, ovvero nel danneggiamento, distruzione o blocco del
regolare funzionamento delle reti e dei sistemi informativi o dei
loro elementi costitutivi;
n) allarme: comunicazione di avviso di evento cibernetico da
valutarsi ai fini dell'attivazione di misure di risposta pianificate;
o) situazione di crisi: situazione in cui l'evento cibernetico
assume dimensioni, intensita' o natura tali da incidere sulla
sicurezza nazionale o da non poter essere fronteggiato dalle singole
amministrazioni competenti in via ordinaria ma con l'assunzione di
decisioni coordinate in sede interministeriale.
Art. 3
Presidente del Consiglio dei Ministri
1. Il Presidente:
a) adotta, curandone l'aggiornamento, su proposta del CISR, il
quadro strategico nazionale per la sicurezza dello spazio
cibernetico, contenente l'indicazione dei profili e delle tendenze
evolutive delle minacce e delle vulnerabilita' dei sistemi e delle
reti di interesse nazionale, la definizione dei ruoli e dei compiti
dei diversi soggetti, pubblici e privati, e di quelli nazionali
operanti al di fuori del territorio del Paese, l'individuazione degli
strumenti e delle procedure con cui perseguire l'accrescimento della
capacita' del Paese di prevenzione e risposta rispetto ad eventi
nello spazio cibernetico, anche in un'ottica di diffusione della
cultura della sicurezza;
b) adotta, su deliberazione del CISR, il Piano nazionale per la
protezione cibernetica e la sicurezza informatica nazionali
contenente gli obiettivi da conseguire e le linee di azione da porre
in essere per realizzare il quadro strategico nazionale;
c) emana le direttive ed ogni atto d'indirizzo necessari per
l'attuazione del Piano di cui alla lettera b);
d) impartisce, sentito il CISR, le direttive al DIS e alle
Agenzie ai sensi dell'art. 1, comma 3-bis, della legge n. 124/2007.
Art. 4
Comitato interministeriale per la sicurezza della Repubblica
1. Nella materia della sicurezza dello spazio cibernetico, il CISR,
nella composizione prevista dall'art. 5, comma 3, della legge n.
124/2007:
a) propone al Presidente l'adozione del quadro strategico
nazionale di cui all'art. 3, comma 1, lett. a);
b) delibera il Piano nazionale per la sicurezza dello spazio
cibernetico di cui all'art. 3, comma 1, lett. b), ai fini
dell'adozione da parte del Presidente;
c) esprime parere, ai sensi dell'art. 5, comma 2, lett. h), della
legge n. 400/1988, sulle direttive del Presidente di cui all'art. 3,
comma 1, lett. c);
d) e' sentito, ai sensi dell'art. 1, comma 3-bis, della legge 3
agosto 2007, n. 124, ai fini dell'adozione delle direttive del
Presidente agli organismi di informazione per la sicurezza;
e) esercita l'alta sorveglianza sull'attuazione del Piano
nazionale per la sicurezza dello spazio cibernetico;
f) approva linee di indirizzo per favorire l'efficace
collaborazione tra i soggetti istituzionali e gli operatori privati
interessati alla sicurezza cibernetica, nonche' per la condivisione
delle informazioni e per l'adozione di best pratices e di misure
rivolte all'obiettivo della sicurezza cibernetica;
g) elabora, ai sensi dell'art. 5 della legge 3 agosto 2007, n.
124, gli indirizzi generali e gli obiettivi fondamentali in materia
di protezione cibernetica e di sicurezza informatica nazionali da
perseguire nel quadro della politica dell'informazione per la
sicurezza da parte degli organismi di informazione per la sicurezza,
ciascuno per i profili di rispettiva competenza;
h) promuove l'adozione delle iniziative necessarie per
assicurare, in forma coordinata, la piena partecipazione dell'Italia
ai diversi consessi di cooperazione internazionale, sia in ambito
bilaterale e multilaterale, sia dell'UE e della NATO, al fine della
definizione e adozione di politiche e strategie comuni di prevenzione
e risposta;
i) formula le proposte di intervento normativo ed organizzativo
ritenute necessarie al fine del potenziamento delle misure di
prevenzione e di risposta alla minaccia cibernetica e quelle per la
gestione delle crisi;
l) partecipa, con funzioni di consulenza e di proposta, alle
determinazioni del Presidente in caso di crisi.
2. Alle riunioni del CISR aventi ad oggetto la materia della
sicurezza cibernetica partecipa, senza diritto di voto, il
Consigliere militare.
3. Si applicano, anche ai fini di cui al comma 2, le disposizioni
dell'art. 5, commi 4 e 5, della legge 3 agosto 2007, n. 124.
Art. 5
Organismo di supporto al CISR
1. Alle attivita' di supporto per lo svolgimento da parte del CISR
delle funzioni di cui all'articolo 4 del presente decreto, provvede
l'organismo collegiale di coordinamento, presieduto dal Direttore
generale del DIS, nella composizione di cui all'art. 4, comma 5, del
DPCM 26 ottobre 2012, n. 2, recante l'organizzazione ed il
funzionamento del Dipartimento delle informazione per la sicurezza.
2. Alle riunioni dell'organismo collegiale di coordinamento
riguardanti la materia della sicurezza cibernetica partecipa il
Consigliere militare.
3. L'organismo collegiale di coordinamento di cui al comma 1:
a) svolge attivita' preparatoria delle riunioni del CISR dedicate
alla materia della sicurezza cibernetica;
b) assicura l'istruttoria per l'adozione degli atti e per
l'espletamento delle attivita', da parte del CISR, di cui
all'articolo 4, comma 1, del presente decreto;
c) espleta le attivita' necessarie a verificare l'attuazione
degli interventi previsti dal Piano nazionale per la sicurezza dello
spazio cibernetico e l'efficacia delle procedure di coordinamento tra
i diversi soggetti, pubblici e privati, chiamati ad attuarli;
d) coordina, in attuazione degli indirizzi approvati dal CISR e
sulla base degli elementi forniti dalle Amministrazioni ed enti
competenti, dagli organismi di informazione per la sicurezza, dal
Nucleo per la sicurezza cibernetica di cui all'art. 8 e dagli
operatori privati, nonche' avvalendosi del comitato scientifico di
cui all'art. 6, la formulazione delle indicazioni necessarie allo
svolgimento delle attivita' di individuazione delle minacce alla
sicurezza dello spazio cibernetico, al riconoscimento delle
vulnerabilita', nonche' per l'adozione di best practices e misure di
sicurezza;
4. Per le finalita' di cui al comma 3, l'organismo collegiale di
coordinamento compie approfondimenti ed acquisisce ogni utile
contributo e valutazione ritenuti necessari.
Art. 6
Comitato scientifico
1. Presso la Scuola di formazione di cui all'art. 11 della legge n.
124/2007 e' istituito un comitato scientifico composto da esperti nel
campo delle discipline d'interesse ai fini della sicurezza
cibernetica provenienti dalle universita', dagli enti di ricerca,
dalle pubbliche amministrazioni e dal settore privato, con il compito
di predisporre ipotesi di intervento rivolte a migliorare gli
standard ed i livelli di sicurezza dei sistemi e delle reti, nel
quadro delle azioni finalizzate ad incrementare le condizioni di
sicurezza dello spazio cibernetico d'interesse del Paese, al fine di
assicurare ogni necessario contributo per lo svolgimento delle
attivita' spettanti rispettivamente all'organismo collegiale di
coordinamento di cui all'articolo 5 ed al Nucleo per la sicurezza
cibernetica di cui all'articolo 8, nel campo della prevenzione e
della preparazione ad eventuali situazioni di crisi.
2. Il comitato formula altresi' proposte e progetti di promozione e
diffusione della cultura della sicurezza nel settore cibernetico.
Art. 7
Organismi di informazione per la sicurezza
1. Il DIS e le Agenzie svolgono la propria attivita' nel campo
della sicurezza cibernetica avvalendosi degli strumenti e secondo le
modalita' e le procedure stabilite dalla legge n. 124/2007.
2. Per le finalita' di cui al comma 1, il Direttore generale del
DIS, sulla base delle direttive adottate dal Presidente ai sensi
dell'art. 1, comma 3-bis, della legge n. 124/2007 e alla luce degli
indirizzi generali e degli obiettivi fondamentali individuati dal
CISR, cura, ai sensi dell'art. 4, comma 3, lett. d-bis), della citata
legge, il coordinamento delle attivita' di ricerca informativa
finalizzate a rafforzare la protezione cibernetica e la sicurezza
informatica nazionali.
3. Il DIS, attraverso i propri uffici, assicura il supporto al
Direttore generale per l'espletamento delle attivita' di
coordinamento di cui al comma 2. Il DIS provvede, altresi', sulla
base delle informazioni acquisite ai sensi dell'art. 4, comma 3,
lett. c), alla luce delle acquisizioni provenienti dallo scambio
informativo di cui all'art. 4, comma 3, lett. e), della legge n.
124/2007, e dei dati acquisiti ai sensi dell'art. 13, commi 1 e 2,
della citata legge, alla formulazione di analisi, valutazioni e
previsioni sulla minaccia cibernetica. Provvede, in base a quanto
disposto dal presente decreto, alla trasmissione di informazioni
rilevanti ai fini della sicurezza cibernetica al Nucleo per la
sicurezza cibernetica di cui all'art. 8, alle pubbliche
amministrazioni e agli altri soggetti, anche privati, interessati
all'acquisizione di informazioni, ai sensi dell'art. 4, comma 3,
lett. f) della legge n. 124/2007.
4. Le Agenzie, ciascuna nell'ambito delle rispettive attribuzioni,
svolgono, secondo gli indirizzi definiti dalle direttive del
Presidente e le linee di coordinamento delle attivita' di ricerca
informativa stabilite dal Direttore generale del DIS ai sensi del
comma 2, le attivita' di ricerca e di elaborazione informativa
rivolte alla protezione cibernetica e alla sicurezza informatica
nazionali.
5. Per lo svolgimento delle attivita' previste dal presente
articolo, il DIS e le Agenzie corrispondono con le pubbliche
amministrazioni, i soggetti erogatori di servizi di pubblica
utilita', le universita' e con gli enti di ricerca, stipulando a tal
fine apposite convenzioni ai sensi dell'art. 13, comma 1, della legge
n. 124/2007. Per le stesse finalita', le pubbliche amministrazioni ed
i soggetti erogatori di servizi di pubblica utilita' consentono
l'accesso del DIS e delle Agenzie ai propri archivi informatici
secondo le modalita' e con le procedure previste dal DPCM n. 4/2009,
adottato ai sensi dell'art. 13, comma 2, della predetta legge.
6. Il DIS, ai sensi dell'art. 4, comma 3, lett. m), della legge n.
124/2007, pone in essere ogni iniziativa volta a promuovere e
diffondere la conoscenza e la consapevolezza in merito ai rischi
derivanti dalla minaccia cibernetica e sulle misure necessarie a
prevenirli, anche sulla base delle indicazioni del comitato
scientifico di cui all'art. 6.
Art. 8
Nucleo per la sicurezza cibernetica
1. Presso l'Ufficio del Consigliere militare e' costituito, in via
permanente, il Nucleo per la sicurezza cibernetica, a supporto del
Presidente, nella materia della sicurezza dello spazio cibernetico,
per gli aspetti relativi alla prevenzione e preparazione ad eventuali
situazioni di crisi e per l'attivazione delle procedure di
allertamento.
2. Il Nucleo e' presieduto dal Consigliere militare ed e' composto
da un rappresentante rispettivamente del DIS, dell'AISE, dell'AISI,
del Ministero degli affari esteri, del Ministero dell'interno, del
Ministero della difesa, del Ministero dello sviluppo economico, del
Ministero dell'economia e delle finanze, del Dipartimento della
protezione civile e dell'Agenzia per l'Italia digitale. Per gli
aspetti relativi alla trattazione di informazioni classificate il
Nucleo e' integrato da un rappresentante dell'Ufficio centrale per la
segretezza di cui all'articolo 9 della legge n. 124/2007.
3. I componenti possono farsi assistere alle riunioni da altri
rappresentanti delle rispettive amministrazioni in relazione alle
materie oggetto di trattazione ed, in particolare, per le esigenze di
raccordo di cui all'art. 9, comma 2, lett. a).
4. In relazione agli argomenti delle riunioni possono anche essere
chiamati a partecipare rappresentanti di altre amministrazioni, di
universita' o di enti e istituti di ricerca, nonche' di operatori
privati interessati alla materia della sicurezza cibernetica.
5. Il Nucleo per la sicurezza cibernetica si riunisce almeno una
volta al mese, su iniziativa del Consigliere militare o su richiesta
di almeno un componente del Nucleo.
Art. 9
Compiti del Nucleo per la sicurezza cibernetica
1. Per le finalita' di cui all'art. 8, comma 1, del presente
decreto, il Nucleo per la sicurezza cibernetica svolge funzioni di
raccordo tra le diverse componenti dell'architettura istituzionale
che intervengono a vario titolo nella materia della sicurezza
cibernetica, nel rispetto delle competenze attribuite dalla legge a
ciascuna di esse.
2. In particolare, nel campo della prevenzione e della preparazione
ad eventuali situazioni di crisi, il Nucleo per la sicurezza
cibernetica:
a) promuove, sulla base delle direttive di cui all'articolo 3,
comma 1, lett. c), la programmazione e la pianificazione operativa
della risposta a situazioni di crisi cibernetica da parte delle
amministrazioni e degli operatori privati interessati e
l'elaborazione delle necessarie procedure di coordinamento
interministeriale, in raccordo con le pianificazioni di difesa civile
e di protezione civile;
b) mantiene attivo, 24 ore su 24, 7 giorni su 7, l'unita' per
l'allertamento e la risposta a situazioni di crisi cibernetica;
c) valuta e promuove, in raccordo con le amministrazioni
competenti per specifici profili della sicurezza cibernetica, e
tenuto conto di quanto previsto dall'art. 7 riguardo all'attivita'
degli organismi di informazione per la sicurezza, procedure di
condivisione delle informazioni, anche con gli operatori privati
interessati, ai fini della diffusione di allarmi relativi ad eventi
cibernetici e per la gestione delle crisi;
d) acquisisce, per il tramite del Ministero dello sviluppo
economico, degli organismi di informazione per la sicurezza, delle
Forze di polizia e delle strutture del Ministero della difesa, le
comunicazioni circa i casi di violazioni o tentativi di violazione
della sicurezza o di perdita dell'integrita' significativi ai fini
del corretto funzionamento delle reti e dei servizi;
e) promuove e coordina, in raccordo con il Ministero dello
sviluppo economico e con l'Agenzia per l'Italia digitale per i
profili di rispettiva competenza, lo svolgimento di esercitazioni
interministeriali, ovvero la partecipazione nazionale in
esercitazioni internazionali che riguardano la simulazione di eventi
di natura cibernetica;
f) costituisce punto di riferimento nazionale per i rapporti con
l'ONU, la NATO, l'UE, altre organizzazioni internazionali ed altri
Stati, ferme restando le specifiche competenze del Ministero dello
sviluppo economico, del Ministero degli affari esteri, del Ministero
dell'interno, del Ministero della difesa e di altre amministrazioni
previste dalla normativa vigente, assicurando comunque in materia
ogni necessario raccordo.
3. Ai fini dell'attivazione delle azioni di risposta e ripristino
rispetto a situazioni di crisi cibernetica, il Nucleo:
a) riceve, anche dall'estero, le segnalazioni di evento
cibernetico e dirama gli allarmi alle amministrazioni e agli
operatori privati, ai fini dell'attuazione di quanto previsto nelle
pianificazioni di cui al comma 2, lett. a);
b) valuta se l'evento assume dimensioni, intensita' o natura tali
da incidere sulla sicurezza nazionale o non puo' essere fronteggiato
dalle singole amministrazioni competenti in via ordinaria, ma
richiede l'assunzione di decisioni coordinate in sede
interministeriale, provvedendo, ove necessario, a dichiarare la
situazione di crisi cibernetica e ad attivare il NISP, quale Tavolo
interministeriale di crisi cibernetica, informando tempestivamente il
Presidente sulla situazione in atto.
4. Il Nucleo per la sicurezza cibernetica elabora appositi report
sullo stato di attuazione delle misure di coordinamento ai fini della
preparazione e gestione della crisi previste dal presente decreto e
li trasmette, per le finalita' di cui all'articolo 5, comma 3, lett.
c), all'organismo collegiale di cui all'articolo 5.
Art. 10
NISP - Tavolo interministeriale di crisi cibernetica
1. Il NISP, quale Tavolo interministeriale di crisi cibernetica, e'
attivato dal Nucleo per la sicurezza cibernetica ai sensi
dell'articolo 9, comma 3, lett. b).
2. Il Tavolo, presieduto dal Consigliere militare, opera con la
presenza di un rappresentante per ciascuna delle amministrazioni
indicate dall'art. 5, comma 3, del DPCM 5 maggio 2010 e di un
rappresentante rispettivamente del Ministero dello sviluppo economico
e dell'Agenzia per l'Italia digitale, autorizzati ad assumere
decisioni che impegnano la propria amministrazione. Alle riunioni i
componenti possono farsi accompagnare da altri funzionari della
propria amministrazione. Alle stesse riunioni possono essere chiamati
a partecipare rappresentanti di soggetti ed enti di cui all'art. 5,
comma 6, del DPCM 5 maggio 2010, nonche' degli operatori privati di
cui all'art. 11 del presente decreto, e di altri eventualmente
interessati.
3. E' compito del Tavolo interministeriale di crisi cibernetica
assicurare che le attivita' di reazione e stabilizzazione di
competenza delle diverse Amministrazioni ed enti rispetto a
situazioni di crisi di natura cibernetica, vengano espletate in
maniera coordinata secondo quanto previsto dalle pianificazioni di
cui all'art. 9, comma 2, lett. a), avvalendosi, per gli aspetti
tecnici di risposta sul piano informatico e telematico, del Computer
Emergency Response Team (CERT) nazionale, istituito presso il
Ministero dello sviluppo economico.
4. Il Tavolo altresi':
a) mantiene costantemente informato il Presidente sulla crisi in
atto, predisponendo punti aggiornati di situazione;
b) assicura il coordinamento per l'attuazione a livello
interministeriale delle determinazioni del Presidente per il
superamento della crisi;
c) raccoglie tutti i dati relativi alla crisi;
d) elabora rapporti e fornisce informazioni sulla crisi e li
trasmette ai soggetti pubblici e privati interessati;
e) assicura i collegamenti finalizzati alla gestione della crisi
con gli omologhi organismi di altri Stati, della NATO, dell'UE o di
organizzazioni internazionali di cui l'Italia fa parte.
Art. 11
Operatori privati
1. Gli operatori privati che forniscono reti pubbliche di
comunicazione o servizi di comunicazione elettronica accessibili al
pubblico, quelli che gestiscono infrastrutture critiche di rilievo
nazionale ed europeo, il cui funzionamento e' condizionato
dall'operativita' di sistemi informatici e telematici, ivi comprese
quelle individuate ai sensi dell'art. 1, comma 1, lett. d), del
decreto del Ministro dell'interno 9 gennaio 2008, secondo quanto
previsto dalla normativa vigente, ovvero previa apposita convenzione:
a) comunicano al Nucleo per la sicurezza cibernetica, anche per
il tramite dei soggetti istituzionalmente competenti a ricevere le
relative comunicazioni ai sensi dell'art. 16-bis, comma 2, lett. b),
del decreto legislativo n. 259/2003, ogni significativa violazione
della sicurezza o dell'integrita' dei propri sistemi informatici,
utilizzando canali di trasmissione protetti;
b) adottano le best practices e le misure finalizzate
all'obiettivo della sicurezza cibernetica, definite ai sensi
dell'art. 16-bis, comma 1, lett. a), del decreto legislativo n.
259/2003, e dell'art. 5, comma 3, lett. d), del presente decreto;
c) forniscono informazioni agli organismi di informazione per la
sicurezza e consentono ad essi l'accesso alle banche dati d'interesse
ai fini della sicurezza cibernetica di rispettiva pertinenza, nei
casi previsti dalla legge n. 124/2007;
d) collaborano alla gestione delle crisi cibernetiche
contribuendo al ripristino della funzionalita' dei sistemi e delle
reti da essi gestiti.
Art. 12
Tutela delle informazioni
1. Per lo scambio delle informazioni classificate si osservano le
disposizioni di cui al DPCM 22 luglio 2011, n. 4 recante disposizioni
per la tutela amministrativa del segreto di Stato e delle
informazioni classificate.
2. Il DIS, attraverso l'Ufficio centrale per la segretezza,
assolve, altresi', ai compiti di cui al DPCM 22 luglio 2011, n. 4,
relativi alla tutela dei sistemi EAD delle pubbliche amministrazioni
e degli operatori privati di cui all'art. 11 del presente decreto,
che trattano informazioni classificate.
Art. 13
Disposizioni finali
1. Dal presente decreto non derivano nuovi oneri a carico del
bilancio dello Stato.
2. Il presente decreto e' pubblicato nella Gazzetta Ufficiale della
Repubblica italiana.
Roma, 24 gennaio 2013
Il Presidente del Consiglio dei Ministri
Monti
Il Ministro della difesa
Di Paola
Il Ministro dell'economia e delle finanze
Grilli
Il Ministro dell'interno
Cancellieri
Il Ministro dello sviluppo economico
e delle infrastrutture e dei trasporti
Passera
Il Ministro degli affari esteri
Terzi di Sant'Agata
Il Ministro della giustizia
Severino
Registrato alla Corte dei conti l'11 marzo 2013
Presidenza del Consiglio dei Ministri, registro n. 2, foglio n. 267