Sicurezza cibernetica: definito il perimetro nazionale con il decreto del presidente del consiglio dei ministri 30 luglio 2020, n. 131, pubblicato sulla Gazzetta Ufficiale del 21 ottobre 2020, n. 261.
DL semplificazioni convertito in legge: quali misure per la sicurezza informatica?
In particolare, il provvedimento definisce:
- le modalità e i criteri procedurali di individuazione di amministrazioni pubbliche, enti e operatori pubblici e privati, inclusi nel perimetro di Sicurezza nazionale cibernetica;
- i criteri per la predisposizione e l'aggiornamento degli elenchi delle reti, dei sistemi informativi e dei servizi informatici.
Di seguito il testo integrale del decreto del presidente del consiglio dei ministri 30 luglio 2020, n. 131.
Non sei ancora abbonato ad Ambiente&Sicurezza? Clicca qui
Decreto del presidente del consiglio dei ministri 30 luglio 2020, n. 131
Regolamento in materia di perimetro di sicurezza nazionale
cibernetica, ai sensi dell'articolo 1, comma 2, del decreto-legge 21
settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18
novembre 2019, n. 133. (20G00150)
(in Gazzetta Ufficiale del 21 ottobre 2020, n.261)
Vigente al: 5-11-2020
Capo I
Definizioni e criteri generali
IL PRESIDENTE
DEL CONSIGLIO DEI MINISTRI
Vista la legge 23 agosto 1988, n. 400;
Visto il decreto-legge 21 settembre 2019, n. 105, convertito, con
modificazioni, dalla legge 18 novembre 2019, n. 133, recante
disposizioni urgenti in materia di perimetro di sicurezza nazionale
cibernetica e di disciplina dei poteri speciali nei settori di
rilevanza strategica, e, in particolare, l'articolo 1, comma 2;
Visto il decreto legislativo 30 luglio 1999, n. 300, recante
riforma dell'organizzazione del Governo, a norma dell'articolo 11
della legge 15 marzo 1997, n. 59;
Visto il decreto legislativo 1° agosto 2003, n. 259, recante codice
delle comunicazioni elettroniche;
Visto il decreto legislativo 7 marzo 2005, n. 82, recante codice
dell'amministrazione digitale e, in particolare, l'articolo 29;
Visto il decreto-legge 27 luglio 2005, n. 144, convertito, con
modificazioni, dalla legge 31 luglio 2005, n. 155, recante misure
urgenti per il contrasto del terrorismo e, in particolare, l'articolo
7-bis;
Vista la legge 3 agosto 2007, n. 124, concernente Sistema di
informazione per la sicurezza della Repubblica e nuova disciplina del
segreto;
Visto il decreto legislativo 11 aprile 2011, n. 61, di attuazione
della direttiva 2008/114/CE della Commissione, dell'8 dicembre 2008,
recante l'individuazione e la designazione delle infrastrutture
critiche europee e la valutazione della necessita' di migliorarne la
protezione;
Visto il decreto-legge 15 marzo 2012, n. 21, convertito, con
modificazioni, dalla legge 11 maggio 2012, n. 56, recante norme in
materia di poteri speciali sugli assetti societari nei settori della
difesa e della sicurezza nazionale, nonche' per le attivita' di
rilevanza strategica nei settori dell'energia, dei trasporti e delle
comunicazioni;
Visto il decreto legislativo 18 maggio 2018, n. 65, di attuazione
della direttiva (UE) 2016/1148 del Parlamento europeo e del
Consiglio, del 6 luglio 2016, recante misure per un livello comune
elevato di sicurezza delle reti e dei sistemi informativi
nell'Unione;
Visto il decreto del Presidente del Consiglio dei ministri 17
febbraio 2017, recante direttiva concernente indirizzi per la
protezione cibernetica e la sicurezza informatica nazionali,
pubblicato nella Gazzetta Ufficiale della Repubblica italiana n. 87
del 13 aprile 2017;
Ritenuto di dover definire modalita' e criteri procedurali di
individuazione dei soggetti pubblici e privati inclusi nel perimetro
di sicurezza nazionale cibernetica, nonche' i criteri con i quali i
soggetti inclusi nel perimetro predispongono e aggiornano un elenco
delle reti, dei sistemi informativi e dei servizi informatici di
rispettiva pertinenza;
Udito il parere del Consiglio di Stato espresso dalla sezione
consultiva per gli atti normativi nell'adunanza del 21 maggio 2020;
Acquisiti i pareri della 1ª Commissione del Senato della Repubblica
del 7 luglio 2020, delle Commissioni riunite I e IX della Camera dei
deputati dell'8 luglio 2020 e della V Commissione della Camera dei
deputati del 15 luglio 2020;
Sulla proposta del Comitato interministeriale per la sicurezza
della Repubblica;
A d o t t a
il presente regolamento:
Art. 1
Definizioni
1. Ai fini del presente decreto si intende per:
a) decreto-legge, il decreto-legge 21 settembre 2019, n. 105,
convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133;
b) perimetro, il perimetro di sicurezza nazionale cibernetica
istituito ai sensi dell'articolo 1, comma 1, del decreto-legge;
c) CISR, il Comitato interministeriale per la sicurezza della
Repubblica di cui all'articolo 5 della legge 3 agosto 2007, n. 124;
d) amministrazioni CISR, la Presidenza del Consiglio dei ministri
e i Ministeri di cui all'articolo 5 della legge 3 agosto 2007, n.
124;
e) amministrazione dello Stato, le amministrazioni di cui
all'articolo 8, comma 1, della legge 7 agosto 2015, n. 124;
f) pregiudizio per la sicurezza nazionale, danno o pericolo di
danno all'indipendenza, all'integrita' o alla sicurezza della
Repubblica e delle istituzioni democratiche poste dalla Costituzione
a suo fondamento, ovvero agli interessi politici, militari,
economici, scientifici e industriali dell'Italia, conseguente
all'interruzione o alla compromissione di una funzione essenziale
dello Stato o di un servizio essenziale di cui all'articolo 2;
g) compromissione, la perdita di sicurezza o di efficacia dello
svolgimento di una funzione essenziale dello Stato o di un servizio
essenziale, connessa al malfunzionamento, all'interruzione, anche
parziali, ovvero all'utilizzo improprio di reti, sistemi informativi
e servizi informatici;
h) incidente, ogni evento di natura accidentale o intenzionale
che determina il malfunzionamento, l'interruzione, anche parziali,
ovvero l'utilizzo improprio delle reti, dei sistemi informativi o dei
servizi informatici;
i) rete, sistema informativo:
1) una rete di comunicazione elettronica ai sensi dell'articolo
1, comma 1, lettera dd), del decreto legislativo 1° agosto 2003, n.
259;
2) qualsiasi dispositivo o gruppo di dispositivi interconnessi
o collegati, uno o piu' dei quali eseguono, in base ad un programma,
un trattamento automatico di dati digitali, ivi inclusi i sistemi di
controllo industriale;
3) i dati digitali conservati, trattati, estratti o trasmessi
per mezzo di reti o dispositivi di cui ai numeri 1) e 2), per il loro
funzionamento, uso, protezione e manutenzione, compresi i programmi
di cui al numero 2);
l) servizio informatico, un servizio consistente interamente o
prevalentemente nel trattamento di informazioni, per mezzo della rete
e dei sistemi informativi, ivi incluso quello di cloud computing di
cui all'articolo 3, comma 1, lettera aa), del decreto legislativo 18
maggio 2018, n. 65;
m) bene ICT (information and communication technology), un
insieme di reti, sistemi informativi e servizi informatici, o parti
di essi, di qualunque natura, considerato unitariamente ai fini dello
svolgimento di funzioni essenziali dello Stato o per l'erogazione di
servizi essenziali;
n) architettura e componentistica, l'insieme delle architetture
realizzate e dei componenti usati a livello di rete, dati e software,
ivi inclusi la distribuzione su piattaforme di cloud computing,
nonche' le procedure e i flussi informativi per l'accesso,
acquisizione, trasmissione, conservazione, elaborazione e recupero
dei dati necessari all'espletamento dei servizi informatici;
o) DIS, il Dipartimento delle informazioni per la sicurezza della
Presidenza del Consiglio dei ministri, di cui all'articolo 4 della
legge 3 agosto 2007, n. 124;
p) Agenzie, l'Agenzia informazioni e sicurezza esterna e
l'Agenzia informazioni e sicurezza interna di cui agli articoli 6 e 7
della legge 3 agosto 2007, n. 124;
q) organismi di informazione per la sicurezza, il DIS e le
Agenzie;
r) Tavolo interministeriale, il Tavolo interministeriale per
l'attuazione del perimetro di sicurezza nazionale cibernetica;
s) decreto legislativo NIS, il decreto legislativo 18 maggio
2018, n. 65;
t) NSC, il Nucleo per la sicurezza cibernetica, organo di cui
all'articolo 12, comma 6, del decreto legislativo NIS;
u) codice dell'amministrazione digitale, il codice di cui al
decreto legislativo 7 marzo 2005, n. 82;
v) CISR tecnico, l'organismo tecnico di supporto al CISR, di cui
all'articolo 4, comma 5, del regolamento adottato con decreto del
Presidente del Consiglio dei ministri 3 aprile 2020, n. 2, che
definisce l'ordinamento e l'organizzazione del DIS;
z) analisi del rischio, un processo che consente di identificare
i fattori di rischio di un incidente, valutandone la probabilita' e
l'impatto potenziale sulla continuita', sulla sicurezza o sulla
efficacia della funzione essenziale o del servizio essenziale, e
conseguentemente di trattare tale rischio individuando ed
implementando idonee misure di sicurezza.
Art. 2
Soggetti che esercitano funzioni essenziali
e servizi essenziali
1. Ai fini di quanto previsto dall'articolo 1, comma 2, lettera a),
del decreto-legge:
a) un soggetto esercita una funzione essenziale dello Stato, di
seguito funzione essenziale, laddove l'ordinamento gli attribuisca
compiti rivolti ad assicurare la continuita' dell'azione di Governo e
degli Organi costituzionali, la sicurezza interna ed esterna e la
difesa dello Stato, le relazioni internazionali, la sicurezza e
l'ordine pubblico, l'amministrazione della giustizia, la
funzionalita' dei sistemi economico e finanziario e dei trasporti;
b) un soggetto, pubblico o privato, presta un servizio essenziale
per il mantenimento di attivita' civili, sociali o economiche
fondamentali per gli interessi dello Stato, di seguito servizio
essenziale, laddove ponga in essere: attivita' strumentali
all'esercizio di funzioni essenziali dello Stato; attivita'
necessarie per l'esercizio e il godimento dei diritti fondamentali;
attivita' necessarie per la continuita' degli approvvigionamenti e
l'efficienza delle infrastrutture e della logistica; attivita' di
ricerca e attivita' relative alle realta' produttive nel campo
dell'alta tecnologia e in ogni altro settore, ove presentino rilievo
economico e sociale, anche ai fini della garanzia dell'autonomia
strategica nazionale, della competitivita' e dello sviluppo del
sistema economico nazionale.
2. Gli Organi costituzionali, ove intendano adottare, per le
proprie reti e i propri sistemi informativi e servizi informatici,
misure di sicurezza analoghe a quelle previste dal decreto-legge,
possono concludere per tali finalita' appositi accordi con il
Presidente del Consiglio dei ministri.
Art. 3
Settori di attivita'
1. Ai fini dell'inclusione nel perimetro, sono oggetto di
individuazione, in applicazione del criterio di gradualita' di cui
all'articolo 1, comma 2, del decreto-legge, in via prioritaria, fatta
salva l'estensione ad altri settori in sede di aggiornamento, i
soggetti operanti nel settore governativo, concernente, nell'ambito
delle attivita' dell'amministrazione dello Stato, le attivita' delle
amministrazioni CISR, nonche' gli ulteriori soggetti, pubblici o
privati, operanti nei seguenti settori di attivita', ove non
ricompresi in quello governativo:
a) interno;
b) difesa;
c) spazio e aerospazio;
d) energia;
e) telecomunicazioni;
f) economia e finanza;
g) trasporti;
h) servizi digitali;
i) tecnologie critiche, di cui all'articolo 4, paragrafo 1,
lettera b), del Regolamento (UE) 2019/452 del Parlamento europeo e
del Consiglio del 19 marzo 2019, con esclusione di quelle riferite ad
altri settori di cui al presente articolo;
l) enti previdenziali/lavoro.
2. All'espletamento delle attivita' di cui agli articoli 4 e 5
provvedono, per il settore governativo, le amministrazioni CISR,
ciascuna nell'ambito di rispettiva competenza, e, per i settori di
cui al comma 1, lettere da a) a l), le seguenti amministrazioni:
a) per il settore interno, il Ministero dell'interno, nell'ambito
delle attribuzioni di cui all'articolo 14 del decreto legislativo 30
luglio 1999, n. 300;
b) per il settore difesa, il Ministero della difesa;
c) per il settore spazio e aerospazio, la Presidenza del
Consiglio dei ministri, ai sensi della legge 11 gennaio 2018, n. 7;
d) per il settore energia, il Ministero dello sviluppo economico;
e) per il settore telecomunicazioni, il Ministero dello sviluppo
economico;
f) per il settore economia e finanza, il Ministero dell'economia
e delle finanze;
g) per il settore trasporti, il Ministero delle infrastrutture e
dei trasporti;
h) per il settore servizi digitali, il Ministero dello sviluppo
economico, in raccordo con la struttura della Presidenza del
Consiglio dei ministri competente per la innovazione tecnologica e la
digitalizzazione;
i) per il settore tecnologie critiche, la struttura della
Presidenza del Consiglio dei ministri competente per la innovazione
tecnologica e la digitalizzazione, in raccordo con il Ministero dello
sviluppo economico e con il Ministero dell'universita' e della
ricerca;
l) per il settore enti previdenziali/lavoro, il Ministero del
lavoro e delle politiche sociali.
Capo II
Modalita' e criteri procedurali di individuazione di amministrazioni
pubbliche, enti e operatori pubblici e privati, inclusi nel perimetro
di Sicurezza nazionale cibernetica
Art. 4
Modalita' e criteri procedurali di individuazione
dei soggetti inclusi nel perimetro
1. Fermo restando quanto previsto per gli organismi di informazione
per la sicurezza dall'articolo 1, comma 2, lettera a), del
decreto-legge, ai fini dell'individuazione dei soggetti inclusi nel
perimetro, le amministrazioni di cui all'articolo 3, comma 2, in
relazione ai settori di attivita' di competenza di cui al medesimo
articolo:
a) identificano le funzioni essenziali e i servizi essenziali di
diretta pertinenza ovvero esercitati o prestati da soggetti vigilati
o da operatori anche privati, che dipendono da reti, sistemi
informativi o servizi informatici, la cui interruzione o
compromissione possa arrecare un pregiudizio per la sicurezza
nazionale;
b) valutano a tali fini, tenendo conto della rilevanza di ciascun
criterio in relazione agli specifici settori di attivita':
1) quanto agli effetti di una interruzione della funzione
essenziale o del servizio essenziale, la estensione territoriale
della funzione essenziale o del servizio essenziale, il numero e la
tipologia di utenti potenzialmente interessati, i livelli di servizio
garantiti, ove previsti, le possibili ricadute economiche, ove
applicabili, e ogni altro elemento rilevante;
2) quanto agli effetti della compromissione dello svolgimento
della funzione essenziale o del servizio essenziale, le conseguenze
della perdita di disponibilita', integrita' o riservatezza dei dati e
delle informazioni trattati per il loro svolgimento, avuto riguardo
alla tipologia ed alla quantita' degli stessi, alla loro sensibilita'
ed allo scopo cui sono destinati;
3) la possibile mitigazione, rispetto all'interruzione o alla
compromissione dello svolgimento della funzione essenziale o del
servizio essenziale, in relazione al tempo necessario per
ripristinarne lo svolgimento in condizioni di sicurezza e alla
possibilita' che lo svolgimento della funzione essenziale o del
servizio essenziale possano o meno essere assicurati, anche
temporaneamente, con modalita' prive di supporto informatizzato
ovvero anche parzialmente da altri soggetti;
c) individuano le funzioni essenziali e i servizi essenziali di
cui alla lettera a) per i quali, sulla base dei criteri di cui alla
lettera b), in caso di interruzione o compromissione, il pregiudizio
per la sicurezza nazionale e' ritenuto massimo e le possibilita' di
mitigazione minime, e li graduano in una scala crescente;
d) individuano i soggetti che svolgono le funzioni essenziali o i
servizi essenziali di cui alla lettera c). In fase di prima
applicazione e fino all'aggiornamento del presente decreto, ai sensi
dell'articolo 1, comma 5, del decreto-legge, sono individuati i
soggetti titolari delle funzioni essenziali o dei servizi essenziali
di cui alla lettera c), un'interruzione delle cui attivita'
comporterebbe il mancato svolgimento della funzione o del servizio.
Art. 5
Elencazione dei soggetti inclusi nel perimetro
1. Le amministrazioni di cui all'articolo 3, comma 2, in relazione
ai settori di attivita' di competenza, predispongono, per la
sottoposizione al CISR ai fini della formulazione della proposta di
cui al comma 2, una lista di soggetti individuabili ai sensi
dell'articolo 4, e la trasmettono al CISR tecnico.
2. L'elencazione dei soggetti e' contenuta in un atto
amministrativo, adottato e periodicamente aggiornato dal Presidente
del Consiglio dei ministri, su proposta del CISR, ai sensi
dell'articolo 1, comma 2-bis, del decreto-legge.
3. La comunicazione di cui all'articolo 1, comma 2-bis, secondo
periodo, del decreto-legge, e' effettuata dal DIS entro trenta giorni
dall'avvenuta iscrizione di ciascun destinatario nell'elenco di cui
al comma 2. Nella comunicazione vengono indicati la funzione
essenziale o il servizio essenziale in relazione al cui espletamento
il soggetto e' stato incluso nell'elenco, informandone le
amministrazioni di cui all'articolo 3, comma 2. Dell'avvenuta
iscrizione e' data altresi' comunicazione da parte del DIS alla
struttura della Presidenza del Consiglio dei ministri competente per
la innovazione tecnologica e la digitalizzazione, per i soggetti
pubblici e per quelli di cui all'articolo 29 del codice
dell'amministrazione digitale, e al Ministero dello sviluppo
economico, per quelli privati. L'elencazione dei soggetti inclusi nel
perimetro di sicurezza nazionale cibernetica e' altresi' comunicata
dal DIS all'organo del Ministero dell'interno per la sicurezza e la
regolarita' dei servizi di telecomunicazione di cui all'articolo
7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con
modificazioni, dalla legge 31 luglio 2005, n. 155.
Art. 6
Tavolo interministeriale per l'attuazione del perimetro di sicurezza
nazionale cibernetica - Tavolo interministeriale
1. E' istituito, a supporto del CISR tecnico, il Tavolo
interministeriale per l'attuazione del perimetro di sicurezza
nazionale cibernetica, di seguito: «Tavolo interministeriale».
2. Il Tavolo interministeriale e' presieduto da un vice direttore
generale del DIS, ed e' composto da due rappresentanti di ciascuna
amministrazione CISR, da un rappresentante per ciascuna delle due
Agenzie, nonche' da due rappresentanti degli altri Ministeri di volta
in volta interessati, che sono chiamati a partecipare alle riunioni,
anche su loro richiesta motivata, in relazione agli argomenti da
trattare, di cui almeno uno in possesso di competenze
tecnico-specialistiche nella materia della sicurezza cibernetica.
3. Il CISR tecnico si avvale del Tavolo interministeriale:
a) per l'esercizio delle funzioni istruttorie di cui all'articolo
5;
b) ai fini del supporto per ogni altra attivita' attribuita dal
decreto-legge al CISR o al CISR tecnico.
4. Il Tavolo interministeriale si riunisce periodicamente, almeno
una volta ogni 6 mesi, e puo' essere convocato d'iniziativa del
presidente o su richiesta di almeno un componente designato, in
relazione alla trattazione di specifici argomenti.
5. Possono essere chiamati a partecipare alle riunioni
rappresentanti di altre pubbliche amministrazioni, nonche' di enti e
operatori pubblici e privati.
6. La partecipazione alle riunioni del Tavolo interministeriale
costituisce dovere d'ufficio e non sono, pertanto, dovuti gettoni di
presenza, compensi, rimborsi spese o altri emolumenti comunque
denominati.
Capo III
Criteri per la predisposizione e l'aggiornamento degli elenchi delle
reti, dei sistemi informativi e dei servizi informatici
Art. 7
Definizione dei criteri per la predisposizione e l'aggiornamento
degli elenchi delle reti, dei sistemi informativi e dei servizi
informatici
1. Ai sensi dell'articolo 1, comma 2, del decreto-legge, i soggetti
inclusi nel perimetro predispongono e aggiornano, con cadenza almeno
annuale, l'elenco di beni ICT di rispettiva pertinenza, con
l'indicazione delle reti, dei sistemi informativi e dei servizi
informatici che li compongono, osservando i criteri individuati nel
successivo comma.
2. Ricevuta la comunicazione prevista dall'articolo 1, comma
2-bis), secondo periodo, del decreto-legge, i soggetti inclusi nel
perimetro, in esito all'analisi del rischio, per ogni funzione
essenziale o servizio essenziale di cui all'articolo 4, comma 1,
lettera c), provvedono:
a) ad individuare i beni ICT necessari a svolgere la funzione
essenziale o il servizio essenziale. A tale fine sono valutati:
1) l'impatto di un incidente sul bene ICT, in termini sia di
limitazione della operativita' del bene stesso, sia di compromissione
della disponibilita', integrita', o riservatezza dei dati e delle
informazioni da esso trattati, ai fini dello svolgimento della
funzione o del servizio essenziali;
2) le dipendenze con altre reti, sistemi informativi, servizi
informatici o infrastrutture fisiche di pertinenza di altri soggetti,
ivi compresi quelli utilizzati per fini di manutenzione e gestione;
b) a predisporre l'elenco dei beni ICT di cui all'articolo 1,
comma 2, lettera b), del decreto-legge. In fase di prima applicazione
e fino all'aggiornamento del presente decreto, ai sensi dell'articolo
1, comma 5, del decreto-legge, sono individuati, all'esito
dell'analisi del rischio, in ossequio al principio di gradualita', i
beni ICT che, in caso di incidente, causerebbero l'interruzione
totale dello svolgimento della funzione essenziale o del servizio
essenziale o una compromissione degli stessi con effetti
irreversibili sotto il profilo della integrita' o della riservatezza
dei dati e delle informazioni.
3. Per le reti, i sistemi informativi e i servizi informatici
attinenti alla gestione delle informazioni classificate si applica
quanto previsto dall'articolo 1, comma 2, lettera b), del
decreto-legge.
Art. 8
Descrizione dell'architettura e della componentistica
1. L'architettura e la componentistica relative ai beni ICT
individuati negli elenchi di cui all'articolo 7, sono descritte
conformemente al modello predisposto, sentito il CISR tecnico, dal
DIS, che ne cura la comunicazione ai soggetti interessati unitamente
alla comunicazione di cui all'articolo 5, comma 3. Il modello
contiene l'indicazione degli elementi utili alla descrizione dei beni
ICT e delle relative dipendenze ed e' periodicamente aggiornato con
le medesime modalita' di cui al presente comma.
2. Il modello di cui al comma 1 individua altresi' le informazioni
necessarie ai fini della trasmissione prevista dall'articolo 9.
Art. 9
Modalita' di trasmissione degli elenchi delle reti,
dei sistemi informativi e dei servizi informatici
1. Entro sei mesi dal ricevimento della comunicazione di avvenuta
iscrizione nell'elenco di cui all'articolo 1, comma 2-bis), del
decreto-legge, i soggetti pubblici e quelli di cui all'articolo 29
del codice dell'amministrazione digitale, nonche' quelli privati ivi
inclusi, trasmettono, rispettivamente, alla struttura della
Presidenza del Consiglio dei ministri competente per la innovazione
tecnologica e la digitalizzazione e al Ministero dello sviluppo
economico, gli elenchi di beni ICT di cui all'articolo 1, comma 2,
lettera b), del decreto-legge, comprensivi della descrizione
dell'architettura e della componentistica predisposta secondo il
modello di cui all'articolo 8, nonche' dell'analisi del rischio. La
trasmissione degli elenchi di beni ICT avviene per il tramite di una
piattaforma digitale costituita presso il DIS anche per le attivita'
di prevenzione, preparazione e gestione delle crisi cibernetiche
affidate al NSC, nell'ambito delle risorse finanziarie, umane e
strumentali previste a legislazione vigente. Le disposizioni di cui
al presente comma si applicano anche per l'aggiornamento degli
elenchi di beni ICT e del modello di cui all'articolo 8, comma 1.
2. La struttura della Presidenza del Consiglio dei ministri
competente per la innovazione tecnologica e la digitalizzazione e il
Ministero dello sviluppo economico, per i profili di rispettiva
competenza, accedono alla piattaforma di cui al comma 1 ai fini dello
svolgimento delle attivita' di ispezione e verifica previste
dall'articolo 1, comma 6, lettera c), del decreto-legge, nonche' dei
compiti di cui all'articolo 1, comma 12, del decreto-legge.
3. In relazione alle reti, ai sistemi informativi e ai servizi
informatici connessi alla funzione di prevenzione e repressione dei
reati, alla tutela dell'ordine e della sicurezza pubblica, alla
difesa civile e alla difesa e sicurezza militare dello Stato di cui
all'articolo 1, comma 6, lettera c), del decreto-legge, la struttura
della Presidenza del Consiglio dei ministri competente per la
innovazione tecnologica e la digitalizzazione accede alla piattaforma
di cui al comma 1 limitatamente alle informazioni necessarie,
individuate ai sensi dell'articolo 8, comma 2, per lo svolgimento dei
compiti previsti dall'articolo 1, comma 12, del decreto-legge.
4. L'organo del Ministero dell'interno per la sicurezza e la
regolarita' dei servizi di telecomunicazione di cui all'articolo
7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con
modificazioni, dalla legge 31 luglio 2005, n. 155, accede per il
tramite della piattaforma digitale di cui al comma 1 agli elenchi di
cui all'articolo 1, comma 2, lettera b), del decreto-legge, e
fornisce alla stessa piattaforma gli elenchi di pertinenza del
Ministero.
Capo IV
Disposizioni sulla tutela delle informazioni, transitorie e finali
Art. 10
Tutela delle informazioni
1. Nelle more dell'adozione del decreto del Presidente del
Consiglio dei ministri di cui dell'articolo 1, comma 3, del
decreto-legge, e fatta salva l'eventuale attribuzione di classifiche
di segretezza ai sensi dell'articolo 42 della legge 3 agosto 2007, n.
124, l'elencazione dei soggetti di cui all'articolo 1, comma 2-bis,
del decreto-legge, e gli elenchi di cui all'articolo 1, comma 2,
lettera b), del decreto-legge, comprensivi della descrizione
dell'architettura e della componentistica, nonche' dell'analisi del
rischio, sono trattati, conservati e trasmessi con modalita' idonee a
garantirne la sicurezza, mediante misure tecniche e organizzative
adeguate.
Art. 11
Disposizioni transitorie
1. I soggetti inclusi nel perimetro osservano, in relazione alle
reti, ai sistemi informativi e ai servizi informatici di cui
all'articolo 1, comma 2, lettera b), del decreto-legge, gli obblighi,
in materia di notifica degli incidenti, di misure di sicurezza,
nonche' di affidamento delle forniture di cui all'articolo 1, commi 3
e 6, del decreto-legge, a decorrere dalle date indicate,
rispettivamente, dal decreto di cui all'articolo 1, comma 3, del
decreto-legge, e dal regolamento di cui all'articolo 1, comma 6, del
decreto-legge.
Art. 12
Clausola di invarianza finanziaria
1. All'attuazione delle disposizioni di cui al presente decreto si
provvede nei limiti delle risorse finanziarie, umane e strumentali
disponibili a legislazione vigente e comunque senza nuovi o maggiori
oneri a carico della finanza pubblica.
Il presente decreto, munito del sigillo dello Stato, sara' inserito
nella Raccolta ufficiale degli atti normativi della Repubblica
italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo
osservare.