|
|
DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI
8 agosto 2019
Disposizioni sull'organizzazione e il funzionamento del Computer security incident response team - CSIRT italiano.
(GU n.262 del 8-11-2019)
IL PRESIDENTE
DEL CONSIGLIO DEI MINISTRI
Vista la legge 23 agosto 1988, n. 400, recante disciplina dell'attivita' di Governo e ordinamento della Presidenza del Consiglio dei ministri;
Visto il decreto legislativo 18 maggio 2018, n. 65, concernente attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi dell'Unione e, in particolare, l'art. 8 riguardante gruppi di intervento per la sicurezza informatica in caso di incidente - CSIRT;
Vista la legge 15 maggio 1997, n. 127, recante misure urgenti per lo snellimento dell'attivita' amministrativa e dei procedimenti di decisione e di controllo, e, in particolare, l'art. 17, comma 14;
Visto il decreto legislativo 30 luglio 1999, n. 300, recante riforma dell'organizzazione del Governo, a norma dell'art. 11 della legge 15 marzo 1997, n. 59;
Visto il decreto legislativo 30 luglio 1999, n. 303, recante ordinamento della Presidenza del Consiglio dei ministri, a norma dell'art. 11 della legge 15 marzo 1997, n. 59 e, in particolare, l'art. 7;
Visto il decreto legislativo 1º agosto 2003, n. 259, recante il
codice delle comunicazioni elettroniche e, in particolare, l'art.
16-bis, comma 4;
Visto il decreto legislativo 7 marzo 2005, n. 82, recante codice
dell'amministrazione digitale e, in particolare, le disposizioni in
materia di funzioni dell'Agenzia per l'Italia digitale e di sicurezza
informatica;
Vista la legge 3 agosto 2007, n. 124, recante sistema di
informazione per la sicurezza della Repubblica e nuova disciplina del
segreto;
Visto il decreto del Presidente del Consiglio dei ministri 17
febbraio 2017, recante direttiva concernente indirizzi per la
protezione cibernetica e la sicurezza informatica nazionali,
pubblicato nella Gazzetta Ufficiale n. 87 del 13 aprile 2017;
Ravvisata l'opportunita' di costituire il CSIRT italiano presso il
Dipartimento delle informazioni per la sicurezza della Presidenza del
Consiglio dei ministri, di cui all'art. 4 della legge 3 agosto 2007,
n. 124, al fine di assicurare un piu' efficace coordinamento e un
piu' stretto raccordo con il punto di contatto unico di cui all'art.
7, comma 3, e l'organo di cui all'art. 12, comma 6, del decreto
legislativo 18 maggio 2018, n. 65;
Ritenuto pertanto, che l'organizzazione del CSIRT italiano debba
essere disciplinata, per tutto quanto non previsto dal presente
decreto, dal regolamento di cui all'art. 4, comma 7, della legge 3
agosto 2007, n. 124 e che per il personale di cui si deve avvalere il
CSIRT italiano ai sensi dell'art. 8, comma 2, del decreto legislativo
18 maggio 2018, n. 65, si applichi quanto previsto dall'art. 21,
della legge 3 agosto 2007, n. 124;
Ritenuto di adottare con unico decreto sia le disposizioni relative
alla costituzione del Computer security incident response team-CSIRT
italiano presso la Presidenza del Consiglio dei ministri, alla sua
organizzazione e al suo funzionamento, con effetto dalla data di
entrata in vigore delle relative disposizioni del decreto, sia le
disposizioni volte ad assicurare, in vista di tale entrata in vigore,
la necessaria regolazione transitoria e le misure operative intese a
consentire l'effettivo e ordinato trasferimento al medesimo CSIRT
italiano delle funzioni in atto svolte dal Ministero dello sviluppo
economico in qualita' di CERT nazionale e dall'Agenzia per l'Italia
digitale in qualita' di CERT-PA, in attuazione del commi 3 e 9 del
citato art. 8 del decreto legislativo n. 65 del 2018;
Ritenuto di dover valorizzare, anche sotto il profilo
dell'efficacia, dell'efficienza e dell'economicita' dell'azione
amministrativa, le soluzioni e i servizi messi a punto dall'Agenzia
per l'Italia digitale, nell'esercizio delle attribuzioni previste
dalla normativa vigente, per le attivita' di prevenzione degli
incidenti informatici;
Adotta
il presente decreto:
Art. 1
Oggetto
1. Il presente decreto, adottato ai sensi dell'art. 8, comma 2, del
decreto legislativo 18 maggio 2018, n. 65, definisce la costituzione,
l'organizzazione e il funzionamento del Computer security incident
response team-CSIRT italiano.
Art. 2
Definizioni
1. Ai fini del presente decreto, si intende per:
a) AgID, l'Agenzia per l'Italia digitale, istituita ai sensi
dell'art. 19 del decreto-legge 22 giugno 2012, n. 83, convertito, con
modificazioni, dalla legge 7 agosto 2012, n. 134;
b) CERT-Nazionale, computer emergency response team istituito
nell'ambito del Ministero dello sviluppo economico ai sensi dell'art.
16-bis, del decreto legislativo 1° agosto 2003, n. 259;
c) CERT-PA, computer emergency response team pubblica
amministrazione, istituito nell'ambito dell'AgID, ai sensi dell'art.
51 del decreto legislativo 7 marzo 2005, n. 82;
d) DIS, il Dipartimento delle informazioni per la sicurezza della
Presidenza del Consiglio dei ministri, di cui all'art. 4, della legge
3 agosto 2007, n. 124;
e) decreto legislativo NIS, il decreto legislativo 18 maggio
2018, n. 65;
f) incidente, ogni evento con un effetto pregiudizievole per la
sicurezza della rete e dei sistemi informativi;
g) notifica, la comunicazione di incidente inviata in
ottemperanza a obblighi previsti dalla normativa vigente, ovvero a
titolo volontario.
Art. 3
CSIRT italiano
1. Il CSIRT italiano e' costituito presso il DIS.
2. L'articolazione interna e l'organizzazione del CSIRT italiano
sono definiti, per tutto quanto non previsto dal presente decreto, ai
sensi della legge 3 agosto 2007, n. 124, e del regolamento di cui
all'art. 4, comma 7, della medesima legge.
Art. 4
Compiti del CSIRT italiano
1. Il CSIRT italiano, ai sensi dell'art. 8 del decreto legislativo
NIS, svolge:
a) i compiti indicati al punto 2 dell'allegato I, relativamente
ai settori di cui all'allegato II e ai servizi di cui all'allegato
III, al predetto decreto legislativo NIS;
b) le funzioni del Ministero dello sviluppo economico, in
qualita' di CERT nazionale, e dell'AgID, in qualita' di CERT-PA, di
cui, rispettivamente, all'art. 16-bis del decreto legislativo 1º
agosto 2003, n. 259, e all'art. 51 del decreto legislativo 7 marzo
2005, n. 82, trasferite con le modalita' di cui al presente decreto.
2. Il CSIRT italiano svolge altresi' ogni altro compito o funzione
attribuiti dalla normativa vigente.
3. Il CSIRT italiano riceve le notifiche relative agli incidenti di
cui all'art. 12, comma 5, e art. 14, comma 4, del decreto legislativo
NIS, nonche' quelle trasmesse in ottemperanza a obblighi altrimenti
previsti, ovvero a titolo volontario, tramite appositi canali di
comunicazione, aventi i requisiti di cui al punto 1, lettera a),
dell'allegato I, e mediante modalita' tecniche e procedurali,
definiti ai sensi dell'art. 8, comma 5, del predetto decreto
legislativo.
Art. 5
Personale del CSIRT italiano
1. Per lo svolgimento delle funzioni del CSIRT italiano, il DIS si
avvale di un contingente di personale, nei limiti quantitativi
previsti dall'art. 8, comma 2, del decreto legislativo NIS.
L'ordinamento e il reclutamento di tale personale sono disciplinati
dall'art. 21 della legge 3 agosto 2007, n. 124, e dal regolamento ivi
previsto al comma 1.
Art. 6
Trattamento dei dati
1. Il CSIRT italiano tratta i dati personali nel rispetto delle
disposizioni applicabili ai sensi dell'art. 58 del codice in materia
di protezione dei dati personali di cui al decreto legislativo 30
giugno 2003, n. 196.
Art. 7
Funzionalita' del CSIRT italiano
1. Il DIS adotta le iniziative necessarie al fine di promuovere la
conformita' del CSIRT italiano ai requisiti di cui all'allegato I,
punto 1, del decreto legislativo NIS.
Art. 8
Accordi per il trasferimento delle funzioni al CSIRT italiano e per
il loro svolgimento
1. Entro il centoventesimo giorno successivo alla data di entrata
in vigore del presente articolo, il DIS, il Ministero dello sviluppo
economico e l'AgID sottoscrivono appositi accordi per assicurare, a
far data dal termine indicato all'art. 9, comma 1, il trasferimento
delle funzioni del CERT nazionale e del CERT-PA al CSIRT italiano, ai
sensi dell'art. 8, commi 3 e 9, del decreto legislativo NIS.
2. Per lo svolgimento dei propri compiti, il CSIRT italiano si
avvale dell'AgID ai sensi dell'art. 8, comma 8, del decreto
legislativo NIS, secondo modalita' individuate con apposito accordo.
Con l'accordo di cui al primo periodo si provvede altresi' a
disciplinare l'utilizzo dei servizi messi a punto dall'AgID, nonche'
la loro evoluzione e gestione, anche con riguardo alle necessarie
risorse umane e materiali da impiegare per tali attivita'.
3. L'accordo di cui al comma 2 e' definito dal DIS e dall'AgID
entro il centoventesimo giorno successivo alla data di entrata in
vigore del presente articolo.
Art. 9
Entrata in vigore delle disposizioni e regolazione transitoria
1. Le disposizioni del presente decreto entrano in vigore il centottantesimo giorno successivo alla data di pubblicazione nella Gazzetta Ufficiale, fatto salvo quanto previsto dal comma 2.
2. Le disposizioni di cui agli articoli 3 e 8 entrano in vigore il quindicesimo giorno successivo alla data di pubblicazione nella Gazzetta Ufficiale, al fine di consentire l'effettivo e ordinato trasferimento al CSIRT italiano delle funzioni in atto svolte dal Ministero dello sviluppo economico in qualita' di CERT nazionale e dall'AgID in qualita' di CERT-PA e di consentire l'avvalimento dell'AgID da parte del CSIRT italiano.
Il presente decreto e' trasmesso agli organi di controllo e sara' pubblicato nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 8 agosto 2019
Il Presidente: Conte
Registrato alla Corte dei conti il 7 ottobre 2019
Ufficio controllo atti P.C.M. Ministeri della giustizia e degli affari esteri e della cooperazione internazionale, reg.ne succ. n.1948
|
Home
