DECRETO PRESIDENTE DEL CONSIGLIO DEI MINISTRI 8 agosto 2019
G.U.R.I. 8 novembre 2019, n. 262
Disposizioni sull'organizzazione e il funzionamento del Computer security incident response team - CSIRT italiano.
IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI
Vista la legge 23 agosto 1988, n. 400, recante disciplina dell'attività di Governo e ordinamento della Presidenza del Consiglio dei ministri;
Visto il decreto legislativo 18 maggio 2018, n. 65, concernente attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi dell'Unione e, in particolare, l'art. 8 riguardante gruppi di intervento per la sicurezza informatica in caso di incidente - CSIRT;
Vista la legge 15 maggio 1997, n. 127, recante misure urgenti per lo snellimento dell'attività amministrativa e dei procedimenti di decisione e di controllo, e, in particolare, l'art. 17, comma 14;
Visto il decreto legislativo 30 luglio 1999, n. 300, recante riforma dell'organizzazione del Governo, a norma dell'art. 11 della legge 15 marzo 1997, n. 59;
Visto il decreto legislativo 30 luglio 1999, n. 303, recante ordinamento della Presidenza del Consiglio dei ministri, a norma dell'art. 11 della legge 15 marzo 1997, n. 59 e, in particolare, l'art. 7;
Visto il decreto legislativo 1° agosto 2003, n. 259, recante il codice delle comunicazioni elettroniche e, in particolare, l'art. 16-bis, comma 4;
Visto il decreto legislativo 7 marzo 2005, n. 82, recante codice dell'amministrazione digitale e, in particolare, le disposizioni in materia di funzioni dell'Agenzia per l'Italia digitale e di sicurezza informatica;
Vista la legge 3 agosto 2007, n. 124, recante sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto;
Visto il decreto del Presidente del Consiglio dei ministri 17 febbraio 2017, recante direttiva concernente indirizzi per la protezione cibernetica e la sicurezza informatica nazionali, pubblicato nella Gazzetta Ufficiale n. 87 del 13 aprile 2017;
Ravvisata l'opportunità di costituire il CSIRT italiano presso il Dipartimento delle informazioni per la sicurezza della Presidenza del Consiglio dei ministri, di cui all'art. 4 della legge 3 agosto 2007, n. 124, al fine di assicurare un più efficace coordinamento e un più stretto raccordo con il punto di contatto unico di cui all'art. 7, comma 3, e l'organo di cui all'art. 12, comma 6, del decreto legislativo 18 maggio 2018, n. 65;
Ritenuto pertanto, che l'organizzazione del CSIRT italiano debba essere disciplinata, per tutto quanto non previsto dal presente decreto, dal regolamento di cui all'art. 4, comma 7, della legge 3 agosto 2007, n. 124 e che per il personale di cui si deve avvalere il CSIRT italiano ai sensi dell'art. 8, comma 2, del decreto legislativo 18 maggio 2018, n. 65, si applichi quanto previsto dall'art. 21, della legge 3 agosto 2007, n. 124;
Ritenuto di adottare con unico decreto sia le disposizioni relative alla costituzione del Computer security incident response team-CSIRT italiano presso la Presidenza del Consiglio dei ministri, alla sua organizzazione e al suo funzionamento, con effetto dalla data di entrata in vigore delle relative disposizioni del decreto, sia le disposizioni volte ad assicurare, in vista di tale entrata in vigore, la necessaria regolazione transitoria e le misure operative intese a consentire l'effettivo e ordinato trasferimento al medesimo CSIRT italiano delle funzioni in atto svolte dal Ministero dello sviluppo economico in qualità di CERT nazionale e dall'Agenzia per l'Italia digitale in qualità di CERT-PA, in attuazione del commi 3 e 9 del citato art. 8 del decreto legislativo n. 65 del 2018;
Ritenuto di dover valorizzare, anche sotto il profilo dell'efficacia, dell'efficienza e dell'economicità dell'azione amministrativa, le soluzioni e i servizi messi a punto dall'Agenzia per l'Italia digitale, nell'esercizio delle attribuzioni previste dalla normativa vigente, per le attività di prevenzione degli incidenti informatici;
ADOTTA
il presente decreto:
Oggetto
1. Il presente decreto, adottato ai sensi dell'art. 8, comma 2, del decreto legislativo 18 maggio 2018, n. 65, definisce la costituzione, l'organizzazione e il funzionamento del Computer security incident response team-CSIRT italiano.
Definizioni
1. Ai fini del presente decreto, si intende per:
a) AgID, l'Agenzia per l'Italia digitale, istituita ai sensi dell'art. 19 del decreto-legge 22 giugno 2012, n. 83, convertito, con modificazioni, dalla legge 7 agosto 2012, n. 134;
b) CERT-Nazionale, computer emergency response team istituito nell'ambito del Ministero dello sviluppo economico ai sensi dell'art. 16-bis, del decreto legislativo 1° agosto 2003, n. 259;
c) CERT-PA, computer emergency response team pubblica amministrazione, istituito nell'ambito dell'AgID, ai sensi dell'art. 51 del decreto legislativo 7 marzo 2005, n. 82;
d) DIS, il Dipartimento delle informazioni per la sicurezza della Presidenza del Consiglio dei ministri, di cui all'art. 4, della legge 3 agosto 2007, n. 124;
e) decreto legislativo NIS, il decreto legislativo 18 maggio 2018, n. 65;
f) incidente, ogni evento con un effetto pregiudizievole per la sicurezza della rete e dei sistemi informativi;
g) notifica, la comunicazione di incidente inviata in ottemperanza a obblighi previsti dalla normativa vigente, ovvero a titolo volontario.
CSIRT italiano
1. Il CSIRT italiano è costituito presso il DIS.
2. L'articolazione interna e l'organizzazione del CSIRT italiano sono definiti, per tutto quanto non previsto dal presente decreto, ai sensi della legge 3 agosto 2007, n. 124, e del regolamento di cui all'art. 4, comma 7, della medesima legge.
Compiti del CSIRT italiano
1. Il CSIRT italiano, ai sensi dell'art. 8 del decreto legislativo NIS, svolge:
a) i compiti indicati al punto 2 dell'allegato I, relativamente ai settori di cui all'allegato II e ai servizi di cui all'allegato III, al predetto decreto legislativo NIS;
b) le funzioni del Ministero dello sviluppo economico, in qualità di CERT nazionale, e dell'AgID, in qualità di CERT-PA, di cui, rispettivamente, all'art. 16-bis del decreto legislativo 1° agosto 2003, n. 259, e all'art. 51 del decreto legislativo 7 marzo 2005, n. 82, trasferite con le modalità di cui al presente decreto.
2. Il CSIRT italiano svolge altresì ogni altro compito o funzione attribuiti dalla normativa vigente.
3. Il CSIRT italiano riceve le notifiche relative agli incidenti di cui all'art. 12, comma 5, e art. 14, comma 4, del decreto legislativo NIS, nonchè quelle trasmesse in ottemperanza a obblighi altrimenti previsti, ovvero a titolo volontario, tramite appositi canali di comunicazione, aventi i requisiti di cui al punto 1, lettera a), dell'allegato I, e mediante modalità tecniche e procedurali, definiti ai sensi dell'art. 8, comma 5, del predetto decreto legislativo.
Personale del CSIRT italiano
1. Per lo svolgimento delle funzioni del CSIRT italiano, il DIS si avvale di un contingente di personale, nei limiti quantitativi previsti dall'art. 8, comma 2, del decreto legislativo NIS. L'ordinamento e il reclutamento di tale personale sono disciplinati dall'art. 21 della legge 3 agosto 2007, n. 124, e dal regolamento ivi previsto al comma 1.
Trattamento dei dati
1. Il CSIRT italiano tratta i dati personali nel rispetto delle disposizioni applicabili ai sensi dell'art. 58 del codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196.
Funzionalità del CSIRT italiano
1. Il DIS adotta le iniziative necessarie al fine di promuovere la conformità del CSIRT italiano ai requisiti di cui all'allegato I, punto 1, del decreto legislativo NIS.
Accordi per il trasferimento delle funzioni al CSIRT italiano e per il loro svolgimento
1. Entro il centoventesimo giorno successivo alla data di entrata in vigore del presente articolo, il DIS, il Ministero dello sviluppo economico e l'AgID sottoscrivono appositi accordi per assicurare, a far data dal termine indicato all'art. 9, comma 1, il trasferimento delle funzioni del CERT nazionale e del CERT-PA al CSIRT italiano, ai sensi dell'art. 8, commi 3 e 9, del decreto legislativo NIS.
2. Per lo svolgimento dei propri compiti, il CSIRT italiano si avvale dell'AgID ai sensi dell'art. 8, comma 8, del decreto legislativo NIS, secondo modalità individuate con apposito accordo. Con l'accordo di cui al primo periodo si provvede altresì a disciplinare l'utilizzo dei servizi messi a punto dall'AgID, nonchè la loro evoluzione e gestione, anche con riguardo alle necessarie risorse umane e materiali da impiegare per tali attività.
3. L'accordo di cui al comma 2 è definito dal DIS e dall'AgID entro il centoventesimo giorno successivo alla data di entrata in vigore del presente articolo.
Entrata in vigore delle disposizioni e regolazione transitoria
1. Le disposizioni del presente decreto entrano in vigore il centottantesimo giorno successivo alla data di pubblicazione nella Gazzetta Ufficiale, fatto salvo quanto previsto dal comma 2.
2. Le disposizioni di cui agli articoli 3 e 8 entrano in vigore il quindicesimo giorno successivo alla data di pubblicazione nella Gazzetta Ufficiale, al fine di consentire l'effettivo e ordinato trasferimento al CSIRT italiano delle funzioni in atto svolte dal Ministero dello sviluppo economico in qualità di CERT nazionale e dall'AgID in qualità di CERT-PA e di consentire l'avvalimento dell'AgID da parte del CSIRT italiano.
Il presente decreto è trasmesso agli organi di controllo e sarà pubblicato nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 8 agosto 2019
Il Presidente: CONTE
Registrato alla Corte dei conti il 7 ottobre 2019
Ufficio controllo atti P.C.M. Ministeri della giustizia e degli affari esteri e della cooperazione internazionale, reg.ne succ. n. 1948