DECRETO PRESIDENTE DEL CONSIGLIO DEI MINISTRI 4 giugno 2025, n. 111
G.U.R.I. 1 agosto 2025, n. 177
Regolamento recante modificazioni all'allegato A al decreto del Presidente del Consiglio dei ministri 14 aprile 2021, n. 81.
IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI
Vista la legge 23 agosto 1988, n. 400, recante «Disciplina dell'attività di Governo e ordinamento della Presidenza del Consiglio dei ministri»;
Visto il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, recante: «Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica» e, in particolare, l'articolo 1, commi 3 e 4-bis;
Visto il decreto legislativo 30 luglio 1999, n. 300, recante: «Riforma dell'organizzazione del Governo, a norma dell'articolo 11 della legge 15 marzo 1997, n. 59»;
Visto il decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, recante: «Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale»;
Visto il decreto del Presidente del Consiglio dei ministri 14 aprile 2021, n. 81, recante: «Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all'articolo 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza»;
Visto il decreto del Presidente del Consiglio dei ministri 23 ottobre 2022, con il quale al Sottosegretario di Stato alla Presidenza del Consiglio dei ministri, dottor Alfredo Mantovano, è stata delegata la firma dei decreti, degli atti e dei provvedimenti di competenza del Presidente del Consiglio dei ministri, a esclusione di quelli che richiedono una preventiva deliberazione del Consiglio dei ministri e di quelli relativi alle attribuzioni di cui all'articolo 5 della legge 23 agosto 1988, n. 400;
Visto il decreto del Presidente del Consiglio dei ministri 12 novembre 2022, recante delega di funzioni in materia di cybersicurezza, con il quale l'Autorità delegata per la sicurezza della Repubblica è delegata a svolgere le funzioni del Presidente del Consiglio dei ministri in materia di cybersicurezza, fatte salve quelle attribuite in via esclusiva al Presidente del Consiglio dei ministri;
Considerato che le attività di accesso alle reti, ai sistemi informativi e ai servizi informatici (beni ICT) non autorizzate o con abuso dei privilegi concessi, ivi compreso il caso in cui non siano pertinenti al corretto svolgimento delle mansioni di chi effettua l'accesso, costituiscono un utilizzo improprio dei medesimi beni ICT, in considerazione del pregiudizio derivante dalla perdita della riservatezza dei dati e delle informazioni trattate attraverso i predetti beni e, quindi, concretizzano un incidente ai sensi dell'articolo 1, comma 1, lettera h), del regolamento adottato con decreto del Presidente del Consiglio dei ministri n. 81 del 2021;
Considerato, pertanto, che occorre prevedere una specifica categoria di incidenti relativi ad un utilizzo improprio aventi impatto sui beni ICT e che gli stessi incidenti siano oggetto di notifica ai sensi dell'articolo 3 del regolamento adottato con decreto del Presidente del Consiglio dei ministri n. 81 del 2021;
Ritenuto, pertanto, di aggiornare la tabella 1 di cui all'Allegato A al decreto del Presidente del Consiglio dei ministri n. 81 del 2021, con la predetta specifica di natura meramente tecnica;
Udito il parere del Consiglio di Stato, espresso dalla Sezione consultiva per gli atti normativi, nell'adunanza dell'11 marzo 2025;
Acquisiti i pareri delle Commissioni parlamentari competenti per materia della Camera dei deputati e del Senato della Repubblica;
Sulla proposta del Comitato interministeriale per la cybersicurezza;
Adotta
il seguente regolamento:
Modificazioni all'Allegato A al decreto del Presidente del Consiglio dei ministri 14 aprile 2021, n. 81
1. All'Allegato A al decreto del Presidente del Consiglio dei ministri 14 aprile 2021, n. 81, la tabella 1 è sostituita dalla tabella allegata al presente regolamento.
2. All'attuazione delle disposizioni di cui al presente decreto si provvede nei limiti delle risorse finanziarie, umane e strumentali disponibili a legislazione vigente e, comunque, senza nuovi o maggiori oneri a carico della finanza pubblica.
Il presente decreto munito del sigillo dello Stato sarà inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.
Roma, 4 giugno 2025
p. Il Presidente del Consiglio dei ministri
Il Sottosegretario di Stato alla Presidenza del Consiglio dei ministri
MANTOVANO
Visto, il Guardasigilli: NORDIO
Registrato alla Corte dei conti il 24 luglio 2025
Ufficio di controllo sugli atti della Presidenza del Consiglio dei ministri, del Ministero della giustizia e del Ministero degli affari esteri e della cooperazione internazionale, n. 1968
ALLEGATO
«TABELLA 1
| Identificativo (incidente con impatto ICP) | Categoria | Descrizione |
| ICP-A-1 | Infezione (Initial exploitation) | Infezione (Initial exploitation). Il soggetto ha evidenza dell'effettiva esecuzione non autorizzata di codice o malware veicolato attraverso vettori di infezione o sfruttando vulnerabilità di risorse esposte in rete. |
| ICP-A-2 | Guasto (Fault) | Violazione del livello di servizio atteso, definito dal soggetto incluso nel perimetro ai sensi di quanto previsto nelle misure di sicurezza di cui all'allegato B, in termini di risorse di calcolo, memoria e/o banda passante. |
| ICP-A-3 | Violazione del livello di servizio atteso, definito dal soggetto incluso nel perimetro ai sensi di quanto previsto nelle misure di sicurezza di cui all'allegato B, di hot-replica e/o cold-replica e/o sito(i) di disaster recovery, se previsti. | |
| ICP-A-4 | Violazione del livello di servizio atteso, definito dal soggetto incluso nel perimetro ai sensi di quanto previsto nelle misure di sicurezza di cui all'allegato B, in termini di indisponibilità, di perdita irreversibile o di corruzione irreversibile dei dati provenienti dalle componenti di campo (attuatori e sensori). | |
| ICP-A-5 | Dati hot-replica e/o cold-replica e/o sito(i) di disaster recovery e/o backup, se previsti, persi o corrotti in modo irreversibile. | |
| ICP-A-6 | Perdita di confidenzialità o integrità. | |
| ICP-A-7 | Perdita e/o corruzione dati irreversibile. | |
| ICP-A-8 | Perdita e/o compromissione di chiavi di cifratura e/o certificati. | |
| ICP-A-9 | Perdita e/o compromissione di credenziali utenti. | |
| ICP-A-10 | Violazione del livello di servizio atteso, definito dal soggetto incluso nel perimetro ai sensi di quanto previsto dalle misure di sicurezza di cui all'allegato B, in termini di impossibilità di accesso fisico alle componenti. | |
| ICP-A-11 | Installazione (Establish Persistence) | Ottenimento di privilegi di livello superiore (Privilege Escalation). Il soggetto ha evidenza dell'impiego non autorizzato di tecniche, condotte dall'interno della rete, utili ad ottenere permessi di livello superiore. |
| ICP-A-12 | Persistenza (Persistence). Il soggetto ha evidenza dell'impiego non autorizzato di tecniche, condotte dall'interno della rete, utili ad ottenere persistenza di codice malevolo o d'accesso. | |
| ICP-A-13 | Evasione delle difese (Defence Evasion). Il soggetto ha evidenza dell'impiego non autorizzato di tecniche attraverso cui sono stati effettivamente elusi i sistemi di sicurezza. | |
| ICP-A-14 | Comando e Controllo (Command and Control). Il soggetto ha evidenza di comunicazioni non autorizzate verso l'esterno della rete. | |
| ICP-A-15 | Movimenti laterali (Lateral Movement) | Esplorazione (Discovery). Il soggetto ha evidenza dell'impiego non autorizzato di tecniche, condotte dall'interno della rete, utili a effettuare attività di ricognizione. |
| ICP-A-16 | Raccolta di credenziali (Credential Access). Il soggetto ha evidenza dell'impiego non autorizzato di tecniche utili ad acquisire, dall'interno della rete, credenziali valide per l'autenticazione alle risorse di rete o ne rinviene copie non autorizzate. | |
| ICP-A-17 | Movimenti laterali (Lateral Movement). Il soggetto ha evidenza dell'impiego non autorizzato di tecniche utili ad accedere o eseguire codice tra risorse interne della rete. | |
| ICP-A-18 | Azioni sugli obiettivi (Action on objs) | Raccolta (Collection). Il soggetto ha evidenza dell'impiego non autorizzato di tecniche utili a raccogliere, dall'interno della rete, dati di interesse di terze parti o ne rinviene copie non autorizzate. |
| ICP-A-19 | Esfiltrazione (Exfiltration). Il soggetto ha evidenza dell'impiego non autorizzato di tecniche utili ad esfiltrare dati dall'interno della rete verso risorse esterne. | |
| ICP-A-20 | Accesso non autorizzato o con abuso dei privilegi concessi. Il soggetto ha evidenza, anche sulla base di parametri quali-quantitativi, dell'accesso non autorizzato o con abuso dei privilegi concessi, dall'interno della rete, a dati digitali. |
».