Gazzetta n. 262 del 8 novembre 2019 (vai al sommario)
PRESIDENZA DEL CONSIGLIO DEI MINISTRI
DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 8 agosto 2019
Disposizioni sull'organizzazione e il funzionamento del Computer security incident response team - CSIRT italiano.


IL PRESIDENTE
DEL CONSIGLIO DEI MINISTRI

Vista la legge 23 agosto 1988, n. 400, recante disciplina dell'attivita' di Governo e ordinamento della Presidenza del Consiglio dei ministri;
Visto il decreto legislativo 18 maggio 2018, n. 65, concernente attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi dell'Unione e, in particolare, l'art. 8 riguardante gruppi di intervento per la sicurezza informatica in caso di incidente - CSIRT;
Vista la legge 15 maggio 1997, n. 127, recante misure urgenti per lo snellimento dell'attivita' amministrativa e dei procedimenti di decisione e di controllo, e, in particolare, l'art. 17, comma 14;
Visto il decreto legislativo 30 luglio 1999, n. 300, recante riforma dell'organizzazione del Governo, a norma dell'art. 11 della legge 15 marzo 1997, n. 59;
Visto il decreto legislativo 30 luglio 1999, n. 303, recante ordinamento della Presidenza del Consiglio dei ministri, a norma dell'art. 11 della legge 15 marzo 1997, n. 59 e, in particolare, l'art. 7;
Visto il decreto legislativo 1º agosto 2003, n. 259, recante il codice delle comunicazioni elettroniche e, in particolare, l'art. 16-bis, comma 4;
Visto il decreto legislativo 7 marzo 2005, n. 82, recante codice dell'amministrazione digitale e, in particolare, le disposizioni in materia di funzioni dell'Agenzia per l'Italia digitale e di sicurezza informatica;
Vista la legge 3 agosto 2007, n. 124, recante sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto;
Visto il decreto del Presidente del Consiglio dei ministri 17 febbraio 2017, recante direttiva concernente indirizzi per la protezione cibernetica e la sicurezza informatica nazionali, pubblicato nella Gazzetta Ufficiale n. 87 del 13 aprile 2017;
Ravvisata l'opportunita' di costituire il CSIRT italiano presso il Dipartimento delle informazioni per la sicurezza della Presidenza del Consiglio dei ministri, di cui all'art. 4 della legge 3 agosto 2007, n. 124, al fine di assicurare un piu' efficace coordinamento e un piu' stretto raccordo con il punto di contatto unico di cui all'art. 7, comma 3, e l'organo di cui all'art. 12, comma 6, del decreto legislativo 18 maggio 2018, n. 65;
Ritenuto pertanto, che l'organizzazione del CSIRT italiano debba essere disciplinata, per tutto quanto non previsto dal presente decreto, dal regolamento di cui all'art. 4, comma 7, della legge 3 agosto 2007, n. 124 e che per il personale di cui si deve avvalere il CSIRT italiano ai sensi dell'art. 8, comma 2, del decreto legislativo 18 maggio 2018, n. 65, si applichi quanto previsto dall'art. 21, della legge 3 agosto 2007, n. 124;
Ritenuto di adottare con unico decreto sia le disposizioni relative alla costituzione del Computer security incident response team-CSIRT italiano presso la Presidenza del Consiglio dei ministri, alla sua organizzazione e al suo funzionamento, con effetto dalla data di entrata in vigore delle relative disposizioni del decreto, sia le disposizioni volte ad assicurare, in vista di tale entrata in vigore, la necessaria regolazione transitoria e le misure operative intese a consentire l'effettivo e ordinato trasferimento al medesimo CSIRT italiano delle funzioni in atto svolte dal Ministero dello sviluppo economico in qualita' di CERT nazionale e dall'Agenzia per l'Italia digitale in qualita' di CERT-PA, in attuazione del commi 3 e 9 del citato art. 8 del decreto legislativo n. 65 del 2018;
Ritenuto di dover valorizzare, anche sotto il profilo dell'efficacia, dell'efficienza e dell'economicita' dell'azione amministrativa, le soluzioni e i servizi messi a punto dall'Agenzia per l'Italia digitale, nell'esercizio delle attribuzioni previste dalla normativa vigente, per le attivita' di prevenzione degli incidenti informatici;

Adotta
il presente decreto:

Art. 1

Oggetto

1. Il presente decreto, adottato ai sensi dell'art. 8, comma 2, del decreto legislativo 18 maggio 2018, n. 65, definisce la costituzione, l'organizzazione e il funzionamento del Computer security incident response team-CSIRT italiano.
 
Art. 2

Definizioni

1. Ai fini del presente decreto, si intende per:
a) AgID, l'Agenzia per l'Italia digitale, istituita ai sensi dell'art. 19 del decreto-legge 22 giugno 2012, n. 83, convertito, con modificazioni, dalla legge 7 agosto 2012, n. 134;
b) CERT-Nazionale, computer emergency response team istituito nell'ambito del Ministero dello sviluppo economico ai sensi dell'art. 16-bis, del decreto legislativo 1° agosto 2003, n. 259;
c) CERT-PA, computer emergency response team pubblica amministrazione, istituito nell'ambito dell'AgID, ai sensi dell'art. 51 del decreto legislativo 7 marzo 2005, n. 82;
d) DIS, il Dipartimento delle informazioni per la sicurezza della Presidenza del Consiglio dei ministri, di cui all'art. 4, della legge 3 agosto 2007, n. 124;
e) decreto legislativo NIS, il decreto legislativo 18 maggio 2018, n. 65;
f) incidente, ogni evento con un effetto pregiudizievole per la sicurezza della rete e dei sistemi informativi;
g) notifica, la comunicazione di incidente inviata in ottemperanza a obblighi previsti dalla normativa vigente, ovvero a titolo volontario.
 
Art. 3

CSIRT italiano

1. Il CSIRT italiano e' costituito presso il DIS.
2. L'articolazione interna e l'organizzazione del CSIRT italiano sono definiti, per tutto quanto non previsto dal presente decreto, ai sensi della legge 3 agosto 2007, n. 124, e del regolamento di cui all'art. 4, comma 7, della medesima legge.
 
Art. 4

Compiti del CSIRT italiano

1. Il CSIRT italiano, ai sensi dell'art. 8 del decreto legislativo NIS, svolge:
a) i compiti indicati al punto 2 dell'allegato I, relativamente ai settori di cui all'allegato II e ai servizi di cui all'allegato III, al predetto decreto legislativo NIS;
b) le funzioni del Ministero dello sviluppo economico, in qualita' di CERT nazionale, e dell'AgID, in qualita' di CERT-PA, di cui, rispettivamente, all'art. 16-bis del decreto legislativo 1º agosto 2003, n. 259, e all'art. 51 del decreto legislativo 7 marzo 2005, n. 82, trasferite con le modalita' di cui al presente decreto.
2. Il CSIRT italiano svolge altresi' ogni altro compito o funzione attribuiti dalla normativa vigente.
3. Il CSIRT italiano riceve le notifiche relative agli incidenti di cui all'art. 12, comma 5, e art. 14, comma 4, del decreto legislativo NIS, nonche' quelle trasmesse in ottemperanza a obblighi altrimenti previsti, ovvero a titolo volontario, tramite appositi canali di comunicazione, aventi i requisiti di cui al punto 1, lettera a), dell'allegato I, e mediante modalita' tecniche e procedurali, definiti ai sensi dell'art. 8, comma 5, del predetto decreto legislativo.
 
Art. 5

Personale del CSIRT italiano

1. Per lo svolgimento delle funzioni del CSIRT italiano, il DIS si avvale di un contingente di personale, nei limiti quantitativi previsti dall'art. 8, comma 2, del decreto legislativo NIS. L'ordinamento e il reclutamento di tale personale sono disciplinati dall'art. 21 della legge 3 agosto 2007, n. 124, e dal regolamento ivi previsto al comma 1.
 
Art. 6

Trattamento dei dati

1. Il CSIRT italiano tratta i dati personali nel rispetto delle disposizioni applicabili ai sensi dell'art. 58 del codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196.
 
Art. 7

Funzionalita' del CSIRT italiano

1. Il DIS adotta le iniziative necessarie al fine di promuovere la conformita' del CSIRT italiano ai requisiti di cui all'allegato I, punto 1, del decreto legislativo NIS.
 
Art. 8
Accordi per il trasferimento delle funzioni al CSIRT italiano e per
il loro svolgimento

1. Entro il centoventesimo giorno successivo alla data di entrata in vigore del presente articolo, il DIS, il Ministero dello sviluppo economico e l'AgID sottoscrivono appositi accordi per assicurare, a far data dal termine indicato all'art. 9, comma 1, il trasferimento delle funzioni del CERT nazionale e del CERT-PA al CSIRT italiano, ai sensi dell'art. 8, commi 3 e 9, del decreto legislativo NIS.
2. Per lo svolgimento dei propri compiti, il CSIRT italiano si avvale dell'AgID ai sensi dell'art. 8, comma 8, del decreto legislativo NIS, secondo modalita' individuate con apposito accordo. Con l'accordo di cui al primo periodo si provvede altresi' a disciplinare l'utilizzo dei servizi messi a punto dall'AgID, nonche' la loro evoluzione e gestione, anche con riguardo alle necessarie risorse umane e materiali da impiegare per tali attivita'.
3. L'accordo di cui al comma 2 e' definito dal DIS e dall'AgID entro il centoventesimo giorno successivo alla data di entrata in vigore del presente articolo.
 
Art. 9

Entrata in vigore delle disposizioni e regolazione transitoria

1. Le disposizioni del presente decreto entrano in vigore il centottantesimo giorno successivo alla data di pubblicazione nella Gazzetta Ufficiale, fatto salvo quanto previsto dal comma 2.
2. Le disposizioni di cui agli articoli 3 e 8 entrano in vigore il quindicesimo giorno successivo alla data di pubblicazione nella Gazzetta Ufficiale, al fine di consentire l'effettivo e ordinato trasferimento al CSIRT italiano delle funzioni in atto svolte dal Ministero dello sviluppo economico in qualita' di CERT nazionale e dall'AgID in qualita' di CERT-PA e di consentire l'avvalimento dell'AgID da parte del CSIRT italiano.
Il presente decreto e' trasmesso agli organi di controllo e sara' pubblicato nella Gazzetta Ufficiale della Repubblica italiana.

Roma, 8 agosto 2019

Il Presidente: Conte

Registrato alla Corte dei conti il 7 ottobre 2019 Ufficio controllo atti P.C.M. Ministeri della giustizia e degli affari esteri e della cooperazione internazionale, reg.ne succ. n. 1948