Gazzetta n. 198 del 19 agosto 2021 - PRESIDENZA DEL CONSIGLIO DEI MINISTRI

Gazzetta n. 198 del 19 agosto 2021 (vai al sommario)

PRESIDENZA DEL CONSIGLIO DEI MINISTRI

DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 15 giugno 2021

Individuazione delle categorie di beni, sistemi e servizi ICT destinati ad essere impiegati nel perimetro di sicurezza nazionale cibernetica, in attuazione dell'articolo 1, comma 6, lettera a), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133.

IL PRESIDENTE
DEL CONSIGLIO DEI MINISTRI

Vista la legge 23 agosto 1988, n. 400, recante disciplina dell'attivita' di Governo e ordinamento della Presidenza del Consiglio dei ministri;
Visto il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica e, in particolare, l'art. 1, comma 6;
Visto il decreto legislativo 30 luglio 1999, n. 300, recante riforma dell'organizzazione del Governo, a norma dell'art. 11 della legge 15 marzo 1997, n. 59;
Visto il decreto legislativo 1° agosto 2003, n. 259, recante codice delle comunicazioni elettroniche;
Visto il decreto legislativo 7 marzo 2005, n. 82, recante codice dell'amministrazione digitale e, in particolare, l'art. 29;
Visto il decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, recante misure urgenti per il contrasto del terrorismo e, in particolare, l'art. 7-bis;
Vista la legge 3 agosto 2007, n. 124, concernente sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto;
Visto il decreto legislativo 11 aprile 2011, n. 61, di attuazione della direttiva 2008/114/CE della Commissione, dell'8 dicembre 2008, recante l'individuazione e la designazione delle infrastrutture critiche europee e la valutazione della necessita' di migliorarne la protezione;
Visto il decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, recante norme in materia di poteri speciali sugli assetti societari nei settori della difesa e della sicurezza nazionale, nonche' per le attivita' di rilevanza strategica nei settori dell'energia, dei trasporti e delle comunicazioni;
Visto il decreto legislativo 18 maggio 2018, n. 65, di attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione;
Visto il decreto del Presidente del Consiglio dei ministri 17 febbraio 2017, recante direttiva concernente indirizzi per la protezione cibernetica e la sicurezza informatica nazionali, pubblicato nella Gazzetta Ufficiale della Repubblica italiana n. 87 del 13 aprile 2017;
Visto il regolamento adottato con decreto del Presidente del Consiglio dei ministri il 30 luglio 2020, n. 131, ai sensi dell'art. 1, comma 2, del decreto-legge n. 105 del 2019, in materia di perimetro di sicurezza nazionale cibernetica;
Visto il regolamento adottato con decreto del Presidente della Repubblica 5 febbraio 2021, n. 54, ai sensi dell'art. 1, comma 6, del decreto-legge n. 105 del 2019;
Ritenuto di dover individuare le categorie di beni, sistemi e servizi ICT per cui si applica la procedura di cui all'art. 1, comma 6, lettera a), del decreto-legge n. 105 del 2019;
Sentito il Comitato interministeriale per la sicurezza della Repubblica;

Adotta
il presente decreto:

Art. 1

Definizioni

1. Ai fini del presente decreto si intende per:
a) decreto-legge, il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133;
b) perimetro, il perimetro di sicurezza nazionale cibernetica istituito ai sensi dell'art. 1, comma 1, del decreto-legge;
c) regolamento, il regolamento adottato con decreto del Presidente della Repubblica 5 febbraio 2021, n. 54, ai sensi dell'art. 1, comma 6, del decreto-legge;
d) soggetti inclusi nel perimetro, i soggetti di cui all'art. 1, comma 2-bis, del decreto-legge;
e) rete, sistema informativo,
1) una rete di comunicazione elettronica ai sensi dell'art. 1, comma 1, lettera dd), del decreto legislativo 1° agosto 2003, n. 259;
2) qualsiasi dispositivo o gruppo di dispositivi interconnessi o collegati, uno o piu' dei quali eseguono, in base ad un programma, un trattamento automatico di dati digitali, ivi inclusi i sistemi di controllo industriale;
3) i dati digitali conservati, trattati, estratti o trasmessi, per mezzo di reti o dispositivi di cui ai numeri 1) e 2), per il loro funzionamento, uso, protezione e manutenzione, compresi i programmi di cui al numero 2);
f) servizio informatico, un servizio consistente interamente o prevalentemente nel trattamento di informazioni, per mezzo della rete e dei sistemi informativi, ivi incluso quello di cloud computing di cui all'art. 3, comma 1, lettera aa), del decreto legislativo 18 maggio 2018, n. 65;
g) CVCN, il Centro di valutazione e certificazione nazionale, di cui all'art. 1, comma 6, lettera a), del decreto-legge;
h) categorie, tipologie di beni, sistemi o servizi ICT destinati ad essere impiegati sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici di cui all'art. 1, comma 2, lettera b), del decreto-legge, individuate, sulla base di criteri di natura tecnica, la cui acquisizione e' subordinata alla valutazione del CVCN;
i) CV, i centri di valutazione del Ministero dell'interno e del Ministero della difesa di cui all'art. 1, comma 6, lettera a), del decreto-legge;
l) centrali di committenza, Consip S.p.a. e i soggetti aggregatori ai fini della realizzazione degli strumenti di cui all'art. 1, comma 512, della legge 28 dicembre 2015, n. 208, nonche' la societa' di cui all'art. 83, comma 15, del decreto-legge 25 giugno 2008, n. 112, convertito, con modificazioni, dalla legge 6 agosto 2008, n. 133, nell'ambito individuato dall'art. 31, comma 5, del decreto-legge 16 luglio 2020, n. 76, convertito, con modificazioni, dalla legge 11 settembre 2020, n. 120.

Art. 2

Oggetto

1. Il presente decreto individua le categorie in relazione alle quali i soggetti inclusi nel perimetro che intendano procedere, anche per il tramite delle centrali di committenza alle quali sono tenuti a fare ricorso, all'affidamento di forniture di beni, sistemi e servizi ICT (information and communication technology), destinati ad essere impiegati sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici di cui all'art. 1, comma 2, lettera b), del decreto-legge, effettuano la comunicazione al CVCN o ai CV a norma dell'art. 1, comma 6, lettera a), del decreto-legge.

Art. 3

Elenco delle categorie

1. Le categorie sono individuate sulla base dei criteri tecnici di cui all'art. 13, comma 1, del regolamento, e sono contenute nell'elenco di cui all'allegato 1 del presente decreto.

Art. 4

Aggiornamento delle categorie

1. Le categorie individuate dal presente decreto sono aggiornate, con decreto del Presidente del Consiglio dei ministri, con cadenza almeno annuale, avuto riguardo all'innovazione tecnologica, nonche' alla modifica dei criteri tecnici di cui all'art. 13, comma 1, del regolamento.

Art. 5

Entrata in vigore

1. Il presente decreto e' pubblicato nella Gazzetta Ufficiale della Repubblica italiana ed entra in vigore il giorno successivo a quello dell'entrata in vigore del regolamento.
Roma, 15 giugno 2021

Il Presidente
del Consiglio dei ministri
Draghi

Registrato alla Corte dei conti il 4 agosto 2021 Ufficio di controllo sugli atti della Presidenza del Consiglio dei ministri, del Ministero della giustizia e del Ministero degli affari esteri e della cooperazione internazionale, n. 2070