Capo I
Art. 1
1 / 23Definizioni
In vigore dal 30 lug 2022
IL PRESIDENTE
DEL CONSIGLIO DEI MINISTRI
Vista la legge 23 agosto 1988, n. 400, recante disciplina dell'attività di Governo e ordinamento della Presidenza del Consiglio dei ministri;
Visto il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica e, in particolare, l', comma 7, lettera b);
Vista la legge 1° aprile 1981, n. 121, recante nuovo ordinamento dell'Amministrazione della Pubblica sicurezza e, in particolare, l';
Visto il decreto legislativo 8 giugno 2001, n. 231, recante disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell' della legge 29 settembre 2000, n. 300;
Visto il decreto legislativo 30 dicembre 2003, n. 366, recante modifiche ed integrazioni al decreto legislativo 30 luglio 1999, n. 300, concernenti le funzioni e la struttura organizzativa del Ministero delle comunicazioni, a norma dell' della legge 6 luglio 2002, n. 137, e, in particolare, l';
Vista la legge 31 dicembre 2009, n. 196, recante legge di contabilità e finanza pubblica e, in particolare, l', comma 3;
Visto il decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, recante disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale;
Visto il decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131, recante regolamento in materia di perimetro di sicurezza nazionale cibernetica, ai sensi dell', comma 2, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133;
Visto il decreto del Presidente della Repubblica 5 febbraio 2021, n. 54, recante attuazione dell', comma 6, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133;
Visto il decreto del Presidente del Consiglio dei ministri 14 aprile 2021, n. 81, recante regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all', comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza;
Visto il decreto del Ministro delle comunicazioni 15 febbraio 2006, pubblicato nella Gazzetta Ufficiale n. 82 del 7 aprile 2006;
Visto il decreto del Presidente del Consiglio dei ministri del 17 febbraio 2017, recante direttiva concernente indirizzi per la protezione cibernetica e la sicurezza informatica nazionali, pubblicato nella Gazzetta ufficiale della Repubblica italiana n. 87 del 13 aprile 2017;
Visto il decreto del Ministro dello sviluppo economico 15 febbraio 2019, recante l'istituzione del Centro di Valutazione e Certificazione Nazionale;
Visto il decreto del Presidente del Consiglio dei ministri 15 giugno 2021 recante l'individuazione delle categorie di beni, sistemi e servizi ICT destinati ad essere impiegati nel perimetro di sicurezza nazionale cibernetica, in attuazione dell', comma 6, lettera a), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, pubblicato nella GU n. 198 del 19 agosto 2021;
Ritenuto di dover stabilire i criteri di accreditamento dei laboratori di prova da parte del CVCN e i raccordi, ivi compresi i contenuti, le modalità e i termini delle comunicazioni, tra il CVCN e i predetti laboratori, nonché tra il CVCN e i Centri di Valutazione del Ministero dell'interno e del Ministero della difesa, anche al fine di assicurare il coordinamento delle rispettive attività e garantire la massima convergenza e la non duplicazione delle valutazioni in presenza di medesimi condizioni e livelli di rischio;
Udito il parere del Consiglio di Stato n. 01584 del 1° ottobre 2021 espresso dalla sezione consultiva per gli atti normativi nell'adunanza del 7 settembre 2021;
Sulla proposta del Comitato interministeriale per la cybersicurezza;
Adotta
il seguente regolamento:
Definizioni
1. Ai fini del presente decreto si intende per:
a) decreto-legge, il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133;
b) perimetro, il perimetro di sicurezza nazionale cibernetica istituito ai sensi dell', comma 1, del decreto-legge;
c) soggetti inclusi nel perimetro, i soggetti inseriti nell'elenco di cui all', comma 2-bis, del decreto-legge;
d) DPR, il decreto del Presidente della Repubblica 5 febbraio 2021, n. 54, di cui all', comma 6, del decreto-legge;
e) rete, sistema informativo:
1) una rete di comunicazione elettronica ai sensi dell', comma 1, lettera vv), del decreto legislativo 1° agosto 2003, n. 259;
2) qualsiasi dispositivo o gruppo di dispositivi interconnessi o collegati, uno o più dei quali eseguono, in base ad un programma, un trattamento automatico di dati digitali, ivi inclusi i sistemi di controllo industriale;
3) i dati digitali conservati, trattati, estratti o trasmessi per mezzo di reti o dispositivi di cui ai numeri 1) e 2), per il loro funzionamento, uso, protezione e manutenzione, compresi i programmi di cui al numero 2);
f) servizio informatico, un servizio consistente interamente o prevalentemente nel trattamento di informazioni, per mezzo della rete e dei sistemi informativi, ivi incluso quello di cloud computing di cui all', comma 1, lettera aa), del decreto legislativo 18 maggio 2018, n. 65;
g) bene ICT (information and communication technology), un insieme di reti, sistemi informativi e servizi informatici, o parti di essi, di qualunque natura, considerato unitariamente ai fini dello svolgimento di funzioni essenziali dello Stato o per l'erogazione di servizi essenziali, ai sensi dell' del decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131, recante il regolamento di cui all', comma 2, del decreto-legge;
h) categorie, le tipologie di beni, sistemi o servizi ICT destinati ad essere impiegati sui beni ICT individuate dal decreto del Presidente del Consiglio dei ministri 15 giugno 2021, sulla base di criteri tecnici di cui all' del DPR, la cui acquisizione è subordinata alla valutazione del CVCN o dei CV, ai sensi dell', comma 6, lettera a), del decreto-legge;
i) oggetto della fornitura, bene, sistema o servizio ICT appartenente alle categorie che il soggetto incluso nel perimetro intende acquisire, destinato all'impiego sui beni ICT individuati ai sensi dell' del decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131;
l) Agenzia, l'Agenzia per la cybersicurezza nazionale, istituita a tutela degli interessi nazionali nel campo della cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico, con decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109;
m) CVCN, il Centro di Valutazione e Certificazione Nazionale di cui all', comma 6, lettera a), del decreto-legge, come modificato dal decreto-legge 14 giugno 2021, n. 82, che opera secondo modalità, termini e procedure definiti nel DPR;
n) CV, i Centri di Valutazione del Ministero dell'interno e del Ministero della difesa di cui all', comma 6, lettera a), del decreto-legge;
o) oggetto della valutazione, l'oggetto della fornitura sottoposto al procedimento di valutazione da parte del CVCN o dei CV secondo modalità, termini e procedure definiti nel DPR;
p) fornitore, persona fisica o giuridica che fornisce l'oggetto della fornitura destinato alle reti, ai sistemi informativi e ai servizi informatici di cui all', comma 2, lettera b), del decreto-legge;
q) LAP, laboratorio di prova che ha ottenuto l'accreditamento dal CVCN ai sensi dell', comma 7, lettera b), del decreto-legge;
r) accreditamento, il riconoscimento formale dell'indipendenza, affidabilità e competenza tecnica di un laboratorio di prova o CV, ai fini dell'esecuzione dei test di cui all', comma 3, del DPR, secondo le pertinenti modalità di cui all' del medesimo DPR;
s) determinazione tecnica del CVCN, documento elaborato dal CVCN, concordato con i CV per gli aspetti di loro competenza, contenente regole, requisiti, specifiche tecniche, procedure per l'accreditamento dei laboratori di prova e il raccordo tra il CVCN, i LAP e i CV;
t) rapporto di prova, documento su cui sono registrati gli esiti analitici e le informazioni necessarie all'interpretazione dei risultati dei test eseguiti, redatto in conformità alle prescrizioni della norma EN ISO/IEC 17025;
u) rapporto di valutazione, documento redatto dal CVCN e dai CV sulla base del rapporto di prova di cui all', commi 1 e 2, del DPR;
v) responsabile del laboratorio di prova, la persona che ha la responsabilità e l'autorità definite per l'esecuzione di tutte le operazioni gestionali e tecniche relative alle funzioni per cui il laboratorio di prova è accreditato;
z) responsabile del sistema di gestione per la qualità, la persona che ha la responsabilità e l'autorità definite per garantire che il sistema di gestione per la qualità sia attuato, seguito e migliorato in modo continuativo;
aa) responsabile per i rapporti con il CVCN, la persona che ha la responsabilità e l'autorità definite per curare i rapporti con il CVCN;
bb) richiedente, il soggetto che ha presentato domanda per l'accreditamento di un laboratorio di prova;
cc) amministrazione pubblica, amministrazione pubblica individuata nell'elenco di cui all', comma 3, della legge 31 dicembre 2009, n. 196;
dd) titolare di un laboratorio di prova, la persona fisica o giuridica che, quale proprietario, o nell'esercizio d'impresa o in base a ogni altro titolo, eserciti il controllo o la gestione del laboratorio;
ee) verifica, attività di analisi e controllo documentale delle evidenze al fine di accertare il rispetto e il mantenimento dei requisiti necessari per l'accreditamento;
ff) ispezione, attività di tipo ricognitivo e valutativo che si articola nell'analisi, rilevazione, acquisizione e verifica di conformità di elementi di fatto al fine di accertare il rispetto e il mantenimento dei requisiti necessari per l'accreditamento;
gg) incidente, ogni evento di natura accidentale o intenzionale che determina il malfunzionamento, l'interruzione, anche parziali, ovvero l'utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici;
hh) CSIRT Italia, il Computer security incident response team istituito ai sensi dell' del decreto legislativo 18 maggio 2018, n. 65.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Prourn:nir:stato:decreto.del.presidente.del.consiglio.dei.ministri:2022-05-18;92#art-1