Art. 2. Oggetto e ambito di applicazione 1. Il presente decreto detta le disposizioni necessarie all'adeguamento del quadro normativo nazionale al regolamento DORA e al recepimento della direttiva DORA, nonche' a garantire il coordinamento con le vigenti disposizioni di settore.
2. Il presente decreto individua, altresi', le disposizioni applicabili agli intermediari finanziari e a Bancoposta in materia di resilienza operativa digitale.
3. Resta fermo quanto stabilito dal decreto-legge 21 settembre 2019, n. 105 , convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133 , in materia di perimetro di sicurezza nazionale cibernetica, nei confronti dei soggetti di cui all'articolo 1, comma 2-bis, del medesimo decreto-legge n. 105 del 2019 .
Note all'art. 2:
- Si riporta il testo dell'articolo 1, commi da 1 a 2-bis, del citato decreto-legge 21 settembre 2019, n. 105 :
«Art. 1 (Perimetro di sicurezza nazionale cibernetica). - 1. Al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati aventi una sede nel territorio nazionale, da cui dipende l'esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attivita' civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale, e' istituito il perimetro di sicurezza nazionale cibernetica.
2. Entro quattro mesi dalla data di entrata in vigore della legge di conversione del presente decreto, con decreto del Presidente del Consiglio dei ministri, adottato su proposta del Comitato interministeriale per la cybersicurezza (CIC):
a) sono definiti modalita' e criteri procedurali di individuazione di amministrazioni pubbliche, enti e operatori pubblici e privati di cui al comma 1 aventi una sede nel territorio nazionale, inclusi nel perimetro di sicurezza nazionale cibernetica e tenuti al rispetto delle misure e degli obblighi previsti dal presente articolo; ai fini dell' individuazione, fermo restando che per gli Organismi di informazione per la sicurezza si applicano le norme previste dalla legge 3 agosto 2007, n. 124 , si procede sulla base dei seguenti criteri:
1) il soggetto esercita una funzione essenziale dello Stato, ovvero assicura un servizio essenziale per il mantenimento di attivita' civili, sociali o economiche fondamentali per gli interessi dello Stato;
2) l'esercizio di tale funzione o la prestazione di tale servizio dipende da reti, sistemi informativi e servizi informatici;
2-bis) l'individuazione avviene sulla base di un criterio di gradualita', tenendo conto dell'entita' del pregiudizio per la sicurezza nazionale che, in relazione alle specificita' dei diversi settori di attivita', puo' derivare dal malfunzionamento, dall'interruzione, anche parziali, ovvero dall'utilizzo improprio delle reti, dei sistemi informativi e dei servizi informatici predetti;
b) sono definiti, sulla base di un'analisi del rischio e di un criterio di gradualita' che tenga conto delle specificita' dei diversi settori di attivita', i criteri con i quali i soggetti di cui al comma 2-bis predispongono e aggiornano con cadenza almeno annuale un elenco delle reti, dei sistemi informativi e dei servizi informatici di cui al comma 1, di rispettiva pertinenza, comprensivo della relativa architettura e componentistica, fermo restando che, per le reti, i sistemi informativi e i servizi informatici attinenti alla gestione delle informazioni classificate, si applica quanto previsto dal regolamento adottato ai sensi dell' articolo 4, comma 3, lettera l), della legge 3 agosto 2007, n. 124 ; all'elaborazione di tali criteri provvede, adottando opportuni moduli organizzativi, il Tavolo interministeriale di cui all'articolo 6 del regolamento di cui al decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131 ; entro sei mesi dalla data della comunicazione, prevista dal comma 2-bis, a ciascuno dei soggetti iscritti nell'elenco di cui al medesimo comma, i soggetti pubblici e quelli di cui all' articolo 29 del codice dell'amministrazione digitale , di cui al decreto legislativo 7 marzo 2005, n. 82 , nonche' quelli privati, di cui al citato comma 2-bis, trasmettono tali elenchi all'Agenzia per la cybersicurezza nazionale, anche per le attivita' di prevenzione, preparazione e gestione di crisi cibernetiche affidate al Nucleo per la cybersicurezza; il Dipartimento delle informazioni per la sicurezza, l'Agenzia informazioni e sicurezza esterna (AISE) e l'Agenzia informazioni e sicurezza interna (AISI) ai fini dell'esercizio delle funzioni istituzionali previste dagli articoli 1, comma 3-bis , 4 , 6 e 7 della legge n. 124 del 2007 , nonche' l'organo del Ministero dell'interno per la sicurezza e per la regolarita' dei servizi di telecomunicazione di cui all' articolo 7-bis del decreto-legge 27 luglio 2005, n. 144 , convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155 , accedono a tali elenchi per il tramite della piattaforma digitale di cui all'articolo 9, comma 1, del regolamento di cui al decreto del Presidente del Consiglio dei ministri n. 131 del 2020 , costituita presso l'Agenzia per la cybersicurezza nazionale.
2-bis. L'elencazione dei soggetti individuati ai sensi del comma 2, lettera a), e' contenuta in un atto amministrativo, adottato dal Presidente del Consiglio dei ministri, su proposta del CIC, entro trenta giorni dalla data di entrata in vigore del decreto del Presidente del Consiglio dei ministri di cui al comma 2. Il predetto atto amministrativo, per il quale e' escluso il diritto di accesso, non e' soggetto a pubblicazione, fermo restando che a ciascun soggetto e' data, separatamente, comunicazione senza ritardo dell'avvenuta iscrizione nell'elenco. L'aggiornamento del predetto atto amministrativo e' effettuato con le medesime modalita' di cui al presente comma.
(Omissis).».
2. Il presente decreto individua, altresi', le disposizioni applicabili agli intermediari finanziari e a Bancoposta in materia di resilienza operativa digitale.
3. Resta fermo quanto stabilito dal decreto-legge 21 settembre 2019, n. 105 , convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133 , in materia di perimetro di sicurezza nazionale cibernetica, nei confronti dei soggetti di cui all'articolo 1, comma 2-bis, del medesimo decreto-legge n. 105 del 2019 .
Note all'art. 2:
- Si riporta il testo dell'articolo 1, commi da 1 a 2-bis, del citato decreto-legge 21 settembre 2019, n. 105 :
«Art. 1 (Perimetro di sicurezza nazionale cibernetica). - 1. Al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati aventi una sede nel territorio nazionale, da cui dipende l'esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attivita' civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale, e' istituito il perimetro di sicurezza nazionale cibernetica.
2. Entro quattro mesi dalla data di entrata in vigore della legge di conversione del presente decreto, con decreto del Presidente del Consiglio dei ministri, adottato su proposta del Comitato interministeriale per la cybersicurezza (CIC):
a) sono definiti modalita' e criteri procedurali di individuazione di amministrazioni pubbliche, enti e operatori pubblici e privati di cui al comma 1 aventi una sede nel territorio nazionale, inclusi nel perimetro di sicurezza nazionale cibernetica e tenuti al rispetto delle misure e degli obblighi previsti dal presente articolo; ai fini dell' individuazione, fermo restando che per gli Organismi di informazione per la sicurezza si applicano le norme previste dalla legge 3 agosto 2007, n. 124 , si procede sulla base dei seguenti criteri:
1) il soggetto esercita una funzione essenziale dello Stato, ovvero assicura un servizio essenziale per il mantenimento di attivita' civili, sociali o economiche fondamentali per gli interessi dello Stato;
2) l'esercizio di tale funzione o la prestazione di tale servizio dipende da reti, sistemi informativi e servizi informatici;
2-bis) l'individuazione avviene sulla base di un criterio di gradualita', tenendo conto dell'entita' del pregiudizio per la sicurezza nazionale che, in relazione alle specificita' dei diversi settori di attivita', puo' derivare dal malfunzionamento, dall'interruzione, anche parziali, ovvero dall'utilizzo improprio delle reti, dei sistemi informativi e dei servizi informatici predetti;
b) sono definiti, sulla base di un'analisi del rischio e di un criterio di gradualita' che tenga conto delle specificita' dei diversi settori di attivita', i criteri con i quali i soggetti di cui al comma 2-bis predispongono e aggiornano con cadenza almeno annuale un elenco delle reti, dei sistemi informativi e dei servizi informatici di cui al comma 1, di rispettiva pertinenza, comprensivo della relativa architettura e componentistica, fermo restando che, per le reti, i sistemi informativi e i servizi informatici attinenti alla gestione delle informazioni classificate, si applica quanto previsto dal regolamento adottato ai sensi dell' articolo 4, comma 3, lettera l), della legge 3 agosto 2007, n. 124 ; all'elaborazione di tali criteri provvede, adottando opportuni moduli organizzativi, il Tavolo interministeriale di cui all'articolo 6 del regolamento di cui al decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131 ; entro sei mesi dalla data della comunicazione, prevista dal comma 2-bis, a ciascuno dei soggetti iscritti nell'elenco di cui al medesimo comma, i soggetti pubblici e quelli di cui all' articolo 29 del codice dell'amministrazione digitale , di cui al decreto legislativo 7 marzo 2005, n. 82 , nonche' quelli privati, di cui al citato comma 2-bis, trasmettono tali elenchi all'Agenzia per la cybersicurezza nazionale, anche per le attivita' di prevenzione, preparazione e gestione di crisi cibernetiche affidate al Nucleo per la cybersicurezza; il Dipartimento delle informazioni per la sicurezza, l'Agenzia informazioni e sicurezza esterna (AISE) e l'Agenzia informazioni e sicurezza interna (AISI) ai fini dell'esercizio delle funzioni istituzionali previste dagli articoli 1, comma 3-bis , 4 , 6 e 7 della legge n. 124 del 2007 , nonche' l'organo del Ministero dell'interno per la sicurezza e per la regolarita' dei servizi di telecomunicazione di cui all' articolo 7-bis del decreto-legge 27 luglio 2005, n. 144 , convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155 , accedono a tali elenchi per il tramite della piattaforma digitale di cui all'articolo 9, comma 1, del regolamento di cui al decreto del Presidente del Consiglio dei ministri n. 131 del 2020 , costituita presso l'Agenzia per la cybersicurezza nazionale.
2-bis. L'elencazione dei soggetti individuati ai sensi del comma 2, lettera a), e' contenuta in un atto amministrativo, adottato dal Presidente del Consiglio dei ministri, su proposta del CIC, entro trenta giorni dalla data di entrata in vigore del decreto del Presidente del Consiglio dei ministri di cui al comma 2. Il predetto atto amministrativo, per il quale e' escluso il diritto di accesso, non e' soggetto a pubblicazione, fermo restando che a ciascun soggetto e' data, separatamente, comunicazione senza ritardo dell'avvenuta iscrizione nell'elenco. L'aggiornamento del predetto atto amministrativo e' effettuato con le medesime modalita' di cui al presente comma.
(Omissis).».