Tutto pronto l’istituzione dell’Agenzia per la cybersicurezza nazionale (Acn) dopo che il governo Draghi ha affossato il progetto dell’ex premier Giuseppe Conte dell’Agenzia interna al Dis che era stata architettata dall’ex numero uno del Dis, Gennaro Vecchione, silurato dal governo Draghi che ha nominato Elisabetta Belloni.
Ecco tutti i dettagli sullo schema di decreto legge in materia di cyber con l’istituzione dell’Agenzia per la cybersicurezza nazionale (Acn).
Il governo accelera sull’Agenzia per la cybersicurezza nazionale (Acn), un organismo pubblico con autonomia regolamentare, amministrativa, patrimoniale, organizzativa, prevista nella bozza di 19 articoli, incompleta e suscettibile di modifiche, del decreto legge sulla Cybersecurity che dovrebbe arrivare in Consiglio dei ministri.
Vista “la vulnerabilità delle reti, dei sistemi informativi, dei servizi informatici e delle comunicazioni elettroniche di soggetti pubblici e privati che possono essere sfruttati al fine di provocare il malfunzionamento o l’interruzione, totali o parziali, di funzioni essenziali dello Stato e di servizi essenziali per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato”, il governo vuole ridefinire l’architettura italiana di cybersicurezza prevedendo anche l’istituzione di un’apposita agenzia per “adeguarla all’evoluzione tecnologica, al contesto di minaccia proveniente dallo spazio cibernetico, nonché al quadro normativo europeo, e di dover raccordare, altresì, pure a tutela dell’unità giuridica dell’ordinamento, le disposizioni in materia di sicurezza delle reti, dei sistemi informativi, dei servizi informatici e delle comunicazioni elettroniche”.
Il decreto oltre all’Acn istituisce, presso Palazzo Chigi, un comitato interministeriale per la cybersicurezza (Cics) “con funzioni di consulenza, proposta e deliberazione in materia di politiche di cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico”.
Il provvedimento prevede inoltre l’assunzione di personale ad hoc, anche non proveniente dalla pubblica amministrazione. Il nucleo per la cybersicurezza, istituito presso l’Acn, una sorta di prima linea che in caso di crisi assicura supporto al premier, è composto dal consigliere militare del premier, da un rappresentante, rispettivamente, del Dis, dell’Aise, dell’Aisi e di ciascuno dei ministeri rappresentati nel comitato interministeriale per la sicurezza della repubblica (Cisr), oltre ad un rappresentante del ministero dell’Università, il ministro delegato per l’innovazione tecnologica e la transizione digitale, e un rappresentante del dipartimento della protezione civile di palazzo Chigi.
Al presidente del Consiglio dei ministri sono attribuite in via esclusiva: l’alta direzione e la responsabilità generale delle politiche di cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico; l’adozione della strategia nazionale di cybersicurezza, sentito il comitato interministeriale per la cybersicurezza (Cics); la nomina e la revoca del direttore generale e del vice direttore generale dell’Agenzia per la cybersicurezza nazionale.
Il presidente del Consiglio dei ministri, sentito il Cics, impartisce le direttive per la cybersicurezza e emana ogni disposizione necessaria per l’organizzazione e il funzionamento dell’Agenzia per la cybersicurezza nazionale. La proposta dell’Agenzia per la cybersecurity è stata consegnata nelle ore scorse al Copasir, chiamato ad esprimere un parere sul testo.
+++
SCHEMA DI DECRETO-LEGGE RECANTE DISPOSIZIONI URGENTI IN MATERIA DI CYBERSICUREZZA, DEFINIZIONE DELL’ARCHITETTURA NAZIONALE DI CYBERSICUREZZA E ISTITUZIONE DELL’AGENZIA PER LA CYBERSICUREZZA NAZIONALE.
IL PRESIDENTE DELLA REPUBBLICA
VISTI gli articoli 77 e 87 della Costituzione;
VISTA la legge 23 agosto 1988, n. 400, recante disciplina dell’attività di Governo e ordinamento della Presidenza del Consiglio dei ministri;
CONSIDERATO che le vulnerabilità delle reti, dei sistemi informativi, dei servizi informatici e delle comunicazioni elettroniche di soggetti pubblici e privati possono essere sfruttate al fine di provocare il malfunzionamento o l’interruzione, totali o parziali, di funzioni essenziali dello Stato e di servizi essenziali per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato, nonché di servizi di pubblica utilità, con potenziali gravi ripercussioni sui cittadini, sulle imprese e sulle pubbliche amministrazioni, sino a poter determinare un pregiudizio per la sicurezza nazionale;
CONSIDERATA la straordinaria necessità ed urgenza, nell’attuale quadro normativo e a fronte della realizzazione in corso di importanti e strategiche infrastrutture tecnologiche, anche in relazione a recenti attacchi alle reti di Paesi europei e di importanti partner internazionali idonei a determinare effetti anche di natura sistemica e che sottolineano ulteriormente come il dominio cibernetico costituisca terreno di confronto con riflessi sulla sicurezza nazionale, di razionalizzare le competenze in materia, di assicurare un più efficace coordinamento, di attuare misure tese a rendere il Paese più sicuro e resiliente anche nel dominio digitale, di disporre dei più idonei strumenti di immediato intervento che consentano di affrontare con la massima efficacia e tempestività eventuali situazioni di emergenza che coinvolgano profili di cybersicurezza;
CONSIDERATA altresì la necessità ed urgenza di dare attuazione al Piano Nazionale di Ripresa e Resilienza, deliberato dal Consiglio dei ministri nella riunione del 29 aprile 2021, che prevede apposite progettualità nell’ambito della cybersicurezza, in particolare per l’istituzione di un’Agenzia di cybersicurezza nazionale, quale fattore necessario per assicurare lo sviluppo e la crescita dell’economia e dell’industria nazionale, ponendo la cybersicurezza a fondamento della trasformazione digitale;
RITENUTO pertanto di dover intervenire con urgenza al fine di ridefinire l’architettura italiana di cybersicurezza, prevedendo anche l’istituzione di un’apposita Agenzia per la cybersicurezza nazionale, per adeguarla all’evoluzione tecnologica, al contesto di minaccia proveniente dallo spazio cibernetico, nonché al quadro normativo europeo, e di dover raccordare, altresì, pure a tutela dell’unità giuridica dell’ordinamento, le disposizioni in materia di sicurezza delle reti, dei sistemi informativi, dei servizi informatici e delle comunicazioni elettroniche;
VISTA la deliberazione del Consiglio dei ministri, adottata nella riunione del …… . 2021 ; Sulla proposta del Presidente del Consiglio dei ministri;
EMANA il seguente decreto-legge:
Art. I (Definizioni)
1. Ai fini del presente decreto si intende per:
a) cybersicurezza, l’insieme delle attività necessarie per proteggere e assicurare la disponibilità, la confidenzialità e l’integrità di reti; sistemi informativi, servizi informatici e comunicazioni elettroniche dalle minacce informatiche, garantendone altresì la resilienza;
b) decreto-legge perimetro, il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica;
c) decreto legislativo NlS, il decreto legislativo 18 maggio 2018, n. 65, di attuazione della direttiva (UE) 2016/ 1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione;
d) CISR, il Comitato interministeriale per la sicurezza della Repubblica di cui all’articolo 5 della legge 3 agosto 2007, n. 124;
e) DIS, il Dipartimento delle informazioni per la sicurezza di cui all’articolo 4 della legge n. 124 del 2007;
j) AlSE, l’Agenzia informazioni e sicurezza esterna di cui all’articolo 6 della legge n. 124 del 2007; g) AISI, l’Agenzia informazioni e sicurezza interna di cui all’articolo 7 della legge n. 124 del 2007; h) COPASIR, il Comitato parlamentare per la sicurezza della Repubblica di cui all’articolo 30 della legge n. 124 del 2007; i) strategia nazionale di cybersicurezza, la strategia di cui all’articolo 6 del decreto legislativo NJS.
Art. 2 ( Competenze del Presidente del Consiglio dei ministri)
1. Al Presidente del Consiglio dei ministri sono attribuite in via esclusiva:
a) l’alta direzione e la responsabilità generale delle politiche di cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico;
b) l’adozione della strategia nazionale di cybersicurezza, sentito il Comitato interministeriale per la cybersicurezza (CICS) di cui all’articolo 4;
c) la nomina e la revoca del direttore generale e del vice direttore generale dell’Agenzia per la cybersicurezza nazionale di cui all’articolo 5.
2. Ai fini dell’esercizio delle competenze di cui alla lettera a) e dell’attuazione della strategia nazionale di cybersicurezza, il Presidente del Consiglio dei ministri, sentito il CICS, impartisce le direttive per la cybersicurezza e emana ogni disposizione necessaria per l’organizzazione e il funzionamento dell’Agenzia per la cybersicurezza nazionale.
Art. 3 (Autorità delegata)
1. Il Presidente del Consiglio dei ministri, ove lo ritenga opportuno, può delegare all’Autorità delegata di cui all’articolo 3 della legge n. 124 del 2007, ove istituita, le funzioni di cui al presente decreto che non sono ad esso attribuite in via esclusiva.
2. Il Presidente del Consiglio dei ministri è costantemente informato dall’Autorità delegata sulle modalità di esercizio delle funzioni delegate ai sensi del presente decreto e, fermo restando il potere di direttiva, può in qualsiasi momento avocare l’esercizio di tutte o di alcune di esse.
3. L’Autorità delegata, in relazione alle funzioni delegate ai sensi del presente decreto, partecipa alle riunioni del Comitato interministeriale per la transizione digitale di cui all’articolo 8 del decreto-legge 1° marzo 2021, n. 22, convertito, con modificazioni, dalla legge 22 aprile 2021, n. 55. 2 bozza 08/06/2021
Art. 4 (Comitato interministeriale per la cybersicurezza)
1. Presso la Presidenza del Consiglio dei ministri è istituito il Comitato interministeriale per la cybersicurezza (CICS), con funzioni di consulenza, proposta e deliberazione in materia di politiche di cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico.
2. Il Comitato:
a) propone al Presidente del Consiglio dei ministri gli indirizzi generali da perseguire nel quadro delle politiche di cybersicurezza nazionale;
b) esercita l’alta sorveglianza sull’attuazione della strategia nazionale di cybersicurezza;
c) promuove l’adozione delle iniziative necessarie per favorire l’efficace collaborazione, a livello nazionale e internazionale, tra i soggetti istituzionali e gli operatori privati interessati alla cybersicurezza, nonché per la condivisione delle informazioni e per l’adozione di migliori pratiche e di misure rivolte all’obiettivo della cybersicurezza e allo sviluppo industriale, tecnologico e scientifico in materia di cybersicurezza;
d) delibera esprime parere sugli schemi di bilancio preventivo e consuntivo dell’Agenzia per la cybersicurezza nazionale.
3. Il Comitato è presieduto dal Presidente del Consiglio dei ministri ed è composto dall’Autorità delegata, ove istituita, dal Ministro degli affari esteri e della cooperazione internazionale, dal Ministro dell’interno, dal Ministro della giustizia, dal Ministro della difesa, dal Ministro dell’economia e delle finanze, dal Ministro dello sviluppo economico, dal Ministro della transizione ecologica, dal Ministro dell’università e della ricerca e dal Ministro delegato per l’innovazione tecnologica e la transizione digitale
4. Il direttore generale dell’Agenzia svolge le funzioni di segretario del Comitato.
5. Il Presidente del Consiglio dei ministri può chiamare a partecipare alle sedute del Comitato, anche a seguito di loro richiesta, senza diritto di voto, altri componenti del Consiglio dei ministri, il direttore generale del DIS, il direttore dell’AISE, il direttore dell’AISI, nonché altre autorità civili e militari di cui, di volta in volta, sia ritenuta necessaria la presenza in relazione alle questioni da trattare.
6. Il Comitato svolge altresì le funzioni già attribuite al CISR dal decreto-legge perimetro e dai relativi provvedimenti attuativi, fatta eccezione per quelle previste dall’articolo 5 del medesimo decreto-legge perimetro.
Art. 5 (Agenzia per la cybersicurezza nazionale)
1. È istituita, a tutela degli interessi nazionali nel campo della cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico, l’Agenzia per la cybersicurezza nazionale (ACN), denominata ai fini del presente decreto “Agenzia”, con sede in Roma.
2. L’Agenzia ha personalità giuridica di diritto pubblico ed è dotata di autonomia regolamentare, amministrativa, patrimoniale, organizzativa, contabile e finanziaria, nei limiti di quanto previsto dal presente decreto. I regolamenti previsti dal presente decreto possono recare disposizioni anche in deroga alle norme vigenti, in relazione all’assolvimento delle funzioni di tutela della sicurezza nazionale nello spazio cibernetico attribuite all’Agenzia stessa e tenuto conto delle attività svolte in raccordo con il Sistema di informazione per la sicurezza della Repubblica di cui alla legge n. 124 del 2007.
3. Il Presidente del Consiglio dei ministri e l’Autorità delegata, ove istituita, si avvalgono dell’Agenzia per l’esercizio delle competenze di cui al presente decreto.
4. La direzione generale dell’Agenzia è affidata ad un dirigente di prima fascia dell’amministrazione dello Stato o equiparato, individuato tra persone di particolare e comprovata qualificazione professionale in materia di cybersicurezza e in possesso di una documentata esperienza di elevato livello nella gestione di processi di innovazione. Gli incarichi del direttore generale e del vice direttore generale hanno la durata massima di quattro anni e sono rinnovabili, con successivi provvedimenti, per una durata complessiva massima di ulteriori quatto anni. Per quanto previsto dal presente decreto, il direttore generale dell’Agenzia è il diretto referente del Presidente del Consiglio dei ministri e dell’Autorità delegata, ove istituita, ed è gerarchicamente e funzionalmente sovraordinato al personale dell’Agenzia. Il direttore generale ha la rappresentanza legale dell’Agenzia.
5. L’attività dell’Agenzia è regolata dal presente decreto e dalle disposizioni la cui adozione è prevista dallo stesso.
6. L’Agenzia può richiedere, anche sulla base di base di apposite convenzioni e nel rispetto degli ambiti di precipua competenza, la collaborazione di altri organi dello Stato, di altre amministrazioni, delle forze di polizia o di enti pubblici per lo svolgimento dei suoi compiti istituzionali.
Art. 6 (Organizzazione dell’Agenzia per la cybersicurezza nazionale)
1. L’organizzazione e il funzionamento dell’Agenzia sono definiti da un apposito regolamento che ne prevede, in particolare, l’articolazione in Uffici di livello dirigenziale generale, nonché in articolazioni di livello dirigenziale non generale.
2. Sono organi dell’Agenzia il direttore generale e il Collegio dei revisori dei conti. Con il regolamento di cui al comma 1 sono disciplinati altresì:
a) le funzioni del direttore generale e del vice direttore generale dell’Agenzia;
b) la composizione e il funzionamento del Collegio dei revisori dei conti;
c) l’istituzione di eventuali sedi secondarie.
3. Il regolamento di cui al comma 1 è adottato, entro centoventi giorni dalla data di entrata in vigore della legge di conversione del presente decreto, con decreto del Presidente del Consiglio dei ministri, anche in deroga all’articolo 17 della legge 23 agosto 1988, n. 400, previo parere del COPASIR, sentito il CICS.
Art. 7 (Funzioni dell’Agenzia per la cybersicurezza nazionale)
1. L’Agenzia:
a) è Autorità nazionale per la cybersicurezza e, in relazione a tale ruolo, assicura, nel rispetto delle competenze attribuite dalla normativa vigente ad altre amministrazioni, il coordinamento tra i soggetti pubblici coinvolti in materia di cybersicurezza a livello nazionale e promuove la realizzazione di azioni comuni dirette ad assicurare la sicurezza e resilienza cibernetiche per lo in funzione dello sviluppo della digitalizzazione del Paese, del sistema produttivo e delle pubbliche amministrazioni, nonché per il conseguimento dell’autonomia, nazionale ed europea, riguardo a prodotti e processi informatici di rilevanza strategica a tutela degli interessi nazionali nel settore. Per le reti, i sistemi informativi e i servizi informatici attinenti alla gestione delle informazioni classificate restano fermi quanto previsto dal regolamento adottato ai sensi dell’articolo 4, comma 3, lettera I), della legge n. 124 del 2007, nonché le competenze dell’Ufficio centrale per la segretezza di cui all’articolo 9 della legge n. 124 del 2007;
b) predispone la strategia nazionale di cybersicurezza;
c) svolge ogni necessaria attività di supporto al funzionamento del Nucleo per la cybersicurezza, di cui all’articolo 8 del presente decreto;
d) è Autorità nazionale competente e punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi, per le finalità di cui al decreto legislativo NIS, a tutela dell’unità giuridica dell’ordinamento, ed è competente all’accertamento delle violazioni e all’irrogazione delle sanzioni amministrative previste dal medesimo decreto;
e) è Autorità nazionale di certificazione della cybersicurezza ai sensi dell’articolo 58 del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, e assume tutti i compiti in materia di certificazione di sicurezza cibernetica già attribuiti al Ministero dello sviluppo economico dall’ordinamento vigente, compresi quelli relativi all’accertamento delle violazioni e all’irrogazione delle sanzioni;
f) assume tutti i compiti in materia di cybersicurezza già attribuiti dalle disposizioni vigenti al Ministero dello sviluppo economico, ivi compresi quelli relativi:
1) al perimetro di sicurezza nazionale cibernetica, di cui al decreto-legge perimetro e ai relativi provvedimenti attuativi, ivi incluse le funzioni attribuite al Centro di valutazione e certificazione nazionale ai sensi del decreto-legge perimetro, le attività di ispezione e verifica di cui all’articolo 1, comma 6, lettera e), del decreto-legge perimetro e quelle relative all’accertamento delle violazioni e all’irrogazione delle sanzioni amministrative previste dal medesimo decreto, fatti salvi quelli di cui all’articolo 3 del regolamento adottato con decreto del Presidente del Consiglio dei ministri n. 131 del 2020;
2) alla sicurezza e all’integrità delle comunicazioni elettroniche, di cui agli articoli 16-bis e 16-ter de l al decreto legislativo 1 ° agosto 2003 , n. 259, e relative disposizioni attuative;
3) alla sicurezza delle reti e dei sistemi informativi, di cui al decreto legislativo NlS;
g) partecipa, per gli ambiti di competenza, al gruppo di coordinamento istituito ai sensi dei regolamenti di cui all’articolo 1, comma 8, del decreto-legge 15 marzo 2012, n. 21 , convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56;
h) assume tutti i compiti già attribuiti alla Presidenza del Consiglio dei ministri in materia di perimetro di sicurezza nazionale cibernetica, di cui al decreto-legge perimetro e ai relativi provvedimenti attuativi, ivi incluse le attività di ispezione e verifica di cui all’articolo 1, comma 6, lettera e), del decreto-legge perimetro e quelle relative all’accertamento delle violazioni e all’irrogazione delle sanzioni amministrative previste dal medesimo decreto, fatti salvi quelli di cui all’articolo 3 del regolamento adottato con decreto del Presidente del Consiglio dei ministri n. 131 del 2020;
i) assume tutti i compiti già attribuiti al DIS dal decreto-legge perimetro e dai relativi provvedimenti attuativi e supporta il Presidente del Consiglio dei ministri ai fini dell’articolo l, comma 19-bis, del decretolegge perimetro;
l) provvede, sulla base delle attività di competenza del Nucleo per la cybersicurezza di cui all’articolo 8 del presente decreto, alle attività necessarie per l’attuazione e il controllo dell’esecuzione dei provvedimenti assunti dal Presidente del Consiglio dei ministri ai sensi dell’articolo 5 del decreto-legge perimetro;
m) assume tutti i compiti in materia di cybersicurezza già attribuiti all’Agenzia per l’Italia digitale dalle disposizioni vigenti e, in particolare, quelli di cui all’articolo 51 del decreto legislativo 7 marzo 2005, n. 82, nonché in materia di adozione di linee guida contenenti regole tecniche di cybersicurezza ai sensi dell’articolo 71 del medesimo decreto legislativo. L’Agenzia assume, altresì, i compiti di cui all’articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, già attribuiti all’Agenzia per l’Italia digitale;
n) sviluppa capacità nazionali di prevenzione, monitoraggio, rilevamento, analisi e risposta, per prevenire e gestire gli incidenti di sicurezza informatica e gli attacchi informatici, anche attraverso il CSJRT Italia di cui all’articolo 8 del decreto legislativo NlS;
o) partecipa alle esercitazioni nazionali e internazionali che riguardano la simulazione di eventi di natura cibernetica al fine di innalzare la resilienza del Paese;
p) cura e promuove la definizione ed il mantenimento di un quadro giuridico nazionale aggiornato e coerente nel dominio della cybersicurezza, tenendo anche conto degli orientamenti e degli sviluppi in ambito internazionale. A tal fine, l’Agenzia esprime pareri non vincolanti sulle iniziative legislative o regolamentari concernenti la cybersicurezza;
q) coordina, in raccordo con il Ministero degli affari esteri e della cooperazione internazionale, la cooperazione internazionale nella materia della cybersicurezza. Nell’ambito dell’Unione europea e a livello internazionale, l’Agenzia cura i rapporti con i competenti organismi, istituzioni, ed enti, nonché segue nelle competenti sedi istituzionali le tematiche di cybersicurezza, fatta eccezione per gli ambiti in cui la legge attribuisce specifiche competenze ad altre amministrazioni. In tali casi, è comunque assicurato il raccordo con l’Agenzia al fine di garantire posizioni nazionali unitarie e coerenti con le politiche di cybersicurezza definite dal Presidente del Consiglio dei ministri;
r) perseguendo obiettivi di eccellenza, supporta negli ambiti di competenza, mediante il coinvolgimento dell’accademia, della ricerca e del sistema produttivo nazionali, lo sviluppo di competenze e capacità industriali, tecnologiche e scientifiche. A tali fini, l’Agenzia può promuovere, sviluppare e finanziare specifici progetti ed iniziative, volti anche a favorire il trasferimento tecnologico dei risultati della ricerca nel settore. L’Agenzia assicura le opportune sinergie con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza; s) stipula accordi bilaterali e multilaterali, anche mediante il coinvolgimento del settore privato e industriale, con istituzioni, enti e organismi di altri Paesi per la partecipazione dell’Italia a programmi di cybersicurezza, assicurando le opportune sinergie con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza;
t) promuove, sostiene e coordina la partecipazione italiana a progetti e iniziative dell’Unione europea e internazionali, anche mediante il coinvolgimento di soggetti pubblici e privati nazionali, nel campo della cybersicurezza e dei correlati servizi applicativi. L’Agenzia assicura le opportune sinergie con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza;
u) svolge attività di comunicazione e promozione della consapevolezza in materia di cybersicurezza, al fine di contribuire allo sviluppo di una cultura nazionale in materia;
v) promuove la formazione, la crescita tecnico-professionale e la qualificazione delle risorse umane nel campo della cybersicurezza, anche attraverso l’assegnazione di borse di studio, di dottorato e assegni di ricerca, sulla base di apposite convenzioni con soggetti pubblici e privati;
z) per le finalità di cui al presente articolo, può costituire e partecipare a partenariati pubblico-privato sul territorio nazionale, nonché, previa autorizzazione del Presidente del Consiglio dei ministri, a consorzi, fondazioni o società con soggetti pubblici e privati, italiani e stranieri.
aa) è designata quale Centro nazionale di coordinamento ai sensi dell’articolo 6 del regolamento (UE) 2021 /887 del Parlamento europeo e del Consiglio del 20 maggio 2021, che istituisce il Centro europeo di competenza per la cybersicurezza nell’ambito industriale, tecnologico e della ricerca e la rete dei centri nazionali di coordinamento.
2. Nell’ambito del l’Agenzia sono nominati, con decreto del Presidente del Consiglio dei ministri, il rappresentante nazionale, e il suo sostituto, nel Consiglio di direzione del Centro europeo di competenza per la cybersicurezza nell’ambito industriale, tecnologico e della ricerca, ai sensi dell’articolo 12 del regolamento (UE) 2021 /887.
3. Il CSIRT italiano di cui all’articolo 8 del decreto legislativo NIS è trasferito presso l’Agenzia e assume la denominazione di: “CSIRT Italia”
4. Il Centro di valutazione e certificazione nazionale, istituito presso il Ministero dello sviluppo economico, è trasferito presso l’Agenzia.
5. Nel rispetto delle competenze del Garante per la protezione dei dati personali, l’Agenzia, per le finalità di cui al presente decreto, consulta il Garante e collabora con esso, anche in relazione agli incidenti che comportano violazioni di dati personali. L’Agenzia e il Garante possono stipulare appositi protocolli d’intenti che definiscono altresì le modalità della loro collaborazione.
Art. 8 (Nucleo per la cybersicurezza)
1. Presso l’Agenzia è costituito, in via permanente, il Nucleo per la cybersicurezza, a supporto del Presidente del Consiglio dei ministri nella materia della cybersicurezza, per gli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi e per l’attivazione delle procedure di allertamento.
2. Il Nucleo per la cybersicurezza è presieduto dal direttore generale dell’Agenzia o dal vice direttore generale da lui designato ed è composto dal Consigliere militare del Presidente del Consiglio dei ministri, da un rappresentante, rispettivamente, del DIS, dell’AISE, dell’AISI, di ciascuno dei Ministeri rappresentati nel Comitato di cui all’articolo 5 della legge n. 124 del 2007, del Ministero dell’università e della ricerca, del Ministro delegato per l’innovazione tecnologica e la transizione digitale, del Dipartimento della protezione civile della Presidenza del Consiglio dei ministri. Per gli aspetti relativi alla trattazione di informazioni classificate il Nucleo è integrato da un rappresentante dell’Ufficio centrale per la segretezza di cui all’articolo 9 della legge n. 124 del 2007.
3. I componenti possono farsi assistere alle riunioni da altri rappresentanti delle rispettive amministrazioni in relazione alle materie oggetto di trattazione. In base agli argomenti delle riunioni possono anche essere chiamati a partecipare rappresentanti di altre amministrazioni, di università o di enti e istituti di ricerca, nonché di operatori privati interessati alla materia della cybersicurezza.
4. Il Nucleo può essere convocato in composizione ristretta con la partecipazione dei rappresentanti delle sole amministrazioni e soggetti interessati, anche relativamente ai compiti di gestione delle crisi di cui all’articolo 10.
Art. 9 (Compiti del Nucleo per la cybersicurezza)
1. Per le finalità di cui all’articolo 8, il Nucleo per la cybersicurezza svolge i seguenti compiti:
a) può formulare proposte di iniziative in materia di cybersicurezza-del Paese, anche nel quadro del contesto internazionale in materia;
b) promuove, sulla base delle direttive di cui all’articolo 2, comma 2, la programmazione e la pianificazione operativa della risposta a situazioni di crisi cibernetica da parte delle amministrazioni e degli operatori privati interessati e l’elaborazione delle necessarie procedure di coordinamento interministeriale, in raccordo con le pianificazioni di difesa civile e di protezione civile, anche nel quadro di quanto previsto dall’articolo 7-bis, comma 5, del decreto-legge n. 174 del 2015, convertito, con modificazioni, dalla legge n.198 del 2015;
c) promuove e coordina lo svolgimento di esercitazioni interministeriali, ovvero la partecipazione nazionale in esercitazioni internazionali che riguardano la simulazione di eventi di natura cibernetica al fine di innalzare la resilienza del Paese;
d) valuta e promuove, in raccordo con le amministrazioni competenti per specifici profili della cybersicurezza, procedure di condivisione delle informazioni, anche con gli operatori privati interessati, ai fini della diffusione di allarmi relativi ad eventi cibernetici e per la gestione delle crisi;
e) riceve, per il tramite del CSIRT Italia, le comunicazioni circa i casi di violazioni o tentativi di violazione della sicurezza o di perdita dell’integrità significativi ai fini del corretto funzionamento delle reti e dei servizi, dal DIS, dall’AISE e dall’AISI, dalle Forze di polizia e, in particolare, dall’organo del Ministero dell’interno di cui all’articolo 7-bis del decreto-legge n. 144 del 2005, convertito, con modificazioni, dalla legge n. 155 del 7 bozza 08/06/2021 2005, dalle strutture del Ministero della difesa, nonché dalle altre amministrazioni che compongono il Nucleo e dai CERT istituiti ai sensi della normativa vigente; j) riceve dal CSIRT Italia le notifiche di incidente ai sensi delle disposizioni vigenti;
g) valuta se gli eventi di cui alle lettere e) e j) assumono dimensioni, intensità o natura tali da non poter essere fronteggiati dalle singole amministrazioni competenti in via ordinaria, ma richiedono l’assunzione di decisioni coordinate in sede interministeriale, provvedendo in tal caso a informare tempestivamente il Presidente del Consiglio dei ministri, ovvero l’Autorità delegata, ove istituita, sulla situazione in atto e allo svolgimento delle attività di raccordo e coordinamento di cui all’articolo 10, nella composizione ivi prevista.
Art.10 (Gestione delle crisi che coinvolgono aspetti di cybersicurezza)
1. Nelle situazioni di crisi che coinvolgono aspetti di cybersicurezza, nei casi in cui il Presidente del Consiglio dei ministri convochi il CISR in materia di gestione delle predette situazioni di crisi, alle sedute del Comitato sono chiamati a partecipare il Ministro delegato per l’innovazione tecnologica e la transizione digitale e il direttore generale dell’Agenzia.
2. Il Nucleo assicura il supporto al CISR e al Presidente del Consiglio dei ministri, nella materia della cybersicurezza, per gli aspetti relativi alla gestione di situazioni di crisi ai sensi del comma 1, nonché per l’esercizio dei poteri attribuiti al Presidente del Consiglio dei ministri, ivi comprese le attività istruttorie e le procedure di attivazione necessarie, ai sensi dell’articolo 5 del decreto-legge perimetro.
3. In situazioni di crisi di natura cibernetica il Nucleo è integrato, in ragione della necessità, con un rappresentante, rispettivamente, del Ministero della salute, del Ministero delle infrastrutture e della mobilità sostenibili, del Dipartimento dei Vigili del fuoco, del soccorso pubblico e della difesa civile, in rappresentanza anche della Commissione interministeriale tecnica di difesa civile, autorizzati ad assumere decisioni che impegnano la propria amministrazione. Alle riunioni i componenti possono farsi accompagnare da altri funzionari della propria amministrazione. Alle stesse riunioni possono essere chiamati a partecipare rappresentanti di altre amministrazioni, anche locali, ed enti, anche essi autorizzati ad assumere decisioni, e di altri soggetti pubblici o privati eventualmente interessati.
4. È compito del Nucleo, nella composizione per la gestione delle crisi, di cui al comma 3, assicurare che le attività di reazione e stabilizzazione di competenza delle diverse amministrazioni ed enti rispetto a situazioni di crisi di natura cibernetica, vengano espletate in maniera coordinata secondo quanto previsto dall’articolo 9, comma I, lettera b).
5. Il Nucleo, per l’espletamento delle proprie funzioni e fermo restando quanto previsto ai sensi dell’articolo 7-bis, comma 5, del decreto-legge n. 174 del 2015, convertito, con modificazioni, dalla legge n. 198 del 2015:
a) mantiene costantemente informato il Presidente del Consiglio dei ministri, ovvero l’Autorità delegata, ove istituita, sulla crisi in atto, predisponendo punti aggiornati di situazione;
b) assicura il coordinamento per l’attuazione a livello interministeriale delle determinazioni del Presidente del Consiglio dei ministri per il superamento della crisi;
c) raccoglie tutti i dati relativi alla crisi;
d) elabora rapporti e fornisce informazioni sulla crisi e li trasmette ai soggetti pubblici e privati interessati;
e) partecipa ai meccanismi europei di gestione delle crisi cibernetiche, assicurando altresì i collegamenti finalizzati alla gestione della crisi con gli omologhi organismi di altri Stati, della NATO, dell’UE o di organizzazioni internazionali di cui l’Italia fa parte.
Art.11 (Norme di contabilità e disposizioni finanziarie)
1. Al Presidente del Consiglio dei ministri è attribuita, in via esclusiva, la determinazione del fabbisogno annuo delle risorse finanziarie dell’Agenzia, di cui dà comunicazione al COPASIR. Nello stato di previsione della spesa del Ministero dell’economia e delle finanze è assegnato lo stanziamento annuale delle risorse finanziarie per l’Agenzia.
2. Le entrate dell’Agenzia sono costituite da:
a) dotazioni finanziarie e contributi ordinari di cui all ‘articolo 18 del presente decreto;
b) corrispettivi per i servizi prestati a soggetti pubblici o privati;
c) proventi derivanti dallo sfruttamento della proprietà industriale, dei prodotti dell’ingegno e delle invenzioni dell’Agenzia;
d) altri proventi patrimoniali e di gestione;
e) contribuiti dell’Unione europea o di organismi internazionali, anche a seguito della partecipazione a specifici bandi, progetti e programmi di collaborazione;
f) proventi delle sanzioni ai sensi di quanto previsto dall’articolo 18, comma 3;
g) ogni altra eventuale entrata.
3. Il regolamento di contabilità dell’Agenzia, che ne assicura l’autonomia gestionale e contabile, è adottato con decreto del Presidente del Consiglio dei ministri, su proposta dal direttore generale dell’Agenzia, entro centoventi giorni dalla data di entrata in vigore della legge di conversione del presente decreto, anche in deroga alle norme di contabilità generale dello Stato, anche in deroga all’articolo 17 della legge 23 agosto 1988, n. 400, previo parere del COPASIR e sentito il CICS, previa verifica di regolarità contabile del Collegio dei revisori e nel rispetto dei princìpi fondamentali da esse stabiliti, nonché delle seguenti disposizioni:
a) il bilancio preventivo e il bilancio consuntivo adottati dal direttore generale dell’Agenzia sono approvati con decreto del Presidente del Consiglio dei ministri, previa deliberazione del CICS;
b) i bilanci preventivo e consuntivo sono inviati per il controllo della legittimità e regolarità della gestione, alla Corte dei conti. La Corte dei conti è competente per il controllo di legittimità su atti, ai sensi dell’articolo 3, comma 4, della legge 14 gennaio 1994, n. 20;
c) il consuntivo della gestione finanziaria è trasmesso, insieme con la relazione della Corte dei conti, al COPASIR.
4. Con regolamento adottato con decreto del Presidente del Consiglio dei ministri, su proposta del direttore generale dell’Agenzia, entro centoventi giorni dalla data di entrata in vigore della legge di conversione del presente decreto, anche in deroga all ‘articolo 17 della legge 23 agosto 1988, n. 400, previo parere del COPASIR e sentito il CICS, sono definite le procedure per la stipula di contratti di appalti di lavori e forniture di beni e servizi per le attività dell’Agenzia finalizzate alla tutela della sicurezza nazionale nello spazio cibernetico e per quelle svolte in raccordo con il Sistema di informazione per la sicurezza della Repubblica di cui alla legge n. 124 del 2007, ferma restando la disciplina nel rispetto delle disposizioni dell’articolo 162 del codice dei contratti pubblici relativi a lavori, servizi e forniture, di cui al decreto legislativo 18 aprile 2016, n. 50.
Art.12 (Personale)
1. Con apposito regolamento è dettata, nel rispetto dei criteri di cui al presente decreto, la disciplina del contingente di personale addetto all’Agenzia. Il regolamento definisce l’ordinamento e il reclutamento del personale, e il relativo trattamento economico e previdenziale, prevedendo, in particolare, per il personale dell’Agenzia un trattamento economico pari a quello in godimento da parte dei dipendenti della Banca d’Italia, sulla scorta della equiparabilità delle funzioni svolte e del livello di responsabilità rivestito.
2. Il regolamento determina, nei limiti delle risorse finanziarie disponibili, in particolare:
a) l’istituzione di un ruolo del personale e la disciplina generale del rapporto d’impiego alle dipendenze dell’Agenzia;
b) la possibilità di procedere, oltre che ad assunzioni a tempo indeterminato attraverso modalità concorsuali, ad assunzioni a tempo determinato, con contratti di diritto privato, di soggetti in possesso di alta e particolare specializzazione debitamente documentata, individuati attraverso adeguate modalità selettive, per lo svolgimento di attività assolutamente necessarie all’operatività dell’Agenzia o per specifiche progettualità da portare a termine in un arco di tempo prefissato;
c) la possibilità di avvalersi di un contingente di esperti, non superiore a cinquanta unità, composto da personale in posizione di fuori ruolo, comando o altra analoga posizione, prevista dagli ordinamenti di appartenenza, proveniente da ministeri, da altre pubbliche amministrazioni, ovvero da personale non appartenente alla pubblica amministrazione, in possesso di specifica ed elevata competenza in materia di cybersicurezza e di tecnologie digitali innovative, nello sviluppo e gestione di processi complessi di trasformazione tecnologica e delle correlate iniziative di comunicazione e disseminazione, nonché di significativa esperienza in progetti di trasformazione digitale, ivi compreso lo sviluppo di programmi e piattaforme digitali con diffusione su larga scala. li regolamento, a tali fini, disciplina le modalità di formazione del contingente e il compenso spettante per ciascuna professionalità;
d) la determinazione della percentuale massima dei dipendenti che sarà possibile assumere [è stato previsto alla lettera e il limite di n. 50 unità];
e) la possibilità di impiegare personale del Ministero della difesa, secondo termini e modalità da definire con apposito decreto del Presidente del Consiglio dei ministri di natura non regolamentare;
f) le ipotesi di incompatibilità;
g) le modalità di svolgimento della carriera all’interno dell’Agenzia;
h) la disciplina e il procedimento per la definizione degli aspetti giuridici e, limitatamente ad eventuali compensi accessori, economici del rapporto di impiego del personale oggetto di negoziazione con le rappresentanze del personale;
i) le modalità applicative delle disposizioni del decreto legislativo 10 febbraio 2005, n. 30, recante il Codice della proprietà industriale, ai prodotti dell’ingegno ed alle invenzioni dei dipendenti dell’Agenzia;
l) i casi di cessazione dal servizio del personale assunto a tempo indeterminato ed i casi di anticipata risoluzione dei rapporti a tempo determinato.
3. Qualora le assunzioni di cui al comma 2, lettera b), riguardino professori universitari di ruolo o ricercatori universitari confermati si applicano le disposizioni di cui all’articolo 12 del decreto del Presidente della Repubblica 11 luglio 1980, n. 382, anche per quanto riguarda il collocamento in aspettativa.
4. In sede di prima applicazione delle disposizioni di cui al presente decreto, il numero di posti previsti dalla pianta organica dell’Agenzia è individuato nella misura complessiva di trecento unità. Il regolamento individua quali delle disposizioni ivi contenute possono essere oggetto di revisione per effetto della negoziazione con le rappresentanze del personale.
5. Con successivi decreti del Presidente del Consiglio dei ministri, la dotazione organica è rideterminata in quattrocentocinquanta unità nel 2024, in seicento unità nel 2025, in settecento unità nel 2026 e in ottocento unità nel 2027.
6. Le assunzioni effettuate in violazione dei divieti previsti dal presente decreto o dal regolamento sono nulle, ferma restando la responsabilità personale, patrimoniale e disciplinare di chi le ha disposte.
7. Fatto salvo quanto previsto dall’articolo 42 della legge n. 124 del 2007, il personale che presta comunque la propria opera alle dipendenze o in favore dell’Agenzia è tenuto, anche dopo la cessazione di tale attività, al rispetto del segreto su ciò di cui sia venuto a conoscenza nell’esercizio o a causa delle proprie funzioni.
8. Il regolamento di cui al presente articolo è adottato, entro centoventi giorni dalla data di conversione in legge del presente decreto, con decreto del Presidente del Consiglio dei ministri, anche in deroga all’articolo 17 della legge 23 agosto 1988, n. 400, previo parere del COPASIR e sentito il CICS.
Art.13 (Trattamento dei dati personali)
1. Il trattamento dei dati personali svolto per finalità di sicurezza nazionale in applicazione del presente decreto è effettuato ai sensi dell’articolo 58, commi 2 e 3, del decreto legislativo 30 giugno 2003 , n. 196.
Art. 14 (Relazioni annuali)
1. Entro il 30 aprile di ogni anno, il Presidente del Consiglio dei ministri trasmette al Parlamento una relazione sull’attività svolta dall’Agenzia nell’anno precedente, in materia di cybersicurezza nazionale.
2. Entro il 30 giugno di ogni anno, il Presidente del Consiglio dei ministri trasmette al COPASIR una relazione sulle attività svolte nell’anno precedente dall’Agenzia in raccordo con il Sistema di informazione per la sicurezza della Repubblica di cui alla legge n. 124 del 2007, nonché in relazione agli ambiti di attività dell’Agenzia sottoposti al controllo del Comitato ai sensi del presente decreto.
Art. 15 (Modificazioni al decreto legislativo NIS)
1. Al decreto legislativo NIS, sono apportate le seguenti modificazioni:
a) all’articolo 3, lettera a), le parole da: “autorità competente NIS” a: “per settore,” sono sostituite dalle seguenti: “autorità nazionale competente NIS, l’autorità nazionale unica, competente”;
b) all’articolo 3, dopo la lettera a), è inserita la seguente: “a-bis) autorità di settore, le autorità di cui all’articolo 7, comma 1, lettere da a) a e)”;
c) all’articolo 4, il comma 6 è sostituito dal seguente: “6. L’elenco degli operatori di servizi essenziali identificati ai sensi del comma 1 è riesaminato e, se del caso, aggiornato su base regolare, e almeno ogni due anni dopo il 9 maggio 2018, con le seguenti modalità: a) le autorità di settore, in relazione ai settori di competenza, propongono all’autorità nazionale competente NIS le variazioni all ‘elenco degli operatori dei servizi essenziali, secondo i criteri di cui ai commi 2 e 3; b) le proposte sono valutate dall’autorità nazionale competente NIS che, con propri provvedimenti, provvede alle variazioni dell’elenco degli operatori dei servizi essenziali, dandone comunicazione, in relazione ai settori di competenza, anche alle autorità di settore.”;
d) all’articolo 6, nella rubrica, le parole: “sicurezza cibernetica” sono sostituite dalle seguenti: “cybersicurezza”; ai commi 1, 2 e 3, le parole: “sicurezza cibernetica” sono sostituite dalla seguente: “e cybersicurezza” ; al comma 4, le parole: “La Presidenza del Consiglio dei ministri” sono sostituite dalle seguenti: “L’Agenzia per la cybersicurezza” e le parole: “sicurezza cibernetica” sono sostituite dalle seguenti: “cybersicurezza”;
e) l’articolo 7 è sostituito dal seguente:
“Art. 7 (Autorità nazionale competente e punto di contatto unico)
1. L’Agenzia per la cybersicurezza nazionale è designata quale autorità nazionale competente NIS per i settori e sottosettori di cui all’allegato II e per i servizi di cui all’allegato III. Sono designate quali autorità di settore:
a) il Ministero dello sviluppo economico, per il settore infrastrutture digitali, sottosettori IXP, DNS, TLD, nonché per i servizi digitali;
b) il Ministero delle infrastrutture e della mobilità sostenibili, per il settore trasporti, sottosettori aereo, ferroviario, per vie d’acqua e su strada;
c) il Ministero dell’economia e delle finanze, per il settore bancario e per il settore infrastrutture dei mercati finanziari, in collaborazione con le autorità di vigilanza di settore, Banca d’Italia e Consob, secondo modalità di collaborazione e di scambio di informazioni stabilite con decreto del Ministro dell’economia e delle finanze;
d) il Ministero della salute, per l’attività di assistenza sanitaria, come definita dall’articolo 3, comma 1, lettera a), del decreto legislativo 4 marzo 2014, n. 38, prestata dagli operatori dipendenti o incaricati dal medesimo Ministero o convenzionati con lo stesso, e le Regioni e le Province autonome di Trento e di Bolzano, direttamente o per il tramite delle Autorità sanitarie territorialmente competenti, per le attività di assistenza sanitaria prestata dagli operatori autorizzati e accreditati delle Regioni o dalle Province autonome negli ambiti territoriali di rispettiva competenza;
e) il Ministero della transizione ecologica per il settore energia, sottosettori energia elettrica, gas e petrolio;
f) il Ministero della transizione ecologica e le Regioni e le Province autonome di Trento e di Bolzano, direttamente o per il tramite delle Autorità territorialmente competenti, in merito al settore fornitura e distribuzione di acqua potabile.
2. L’autorità nazionale competente NIS è responsabile dell’attuazione del presente decreto con riguardo ai settori di cui all’allegato II e ai servizi di cui all’allegato III e vigila sull’applicazione del presente decreto a livello nazionale, esercitando altresì le relative potestà ispettive e sanzionatorie.
3. L’Agenzia per la cybersicurezza nazionale è designata quale punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi.
4. Il punto di contatto unico svolge una funzione di collegamento per garantire la cooperazione transfrontaliera dell’autorità nazionale competente NIS con le autorità competenti degli altri Stati membri, nonché con il gruppo di cooperazione di cui all’articolo 10 e la rete di CSIRT di cui all’articolo 11.
5. Il punto di contatto unico collabora nel gruppo di cooperazione in modo effettivo, efficiente e sicuro con i rappresentanti designati dagli altri Stati.
6. L’autorità nazionale competente NIS e il punto di contatto unico consultano, conformemente alla normativa vigente, l’autorità di contrasto ed il Garante per la protezione dei dati personali e collaborano con essi.
7. La Presidenza del Consiglio dei ministri comunica tempestivamente alla Commissione europea la designazione del punto di contatto unico e quella dell’autorità nazionale competente NIS, i relativi compiti e qualsiasi ulteriore modifica. Alle designazioni sono assicurate idonee forme di pubblicità.
8. Agli oneri derivanti dal presente articolo pari a 1.300.000 euro a decorrere dal 2018, si provvede ai sensi dell’articolo 22.”;
f) all’articolo 8, comma I, le parole da: “la Presidenza” a: ” la sicurezza” sono sostituite da: “l’Agenzia di cybersicurezza nazionale”;
g) l’articolo 9, comma I, è sostituito dal seguente
1. Le autorità di settore collaborano con l’autorità nazionale competente NIS per l’adempimento degli obblighi di cui al presente decreto. A tal fine è istituito presso l’Agenzia per la cybersicurezza nazionale, un Comitato tecnico di raccordo. Il Comitato è presieduto dall’autorità nazionale competente NIS ed è composto dai rappresentanti delle amministrazioni statali individuate quali autorità di settore e da rappresentanti delle Regioni e Province autonome in numero non superiore a due, designati dalle Regioni e Province autonome in sede di Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e di Bolzano. L’organizzazione del Comitato è definita con decreto del Presidente del Consiglio dei ministri, di natura non regolamentare, sentita la Conferenza unificata. Per la partecipazione al Comitato tecnico di raccordo non sono previsti gettoni di presenza, compensi o rimborsi spese.”;
h) all’articolo 12, comma 5, le parole da: “e, per conoscenza,” a: “NIS,” sono eliminate;
i) all’articolo 14, comma 4, le parole da: “e, per conoscenza,” a: “NIS,” sono eliminate;
l) all’articolo 19, comma 1, le parole: “dalle autorità competenti NIS” sono sostituite dalle seguenti: “dall’autorità nazionale competente NIS”;
m) all’articolo 19, il comma 2 è soppresso;
n) all’articolo 20, comma 1, le parole da: “Le autorità competenti NIS” a: “sono competenti” sono sostituite da: “L’autorità nazionale competente NIS è competente”;
o) all’allegato I:
1) al punto 1, dopo la lettera d) è aggiunta la seguente: “e) il CSIRT Italia conforma i propri servizi e la propria attività alle migliori pratiche internazionalmente riconosciute in materia di prevenzione, gestione e risposta rispetto a eventi di natura cibernetica”;
2) al punto 2, lettera e), dopo la parola: “standardizzate” sono inserite le seguenti: “, secondo le migliori pratiche internazionalmente riconosciute,”.
2. Nel decreto legislativo NIS:
a) ogni riferimento al Ministero dello sviluppo economico, ovunque ricorra, deve intendersi riferito all’Agenzia per la cybersicurezza nazionale, fatta eccezione per le disposizioni di cui all’articolo 7, comma 1, lettera a), del medesimo decreto legislativo;
b) ogni riferimento al DIS, ovunque ricorra, deve intendersi riferito all’Agenzia per la cybersicurezza nazionale;
c) ogni riferimento alle autorità competenti NIS, ovunque ricorra, deve intendersi riferito all’autorità nazionale competente NIS, fatta eccezione per le disposizioni di cui all’articolo 5, comma 1, del medesimo decreto legislativo;
d) all’articolo 5, comma 1, alinea, le parole: “le autorità competenti NIS” sono sostituite dalle seguenti : “l’autorità nazionale competente NIS e le autorità di settore”;
e) agli articoli 6 e 12, le parole: “Comitato interministeriale per la sicurezza della Repubblica (CISR)” sono sostituite dalle seguenti: “Comitato interministeriale per la cybersicurezza (CICS)” .
Art. 16 (Altre modificazioni)
1. All’articolo 3, comma I-bis, della legge n. 124 del 2007, dopo le parole: “della presente legge” sono aggiunte le seguenti: “e in materia di cybersicurezza”.
2. All’articolo 38 della legge n. 124 del 2007, il comma I-bis è abrogato.
3. La denominazione: “CSIRT Italia” sostituisce, ad ogni effetto e ovunque presente m provvedimenti legislativi e regolamentari, la denominazione: “CSIRT Italiano”.
4. Nel decreto-legge perimetro le parole: “Comitato interministeriale per la sicurezza della Repubblica (CISR)” e “CISR”, ovunque ricorrano, sono rispettivamente sostituite dalle seguenti: “Comitato interministeriale per la cybersicurezza (CICS)” e “CICS”, fatta eccezione per le disposizioni di cui all’articolo 5 del medesimo decreto-legge.
5. Nel decreto-legge perimetro ogni riferimento al Dipartimento delle informazioni per la sicurezza, o al DIS, ovunque ricorra, è da intendersi riferito all’Agenzia per la cybersicurezza nazionale.
6. Nel decreto-legge perimetro ogni riferimento al Ministero dello sviluppo economico e alla Presidenza del Consiglio dei ministri, ovunque ricorra, è da intendersi riferito all’Agenzia per la cybersicurezza nazionale.
7. Nei provvedimenti di natura regolamentare e amministrativa la cui adozione è prevista dall’articolo 1 del decreto-legge perimetro, ogni riferimento al CJSR e al DIS deve intendersi rispettivamente riferito al CICS e all’Agenzia per la cybersicurezza nazionale.
8. Nei provvedimenti di natura regolamentare e amministrativa la cui adozione è prevista dall’articolo 1 del decreto-legge perimetro, ogni riferimento al Ministero dello sviluppo economico e alla struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione, ovunque ricorra, deve intendersi riferito all’Agenzia per la cybersicurezza nazionale, fatta eccezione per le disposizioni di cui agli articoli 3 del decreto del Presidente del Consiglio dei ministri n. 131 del 2020.
9. Al decreto-legge perimetro sono apportate le seguenti modificazioni: a) all’articolo 1, comma 6, lettera a), dopo le parole “anche in relazione all’ambito di impiego” è aggiunto il seguente periodo: “L’obbligo di comunicazione di cui alla presente lettera è efficace a decorrere dal trentesimo giorno successivo alla pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana del decreto del Presidente del Consiglio dei ministri che, sentita l’Agenzia per la cybersicurezza nazionale, attesta l’operatività del CVCN e comunque dal 30 giugno 2022.”;
b) all’articolo 3, il comma 2 è abrogato;
c) a decorrere dalla data in cui diviene efficace l’obbligo di comunicazione disciplinato dalla precedente lettera a), all’articolo 3:
1) il comma I è sostituito dal seguente: “1. I soggetti che intendono procedere all’acquisizione, a qualsiasi titolo, di beni, servizi e componenti di cui all’articolo i-bis, comma 2, del decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, sono obbligati ad effettuare la comunicazione di cui all’articolo 1, comma 6, lettera a), per lo svolgimento delle verifiche di sicurezza da parte del CVCN sulla base delle procedure, modalità e termini previsti dal regolamento di attuazione. Ai fornitori di predetti beni, servizi e componenti si applica l’articolo 1, comma 6, lettera b).”;
2) il comma 3 è abrogato;
10. A decorrere dalla data in cui diviene efficace l’obbligo di comunicazione disciplinato dal comma 9, lettera a), al decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, il comma 3-bis dell’articolo 1-bis è sostituito dal seguente: “Entro dieci giorni dalla conclusione di un contratto o accordo di cui al comma 2, l’impresa che ha acquisito, a qualsiasi titolo, i beni o i servizi di cui allo stesso comma notifica alla Presidenza del Consiglio dei ministri un’informativa completa, contenente anche la comunicazione del Centro di valutazione e certificazione nazionale (CVCN), relativa all’esito della valutazione e alle eventuali prescrizioni, in modo da consentire l’eventuale esercizio del potere di veto o l’imposizione di specifiche prescrizioni o condizioni. Qualora il contratto sia stato stipulato antecedentemente alla conclusione dei test imposti dal CVCN, il termine di cui al primo periodo decorre dalla comunicazione di esito positivo della valutazione effettuata dal CVCN Entro 30 giorni dalla notifica, il Presidente del Consiglio dei ministri comunica l’eventuale veto ovvero l’imposizione di specifiche prescrizioni o condizioni. I poteri speciali sono esercitati nella forma dell’imposizione di specifiche prescrizioni o condizioni ogniqualvolta ciò sia sufficiente ad assicurare la tutela degli interessi essenziali della difesa e della sicurezza nazionale. Decorsi i predetti termini, i poteri speciali si intendono non esercitati. Qualora si renda necessario richiedere informazioni all’acquirente, tale termine è sospeso, per una sola volta, fino al ricevimento delle informazioni richieste, che sono rese entro il termine di dieci giorni. Qualora si renda necessario formulare richieste istruttorie a soggetti terzi, il predetto termine di trenta giorni è sospeso, per una sola volta, fino al ricevimento delle informazioni richieste, che sono rese entro il termine di venti giorni. Le richieste di informazioni e le richieste istruttorie a soggetti terzi successive alla prima non sospendono i termini. In caso di incompletezza della notifica, il termine di trenta giorni previsto dal presente comma decorre dal ricevimento delle informazioni o degli elementi che la integrano. Fermo restando quanto previsto in materia di sanzioni al presente comma, nel caso in cui l’impresa notificante abbia iniziato l’esecuzione del contratto o dell’accordo oggetto della notifica prima che sia decorso il termine per l’esercizio dei poteri speciali, ovvero abbia eseguito il contratto o accordo in violazione del decreto di esercizio dei poteri speciali, il Governo può ingiungere all’impresa di ripristinare a proprie spese la situazione anteriore. Salvo che il fatto costituisca reato, chiunque non osservi gli obblighi di notifica di cui al presente articolo ovvero le disposizioni contenute nel provvedimento di esercizio dei poteri speciali è soggetto alla sanzione amministrativa pecuniaria fino al 150 per cento del valore dell’operazione e comunque non inferiore al 25 per cento del medesimo valore. Nei casi di violazione degli obblighi di notifica di cui al presente articolo, anche in assenza della notifica, la Presidenza del Consiglio dei ministri può avviare il procedimento ai fini dell’eventuale esercizio dei poteri speciali. A tale scopo, trovano applicazione i termini e le norme procedurali previsti dal presente comma. Il termine di trenta giorni di cui al presente comma decorre dalla conclusione del procedimento di accertamento della violazione dell’obbligo di notifica”.
11. All’articolo 135 del decreto legislativo 2 luglio 2010, n. 104, dopo la lettera h), è aggiunta la seguente: “h-bis) le controversie aventi ad oggetto i provvedimenti dell’Agenzia per la cybersicurezza nazionale;”.
12. Alla legge 22 aprile 2021 , n. 53, sono apportate le seguenti modificazioni:
a) all’articolo 4, comma 1, lettera b), dopo le parole: “Ministero dello sviluppo economico” sono aggiunte le seguenti: ” e l’Agenzia per la cybersicurezza nazionale”;
b) all’articolo 18, ogni riferimento al Ministero dello sviluppo economico, ovunque ricorra, deve intendersi riferito all’Agenzia per la cybersicurezza nazionale.
13. All’articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, le parole: “L’AgID” sono sostituite dalle seguenti: “L’Agenzia per la cybersicurezza nazionale”.
14. Al decreto legislativo 1° agosto 2003, n. 259, sono apportate le seguenti modificazioni:
a) agli articoli 16-bis e 16-ter, ogni riferimento al Ministero dello sviluppo economico, ovunque ricorra, deve intendersi riferito all’Agenzia per la cybersicurezza nazionale;
b) all’articolo 16-ter, comma 1, le parole: “Ministro dello sviluppo economico” sono sostituite dalle seguenti: “Presidente del Consiglio dei ministri”;
c) all’articolo 16-ter, comma 2, lettera b), le parole: “in collaborazione con gli Ispettorati territoriali del Ministero dello sviluppo economico,” sono soppresse.
Art. 17 (Disposizioni transitorie e finli)
1. Per lo svolgimento delle funzioni ispettive, di accertamento delle violazioni e di irrogazione delle sanzioni, di cui all’articolo 7, l’Agenzia può provvedere, oltre che con proprio personale, con l’ausilio dell’organo centrale del Ministero dell’interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all’articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155.
2. Per lo svolgimento delle funzioni relative all ‘attuazione e al controllo dell’esecuzione dei provvedimenti assunti da parte del Presidente del Consiglio dei ministri ai sensi dell’articolo 5 del decreto-legge perimetro, l’Agenzia provvede con l’ausilio dell’organo centrale del Ministero dell’interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all’articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155.
3. Il personale dell’Agenzia, nello svolgimento delle funzioni ispettive, di accertamento delle violazioni e di irrogazione delle sanzioni, di cui all’articolo 7, nonché delle funzioni relative all’attuazione e al controllo dell’esecuzione dei provvedimenti assunti da parte del Presidente del Consiglio dei ministri ai sensi dell’articolo 5 del decreto-legge perimetro, riveste la qualifica di pubblico ufficiale.
4. Il personale dell’Agenzia addetto al CSIRT Italia, nello svolgimento delle proprie funzioni, riveste la qualifica di pubblico ufficiale. La trasmissione delle notifiche di incidente ricevute dal CSIRT Italia all’organo centrale del Ministero dell’interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all’articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. I 55, costituisce adempimento dell’obbligo di cui all’articolo 33 I del codice di procedura penale.
5. Con uno o più decreti del Presidente del Consiglio dei ministri di natura non regolamentare, da adottare entro centottanta giorni dalla data di entrata in vigore della legge di conversione del presente decreto, sono definiti i termini e le modalità:
a) per assicurare la prima operatività dell’Agenzia, mediante l’individuazione di appositi spazi, in via transitoria e per un massimo di ventiquattro mesi, secondo opportune intese con le amministrazioni interessate, per l’attuazione delle disposizioni del presente decreto;
b) per il trasferimento, anche mediante opportune intese con le amministrazioni interessate, delle funzioni di cui all’articolo 7, nonché per il trasferimento dei beni strumentali e della documentazione, anche di natura classificata, per l’attuazione delle disposizioni del presente decreto.
6. In relazione al trasferimento delle funzioni di cui all’articolo 7, comma 1, lettera m dall’AgID all’Agenzia, i decreti di cui al comma 5 definiscono, altresì, i raccordi tra le due amministrazioni, per le funzioni che restano di competenza di AgID.
7. Dalla data di nomina del direttore generale dell’Agenzia e fino all’adozione dei regolamenti di cui all’articolo 11 , commi 3 e 5, alle spese occorrenti per assicurare la prima operatività dell’Agenzia provvede il DIS, nell’ambito delle risorse destinate all’Agenzia. Entro 90 giorni dall’approvazione dei regolamenti di cui all’articolo 11 , commi 3 e 5, delle spese effettuate ai sensi del presente comma, il Presidente del Consiglio dei ministri ne dà informazione al COPASIR.
8. In sede di prima applicazione delle disposizioni di cui al presente decreto e per un periodo massimo di diciotto mesi dalla data di conversione in legge, l’Agenzia si avvale di un nucleo di personale, non superiore al 30 per cento della dotazione organica complessiva iniziale, di unità appartenenti al Ministero dello sviluppo economico, all’Agenzia per l’Italia digitale, al DIS, ad altre pubbliche amministrazioni e ad autorità indipendenti, messo a disposizione dell’Agenzia stessa su specifica richiesta, anche nominativa, e secondo modalità individuate mediante intese con le rispettive amministrazioni di appartenenza. Il relativo onere resta a carico dell’amministrazione di appartenenza.
9. Il regolamento di cui all ‘articolo 12, comma I , prevede apposite modalità selettive per l’nquadramento, nella misura massima del 50 per cento della dotazione organica complessiva, del personale di cui al comma 8 e del personale di cui all’articolo 12, comma 2, lettera b), ove già appartenente alla pubblica amministrazione, nel contingente di personale addetto all’Agenzia di cui al medesimo articolo 12, che tengano conto delle mansioni svolte e degli incarichi ricoperti durante il periodo di servizio presso l’Agenzia, nonché delle competenze possedute e dei requisiti di professionalità ed esperienza richiesti per le specifiche posizioni. Gli inquadramenti conseguenti alle procedure selettive di cui al presente comma, relative al personale di cui al comma 8, decorrono dal 30 settembre 2022.
10. LìAgenzia può avvalersi del patrocinio dell’Avvocatura dello Stato, ai sensi dell’rticolo 43 del testo unico approvato con regio decreto 30 ottobre 1933, n. 1611.
Art.18 (Copertura finanziaria)
[MEF]All’onere derivante dall’applicazione del presente decreto, valutato in euro … per l’anno 2021 , euro … per l’anno 2022 ed euro … a decorrere dall’anno 2022, si provvede a valere sul Fondo di cui all’art .. ..
2. Il Ministro dell’economia e delle finanze è autorizzato ad apportare, con propri decreti, le occorrenti variazioni di bilancio per l’attuazione del presente decreto.
3. I proventi delle sanzioni irrogate dall’Agenzia ai sensi di quanto previsto dal decreto legislativo NIS, dal decreto-legge perimetro e dal decreto legislativo 1° agosto 2003 , n. 259, e relative disposizioni attuative, sono versati al Fondo di cui al comma 1 del presente articolo.
Art. 19 (Entrata in vigore)
1. Il presente decreto entra in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana e sarà presentato alle Camere per la conversione in legge. Il presente decreto, munito del sigillo dello Stato, sarà inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. È fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.
Articoli correlati
Che cosa combina Stellantis a Mirafiori
Brevetto rubato a Rigenera Hbw, tutte le novità
Nelle gare d’appalto per dispositivi medici la Cina favorisce le sue aziende? A Bruxelles si indaga
Come vanno i conti di Eni
