Art. 29 
 
              Rafforzamento della disciplina ((cyber)) 
 
  1. Al fine di prevenire pregiudizi alla sicurezza delle  reti,  dei
sistemi informativi e dei servizi informatici  delle  amministrazioni
pubbliche di cui all'articolo 1, comma 2, del decreto legislativo  30
marzo 2001, n. 165, derivanti dal rischio che le aziende  produttrici
di prodotti e servizi tecnologici  di  sicurezza  informatica  legate
alla Federazione Russa non  siano  in  grado  di  fornire  servizi  e
aggiornamenti  ai  propri  prodotti   appartenenti   alle   categorie
individuate al comma  3,  in  conseguenza  della  crisi  in  Ucraina,
((nonche' al fine di prevenire possibili pregiudizi per la  sicurezza
nazionale nello spazio  cibernetico,))  le  medesime  amministrazioni
procedono tempestivamente alla diversificazione dei prodotti in uso. 
  2. Fermo restando quanto previsto dall'articolo 1, comma 2, lettera
a),  del  decreto-legge  16  luglio  2020,  n.  76,  convertito,  con
modificazioni, dalla legge 11 settembre 2020,  n.  120,  le  stazioni
appaltanti,  che  procedono  ai  sensi  del   comma   1,   provvedono
all'acquisto di un  ulteriore  prodotto  o  servizio  tecnologico  di
sicurezza informatica di  cui  al  comma  3  e  connessi  servizi  di
supporto mediante gli strumenti  di  acquisto  messi  a  disposizione
dalle centrali di committenza, ovvero, laddove non sussistano  o  non
siano comunque disponibili nell'ambito di tali strumenti, mediante la
procedura negoziata senza  previa  pubblicazione  del  bando  di  cui
((all'articolo 63 del  codice  dei  contratti  pubblici,  di  cui  al
decreto legislativo 18 aprile)) 2016, n. 50, anche in deroga a quanto
disposto dal comma 6, secondo periodo, del medesimo articolo 63. 
  ((2-bis. Al  fine  di  garantire  l'effettiva  tempestivita'  delle
misure di cui ai commi 1 e 2: 
  a) le centrali di committenza  di  cui  al  comma  2,  tramite  gli
organismi di direzione tecnica previsti per  ciascuna  convenzione  o
accordo quadro che abbia ad oggetto la  fornitura  di  servizi  e  di
prodotti atti a sostituire quelli  di  cui  al  comma  1,  consentono
l'aggiornamento delle offerte  mediante  l'inserimento  di  ulteriori
prodotti idonei alle finalita' di cui al presente  articolo,  di  cui
sia valutata la sostenibilita' e che contribuiscano al  conseguimento
dell'autonomia tecnologica nazionale ed europea; 
  b) all'articolo 31-bis, comma 1, del decreto-legge 16 luglio  2020,
n. 76, convertito, con modificazioni, dalla legge 11 settembre  2020,
n. 120, le parole: «e che alla medesima data risultino esauriti» sono
soppresse. 
  3. Ai fini di cui al comma 1, e'  adottata  apposita  circolare  da
parte dell'Agenzia per la cybersicurezza nazionale, anche sulla  base
degli elementi forniti nell'ambito del Nucleo per  la  cybersicurezza
di cui all'articolo 8, comma 1, del decreto-legge 14 giugno 2021,  n.
82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109,
nella composizione di cui al comma 4 del medesimo articolo  8,  nella
quale sono altresi' indicate, ferma restando  la  responsabilita'  di
ciascuna amministrazione, le principali raccomandazioni  procedurali.
Nella  predetta  circolare  sono  ricomprese,  in   particolare,   le
categorie di prodotti e servizi,  ivi  incluse  le  relative  aziende
produttrici o fornitrici, di cui al comma 1,)) tra  quelle  volte  ad
assicurare le seguenti funzioni di sicurezza: 
    a) sicurezza dei dispositivi (endpoint  security),  ivi  compresi
applicativi  antivirus,  antimalware  ed  «endpoint   detection   and
response» (EDR); 
    b) «web application firewall» (WAF). 
  4. Dall'attuazione dei commi 1, 2 e  3  non  derivano  effetti  che
possano costituire presupposto per l'azione di responsabilita' di cui
all'articolo 1 della legge 14 gennaio 1994, n. 20. Le amministrazioni
interessate provvedono agli adempimenti previsti dai commi 1, 2  e  3
con  le  risorse  umane,  finanziarie  e  strumentali  disponibili  a
legislazione vigente. 
  5. All'articolo 5, comma 1, del decreto-legge 21 settembre 2019, n.
105, convertito, con modificazioni, dalla legge 18 novembre 2019,  n.
133, dopo le parole «fattore di rischio o alla sua mitigazione,» sono
inserite le seguenti: «in deroga ad ogni  disposizione  vigente,  nel
rispetto dei principi generali dell'ordinamento giuridico e» ((e dopo
il  primo  periodo))  sono  aggiunti  i  seguenti:   «Laddove   nelle
determinazioni di cui al presente comma sia recata deroga alle  leggi
vigenti anche ai fini delle  ulteriori  necessarie  misure  correlate
alla disattivazione  o  all'interruzione,  le  stesse  determinazioni
devono contenere  l'indicazione  delle  principali  norme  a  cui  si
intende  derogare  e  tali  deroghe  devono   essere   specificamente
motivate. Le determinazioni di  cui  al  presente  comma  ((non  sono
soggette))  al  controllo   preventivo   di   legittimita'   di   cui
all'articolo 3 della legge 14 gennaio 1994, n. 20.». 
  6. Al fine di consentire  il  piu'  rapido  avvio  delle  attivita'
strumentali  alla  tutela  della  sicurezza  nazionale  nello  spazio
cibernetico, all'articolo 12 del decreto-legge 14 giugno 2021, n. 82,
convertito, con modificazioni, dalla legge 4  agosto  2021,  n.  109,
dopo il comma 8 e' aggiunto il seguente: «8-bis.  In  relazione  alle
assunzioni a tempo determinato di cui  al  comma  2,  lettera  b),  i
relativi contratti per  lo  svolgimento  delle  funzioni  volte  alla
tutela della sicurezza nazionale nello spazio cibernetico  attribuite
all'Agenzia possono prevedere una durata  massima  di  quattro  anni,
rinnovabile  per  periodi  non  superiori  ad  ulteriori  complessivi
quattro anni. Delle assunzioni e dei rinnovi disposti  ai  sensi  del
presente comma e' data comunicazione  al  COPASIR  nell'ambito  della
relazione di cui all'articolo 14, comma 2.».