Art. 16
Altre modificazioni
1. All'articolo 3, comma 1-bis, della ((legge 3 agosto 2007, n.
124)), dopo le parole: «della presente legge» sono aggiunte le
seguenti: «e in materia di cybersicurezza».
2. All'articolo 38 della legge n. 124 del 2007, il comma 1-bis e'
abrogato ((a decorrere dal 1° gennaio 2023.))
3. La denominazione: «CSIRT Italia» sostituisce, ad ogni effetto e
ovunque presente in provvedimenti legislativi e regolamentari, la
denominazione: «CSIRT Italiano».
4. Nel decreto-legge perimetro le parole: «Comitato
interministeriale per la sicurezza della Repubblica (CISR)» e «CISR»,
ovunque ricorrano, sono rispettivamente sostituite dalle seguenti:
«Comitato interministeriale per la cybersicurezza (CIC)» e «CIC»,
fatta eccezione per le disposizioni di cui all'articolo 5 del
medesimo decreto-legge.
5. Nel decreto-legge perimetro ogni riferimento al Dipartimento
delle informazioni per la sicurezza, o al DIS, ovunque ricorra, e' da
intendersi riferito all'Agenzia per la cybersicurezza nazionale,
((fatta eccezione per le disposizioni dell'articolo 1, commi 2,
lettera b), e 2-ter, del medesimo decreto-legge perimetro,)) e ogni
riferimento al Nucleo per la sicurezza cibernetica e' da intendersi
riferito al Nucleo per la cybersicurezza.
6. Nel decreto-legge perimetro:
a) ogni riferimento al Ministero dello sviluppo economico e alla
Presidenza del Consiglio dei ministri, ovunque ricorra, e' da
intendersi riferito all'Agenzia per la cybersicurezza nazionale;
b) all'articolo 1, comma 8, lettera a), le parole da: «definite
dalla Presidenza del Consiglio dei ministri» a: «decreto legislativo
18 maggio 2018, n. 65» sono sostituite dalle seguenti: «definite
dall'Agenzia per la cybersicurezza nazionale»;
c) all'articolo 1, comma 8, lettera b), le parole: «all'autorita'
competente» sono sostituite dalle seguenti: «autorita' nazionale
competente NIS».
7. Nei provvedimenti di natura regolamentare e amministrativa la
cui adozione e' prevista dall'articolo 1 del decreto-legge perimetro,
ogni riferimento al CISR e al DIS deve intendersi rispettivamente
riferito al CIC e all'Agenzia per la cybersicurezza nazionale.
8. Nei provvedimenti di natura regolamentare e amministrativa la
cui adozione e' prevista dall'articolo 1 del decreto-legge perimetro,
ogni riferimento al Ministero dello sviluppo economico e alla
struttura della Presidenza del Consiglio dei ministri competente per
la innovazione tecnologica e la digitalizzazione, ovunque ricorra,
deve intendersi riferito all'Agenzia per la cybersicurezza nazionale,
fatta eccezione per le disposizioni ((di cui all'articolo 3 del
decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n.
131.))
9. Al decreto-legge perimetro sono apportate le seguenti
modificazioni:
a) all'articolo 1, comma 6, lettera a), dopo il primo periodo e'
inserito il seguente: «L'obbligo di comunicazione di cui alla
presente lettera e' efficace a decorrere dal trentesimo giorno
successivo alla pubblicazione nella Gazzetta Ufficiale della
Repubblica italiana del decreto del Presidente del Consiglio dei
ministri che, sentita l'Agenzia per la cybersicurezza nazionale,
attesta l'operativita' del CVCN e comunque dal 30giugno 2022.»;
((a-bis) all'articolo 1, comma 7, lettera c), le parole:
«dell'organismo tecnico di supporto al CISR» sono sostituite dalle
seguenti: «del Tavolo interministeriale di cui all'articolo 6 del
decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n.
131»;
a-ter) all'articolo 1, comma 2, la lettera b) e' sostituita dalla
seguente:
« b) sono definiti, sulla base di un'analisi del rischio e di
un criterio di gradualita' che tenga conto delle specificita' dei
diversi settori di attivita', i criteri con i quali i soggetti di cui
al comma 2-bis predispongono e aggiornano con cadenza almeno annuale
un elenco delle reti, dei sistemi informativi e dei servizi
informatici di cui al comma 1, di rispettiva pertinenza, comprensivo
della relativa architettura e componentistica, fermo restando che,
per le reti, i sistemi informativi e i servizi informatici attinenti
alla gestione delle informazioni classificate, si applica quanto
previsto dal regolamento adottato ai sensi dell'articolo 4, comma 3,
lettera l), della legge 3 agosto 2007, n. 124; all'elaborazione di
tali criteri provvede, adottando opportuni moduli organizzativi, il
Tavolo interministeriale di cui all'articolo 6 del regolamento di cui
al decreto del Presidente del Consiglio dei ministri 30 luglio 2020,
n. 131; entro sei mesi dalla data della comunicazione, prevista dal
comma 2-bis, a ciascuno dei soggetti iscritti nell'elenco di cui al
medesimo comma, i soggetti pubblici e quelli di cui all'articolo 29
del codice dell'amministrazione digitale, di cui al decreto
legislativo 7 marzo 2005, n. 82, nonche' quelli privati, di cui al
citato comma 2-bis, trasmettono tali elenchi all'Agenzia per la
cybersicurezza nazionale, anche per le attivita' di prevenzione,
preparazione e gestione di crisi cibernetiche affidate al Nucleo per
la cybersicurezza; il Dipartimento delle informazioni per la
sicurezza, l'Agenzia informazioni e sicurezza esterna (AISE) e
l'Agenzia informazioni e sicurezza interna (AISI) ai fini
dell'esercizio delle funzioni istituzionali previste dagli articoli
1, comma 3-bis, 4, 6 e 7 della legge n. 124 del 2007, nonche'
l'organo del Ministero dell'interno per la sicurezza e per la
regolarita' dei servizi di telecomunicazione di cui all'articolo
7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con
modificazioni, dalla legge 31 luglio 2005, n. 155, accedono a tali
elenchi per il tramite della piattaforma digitale di cui all'articolo
9, comma 1, del regolamento di cui al decreto del Presidente del
Consiglio dei ministri n. 131 del 2020, costituita presso l'Agenzia
per la cybersicurezza nazionale »;
a-quater) all'articolo 1, dopo il comma 2-bis e' inserito il
seguente:
«2-ter. Gli elenchi dei soggetti di cui alla lettera a) del
comma 2 del presente articolo sono trasmessi al Dipartimento delle
informazioni per la sicurezza, che provvede anche a favore dell'AISE
e dell'AISI ai fini dell'esercizio delle funzioni istituzionali
previste dagli articoli 1, comma 3-bis, 4, 6 e 7 della legge 3 agosto
2007, n. 124»;))
b) all'articolo 3, il comma 2 e' abrogato;
c) a decorrere dalla data in cui diviene efficace l'obbligo di
comunicazione disciplinato dalla lettera a), all'articolo 3:
1) il comma 1 e' sostituito dal seguente: «1.I soggetti che
intendono procedere all'acquisizione, a qualsiasi titolo, di beni,
servizi e componenti di cui all'articolo 1-bis, comma 2, del
decreto-legge 15 marzo 2012, n.21, convertito, con modificazioni,
dalla legge 11 maggio 2012, n. 56, sono obbligati ad effettuare la
comunicazione di cui all'articolo 1, comma 6, lettera a), per lo
svolgimento delle verifiche di sicurezza da parte del CVCN sulla base
delle procedure, modalita' e termini previsti dal regolamento di
attuazione. Ai fornitori ((dei predetti)) beni, servizi e componenti
si applica l'articolo 1, comma 6, lettera b).»;
2) il comma 3 e' abrogato;
10. A decorrere dalla data in cui diviene efficace l'obbligo di
comunicazione disciplinato dal comma 9, lettera a), al decreto-legge
15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11
maggio 2012, n. 56, il comma 3-bis dell'articolo 1-bis e' sostituito
dal seguente: «3-bis. Entro dieci giorni dalla conclusione di un
contratto o accordo di cui al comma 2, l'impresa che ha acquisito, a
qualsiasi titolo, i beni o i servizi di cui allo stesso comma
notifica alla Presidenza del Consiglio dei ministri un'informativa
completa, contenente anche la comunicazione del Centro di valutazione
e certificazione nazionale (CVCN), relativa all'esito della
valutazione e alle eventuali prescrizioni, in modo da consentire
l'eventuale esercizio del potere di veto o l'imposizione di
specifiche prescrizioni o condizioni. Qualora il contratto sia stato
stipulato antecedentemente alla conclusione dei test imposti dal
CVCN, il termine di cui al primo periodo decorre dalla comunicazione
di esito positivo della valutazione effettuata dal CVCN. Entro trenta
giorni dalla notifica, il Presidente del Consiglio dei ministri
comunica l'eventuale veto ovvero l'imposizione di specifiche
prescrizioni o condizioni. I poteri speciali sono esercitati nella
forma dell'imposizione di specifiche prescrizioni o condizioni
ogniqualvolta cio' sia sufficiente ad assicurare la tutela degli
interessi essenziali della difesa e della sicurezza nazionale.
Decorsi i predetti termini, i poteri speciali si intendono non
esercitati. Qualora si renda necessario richiedere informazioni
all'acquirente, tale termine e' sospeso, per una sola volta, fino al
ricevimento delle informazioni richieste, che sono rese entro il
termine di dieci giorni. Qualora si renda necessario formulare
richieste istruttorie a soggetti terzi, il predetto termine di trenta
giorni e' sospeso, per una sola volta, fino al ricevimento delle
informazioni richieste, che sono rese entro il termine di venti
giorni. Le richieste di informazioni e le richieste istruttorie a
soggetti terzi successive alla prima non sospendono i termini. In
caso di incompletezza della notifica, il termine di trenta giorni
previsto dal presente comma decorre dal ricevimento delle
informazioni o degli elementi che la integrano. Fermo restando quanto
previsto in materia di sanzioni al presente comma, nel caso in cui
l'impresa notificante abbia iniziato l'esecuzione del contratto o
dell'accordo oggetto della notifica prima che sia decorso il termine
per l'esercizio dei poteri speciali, ovvero abbia eseguito il
contratto o accordo in violazione del decreto di esercizio dei poteri
speciali, il Governo puo' ingiungere all'impresa di ripristinare a
proprie spese la situazione anteriore. Salvo che il fatto costituisca
reato, chiunque non osservi gli obblighi di notifica di cui al
presente articolo ovvero le disposizioni contenute nel provvedimento
di esercizio dei poteri speciali e' soggetto alla sanzione
amministrativa pecuniaria ((del pagamento di una somma)) fino al 150
per cento del valore dell'operazione e comunque non inferiore al 25
per cento del medesimo valore. Nei casi di violazione degli obblighi
di notifica di cui al presente articolo, anche in assenza della
notifica, la Presidenza del Consiglio dei ministri puo' avviare il
procedimento ai fini dell'eventuale esercizio dei poteri speciali. A
tale scopo, trovano applicazione i termini e le norme procedurali
previsti dal presente comma. Il termine di trenta giorni di cui al
presente comma decorre dalla conclusione del procedimento di
accertamento della violazione dell'obbligo di notifica».
11. All'articolo ((135, comma 1, del Codice del processo
amministrativo, di cui all'allegato 1 al decreto legislativo)) 2
luglio 2010, n. 104, dopo la lettera h), e' aggiunta la seguente:
«h-bis) le controversie aventi ad oggetto i provvedimenti
dell'Agenzia per la cybersicurezza nazionale;» ((e alla lettera o) le
parole: «e dell'AISE» sono sostituite dalle seguenti: «, dell'AISE e
dell'Agenzia per la cybersicurezza nazionale».))
12. Alla legge 22 aprile 2021, n. 53, sono apportate le seguenti
modificazioni:
a) all'articolo 4, comma 1, lettera b), dopo le parole:
«Ministero dello sviluppo economico» sono aggiunte le seguenti: «e
l'Agenzia perla cybersicurezza nazionale»;
b) all'articolo 18, ogni riferimento al Ministero dello sviluppo
economico, ovunque ricorra, deve intendersi riferito all'Agenzia per
la cybersicurezza nazionale.
13. All'articolo 33-septies, comma 4, del decreto-legge 18 ottobre
2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre
2012, n. 221, le parole: «L'AgID» sono sostituite dalle seguenti:
«L'Agenzia per la cybersicurezza nazionale» ((e sono aggiunte,
infine, le seguenti parole: «nonche' le modalita' del procedimento di
qualificazione dei servizi cluod per la pubblica amministrazione».))
14. Al decreto legislativo 1° agosto 2003, n. 259, sono apportate
le seguenti modificazioni:
a) agli articoli 16-bis e 16-ter, ogni riferimento al Ministero
dello sviluppo economico, ovunque ricorra, deve intendersi riferito
all'Agenzia per la cybersicurezza nazionale;
b) all'articolo 16-ter, comma 1, le parole: «Ministro dello
sviluppo economico» sono sostituite dalle seguenti: «Presidente del
Consiglio dei ministri»;
c) all'articolo 16-ter, comma 2, lettera b), le parole: «, in
collaborazione con gli Ispettorati territoriali del Ministero dello
sviluppo economico,» sono soppresse.
Riferimenti normativi
- Per il testo dell'articolo 3, comma 1-bis, della
citata legge n. 124 del 2007, come modificato dalla
presente legge, si veda nei riferimenti normativi
all'articolo 3.
- Si riporta il testo dell'articolo 38 della citata
legge n. 124 del 2007, come modificato dalla presente
legge:
«Art. 38 (Relazione al Parlamento). - 1. Entro il
mese di febbraio di ogni anno il Governo trasmette al
Parlamento una relazione scritta, riferita all'anno
precedente, sulla politica dell'informazione per la
sicurezza e sui risultati ottenuti.
1-bis. (Abrogato a decorrere dal 1° gennaio 2023).».
- Per il testo dell'articolo 5 della citata legge n.
124 del 2007, si veda nei riferimenti normativi
all'articolo 1.
- Si riporta il testo dell'articolo 1, comma 2,
lett.b), del citato decreto-legge n. 105 del 2019:
«Art. 1 (Perimetro di sicurezza nazionale
cibernetica). - 1.(Omissis).
2. Entro quattro mesi dalla data di entrata in vigore
della legge di conversione del presente decreto, con
decreto del Presidente del Consiglio dei ministri, adottato
su proposta del Comitato interministeriale per la
cybersicurezza (CIC):
a) (Omissis)
b) sono definiti, sulla base di un'analisi del
rischio e di un criterio di gradualita' che tenga conto
delle specificita' dei diversi settori di attivita', i
criteri con i quali i soggetti di cui al comma 2-bis
predispongono e aggiornano con cadenza almeno annuale un
elenco delle reti, dei sistemi informativi e dei servizi
informatici di cui al comma 1, di rispettiva pertinenza,
comprensivo della relativa architettura e componentistica,
fermo restando che, per le reti, i sistemi informativi e i
servizi informatici attinenti alla gestione delle
informazioni classificate, si applica quanto previsto dal
regolamento adottato ai sensi dell'articolo 4, comma 3,
lettera l), della legge 3 agosto 2007, n. 124;
all'elaborazione di tali criteri provvede, adottando
opportuni moduli organizzativi, l'organismo tecnico di
supporto al CIC, integrato con un rappresentante della
Presidenza del Consiglio dei ministri; entro sei mesi dalla
data della comunicazione, prevista dal comma 2-bis, a
ciascuno dei soggetti iscritti nell'elenco di cui al
medesimo comma, i soggetti pubblici e quelli di cui
all'articolo 29 del codice dell'amministrazione digitale,
di cui al decreto legislativo 7 marzo 2005, n. 82, nonche'
quelli privati, di cui al comma 2-bis trasmettono tali
elenchi, rispettivamente, alla Presidenza del Consiglio dei
ministri e al Ministero dello sviluppo economico; la
Presidenza del Consiglio dei ministri e il Ministero dello
sviluppo economico inoltrano gli elenchi di rispettiva
pertinenza al Dipartimento delle informazioni per la
sicurezza, anche per le attivita' di prevenzione,
preparazione e gestione di crisi cibernetiche affidate al
Nucleo per la sicurezza cibernetica, nonche' all'organo del
Ministero dell'interno per la sicurezza e la regolarita'
dei servizi di telecomunicazione di cui all'articolo 7-bis
del decreto-legge 27 luglio 2005, n. 144, convertito, con
modificazioni, dalla legge 31 luglio 2005, n. 155.».
- Si riporta il testo dell'articolo 1, comma 8, del
citato decreto-legge n. 105 del 2019, come modificato dalla
presente legge:
«Art. 1 (Perimetro di sicurezza nazionale
cibernetica). - 8. I soggetti di cui agli articoli 12 e 14
del decreto legislativo 18 maggio 2018, n. 65, e quelli di
cui all'articolo 16-ter, comma 2, del codice delle
comunicazioni elettroniche di cui al decreto legislativo 1°
agosto 2003, n. 259, inclusi nel perimetro di sicurezza
nazionale cibernetica:
a) osservano le misure di sicurezza previste,
rispettivamente, dai predetti decreti legislativi, ove di
livello almeno equivalente a quelle adottate ai sensi del
comma 3, lettera b), del presente articolo; le eventuali
misure aggiuntive necessarie al fine di assicurare i
livelli di sicurezza previsti dal presente decreto
sono((definite dall'Agenzia per la cybersicurezza
nazionale)), di cui al comma 2-bis, e dal Ministero dello
sviluppo economico per i soggetti privati di cui al
medesimo comma, avvalendosi anche del CVCN; il Ministero
dello sviluppo economico e la Presidenza del Consiglio dei
ministri si raccordano, ove necessario, con le autorita'
competenti di cui all'articolo 7 del decreto legislativo 18
maggio 2018, n. 65;
b) assolvono l'obbligo di notifica di cui al comma
3, lettera a), che costituisce anche adempimento,
rispettivamente, dell'obbligo di notifica di cui agli
articoli 12 e 14 del decreto legislativo 18 maggio 2018, n.
65, e dell'analogo obbligo previsto ai sensi dell'articolo
16-ter del codice di cui al decreto legislativo 1° agosto
2003, n. 259, e delle correlate disposizioni attuative; a
tal fine, oltre a quanto previsto dal comma 3, lettera a),
anche in relazione alle disposizioni di cui all'articolo
16-ter del codice di cui al decreto legislativo 1°agosto
2003, n. 259, il CSIRT Italia inoltra le notifiche ricevute
ai sensi del predetto comma 3, lettera a), ((autorita'
nazionale competente NIS)) di cui all'articolo 7 del
decreto legislativo 18 maggio 2018, n. 65.».
- Per il testo dell'articolo 3 del citato decreto del
Presidente del Consiglio dei ministri n. 131 del 2020, si
rinvia ai riferimenti normativi all'articolo 7.
- Il testo dell'articolo 1, comma 6, lett. a) e comma
7, lettera c), del citato decreto-legge n. 105 del 2019,
come modificato dalla presente legge, e' il seguente:
«Art. 1 (Perimetro di sicurezza nazionale
cibernetica). - (Omissis).
6. Con regolamento, adottato ai sensi dell'articolo
17, comma 1, della legge 23 agosto 1988, n. 400, entro
dieci mesi dalla data di entrata in vigore della legge di
conversione del presente decreto, sono disciplinati le
procedure, le modalita' e i termini con cui:
a) i soggetti di cui al comma 2-bis, che intendano
procedere, anche per il tramite delle centrali di
committenza alle quali essi sono tenuti a fare ricorso ai
sensi dell'articolo 1, comma 512, della legge 28 dicembre
2015, n. 208, all'affidamento di forniture di beni, sistemi
e servizi ICT destinati a essere impiegati sulle reti, sui
sistemi informativi e per l'espletamento dei servizi
informatici di cui al comma 2, lettera b), appartenenti a
categorie individuate, sulla base di criteri di natura
tecnica, con decreto del Presidente del Consiglio dei
ministri, da adottare entro dieci mesi dalla data di
entrata in vigore della legge di conversione del presente
decreto, ne danno comunicazione al Centro di valutazione e
certificazione nazionale (CVCN), istituito presso il
Ministero dello sviluppo economico; la comunicazione
comprende anche la valutazione del rischio associato
all'oggetto della fornitura, anche in relazione all'ambito
di impiego. ((L'obbligo di comunicazione di cui alla
presente lettera e' efficace a decorrere dal trentesimo
giorno successivo alla pubblicazione nella Gazzetta
Ufficiale della Repubblica italiana del decreto del
Presidente del Consiglio dei ministri che, sentita
l'Agenzia per la cybersicurezza nazionale, attesta
l'operativita' del CVCN e comunque dal 30 giugno 2022.))
Entro quarantacinque giorni dalla ricezione della
comunicazione, prorogabili di quindici giorni, una sola
volta, in caso di particolare complessita', il CVCN puo'
effettuare verifiche preliminari ed imporre condizioni e
test di hardware e software da compiere anche in
collaborazione con i soggetti di cui al comma 2-bis,
secondo un approccio gradualmente crescente nelle verifiche
di sicurezza. Decorso il termine di cui al precedente
periodo senza che il CVCN si sia pronunciato, i soggetti
che hanno effettuato la comunicazione possono proseguire
nella procedura di affidamento. In caso di imposizione di
condizioni e test di hardware e software, i relativi bandi
di gara e contratti sono integrati con clausole che
condizionano, sospensivamente ovvero risolutivamente, il
contratto al rispetto delle condizioni e all'esito
favorevole dei test disposti dal CVCN. I test devono essere
conclusi nel termine di sessanta giorni. Decorso il termine
di cui al precedente periodo, i soggetti che hanno
effettuato la comunicazione possono proseguire nella
procedura di affidamento. In relazione alla specificita'
delle forniture di beni, sistemi e servizi ICT da impiegare
su reti, sistemi informativi e servizi informatici del
Ministero dell'interno e del Ministero della difesa,
individuati ai sensi del comma 2, lettera b), i predetti
Ministeri, nell'ambito delle risorse umane e finanziarie
disponibili a legislazione vigente e senza nuovi o maggiori
oneri a carico della finanza pubblica, in coerenza con
quanto previsto dal presente decreto, possono procedere,
con le medesime modalita' e i medesimi termini previsti dai
periodi precedenti, attraverso la comunicazione ai propri
Centri di valutazione accreditati per le attivita' di cui
al presente decreto, ai sensi del comma 7, lettera b), che
impiegano le metodologie di verifica e di test definite dal
CVCN. Per tali casi i predetti Centri informano il CVCN con
le modalita' stabilite con il decreto del Presidente del
Consiglio dei ministri, di cui al comma 7, lettera b). Non
sono oggetto di comunicazione gli affidamenti delle
forniture di beni, sistemi e servizi ICT destinate alle
reti, ai sistemi informativi e ai servizi informatici per
lo svolgimento delle attivita' di prevenzione, accertamento
e repressione dei reati e i casi di deroga stabiliti dal
medesimo regolamento con riguardo alle forniture di beni,
sistemi e servizi ICT per le quali sia indispensabile
procedere in sede estera, fermo restando, in entrambi i
casi, l'utilizzo di beni, sistemi e servizi ICT conformi ai
livelli di sicurezza di cui al comma 3, lettera b), salvo
motivate esigenze connesse agli specifici impieghi cui essi
sono destinati;
(Omissis);
7. Nell'ambito dell'approvvigionamento di prodotti,
processi, servizi ICT e associate infrastrutture destinati
alle reti, ai sistemi informativi e per l'espletamento dei
servizi informatici di cui al comma 2, lettera b), il CVCN
assume i seguenti compiti:
a) - b (Omissis).
c) elabora e adotta, previo conforme avviso ((del
Tavolo interministeriale di cui all'articolo 6 del decreto
del Presidente del Consiglio dei ministri 30 luglio 2020,
n. 131)), schemi di certificazione cibernetica, tenendo
conto degli standard definiti a livello internazionale e
dell'Unione europea, laddove, per ragioni di sicurezza
nazionale, gli schemi di certificazione esistenti non siano
ritenuti adeguati alle esigenze di tutela del perimetro di
sicurezza nazionale cibernetica.».
- Si riporta il testo dell'articolo 3, commi 1, 2 e 3
del citato decreto-legge n. 105 del 2019, come modificato
dalla presente legge:
«Art. 3 (Disposizioni in materia di reti di
telecomunicazione elettronica a banda larga con
tecnologia). - ((1. I soggetti che intendono procedere
all'acquisizione, a qualsiasi titolo, di beni, servizi e
componenti di cui all'articolo 1-bis, comma 2, del
decreto-legge 15 marzo 2012, n. 21, convertito, con
modificazioni, dalla legge 11 maggio 2012, n. 56, sono
obbligati ad effettuare la comunicazione di cui
all'articolo 1, comma 6, lettera a), per lo svolgimento
delle verifiche di sicurezza da parte del CVCN sulla base
delle procedure, modalita' e termini previsti dal
regolamento di attuazione. Ai fornitori dei predetti beni,
servizi e componenti si applica l'articolo 1, comma 6,
lettera b).))
2. - 3. (Abrogati).».
- Si riporta il testo dell'articolo 1-bis, comma 3-bis,
del citato decreto-legge n. 21 del 2012, come modificato
dalla presente legge:
«Art. 1-bis (Poteri speciali inerenti le reti di
telecomunicazione elettronica a banda larga con tecnologia
5G). - (Omissis).
((3-bis. Entro dieci giorni dalla conclusione di un
contratto o accordo di cui al comma 2, l'impresa che ha
acquisito, a qualsiasi titolo, i beni o i servizi di cui
allo stesso comma notifica alla Presidenza del Consiglio
dei ministri un'informativa completa, contenente anche la
comunicazione del Centro di valutazione e certificazione
nazionale (CVCN), relativa all'esito della valutazione e
alle eventuali prescrizioni, in modo da consentire
l'eventuale esercizio del potere di veto o l'imposizione di
specifiche prescrizioni o condizioni. Qualora il contratto
sia stato stipulato antecedentemente alla conclusione dei
test imposti dal CVCN, il termine di cui al primo periodo
decorre dalla comunicazione di esito positivo della
valutazione effettuata dal CVCN. Entro trenta giorni dalla
notifica, il Presidente del Consiglio dei ministri comunica
l'eventuale veto ovvero l'imposizione di specifiche
prescrizioni o condizioni. I poteri speciali sono
esercitati nella forma dell'imposizione di specifiche
prescrizioni o condizioni ogniqualvolta cio' sia
sufficiente ad assicurare la tutela degli interessi
essenziali della difesa e della sicurezza nazionale.
Decorsi i predetti termini, i poteri speciali si intendono
non esercitati. Qualora si renda necessario richiedere
informazioni all'acquirente, tale termine e' sospeso, per
una sola volta, fino al ricevimento delle informazioni
richieste, che sono rese entro il termine di dieci giorni.
Qualora si renda necessario formulare richieste istruttorie
a soggetti terzi, il predetto termine di trenta giorni e'
sospeso, per una sola volta, fino al ricevimento delle
informazioni richieste, che sono rese entro il termine di
venti giorni. Le richieste di informazioni e le richieste
istruttorie a soggetti terzi successive alla prima non
sospendono i termini. In caso di incompletezza della
notifica, il termine di trenta giorni previsto dal presente
comma decorre dal ricevimento delle informazioni o degli
elementi che la integrano. Fermo restando quanto previsto
in materia di sanzioni al presente comma, nel caso in cui
l'impresa notificante abbia iniziato l'esecuzione del
contratto o dell'accordo oggetto della notifica prima che
sia decorso il termine per l'esercizio dei poteri speciali,
ovvero abbia eseguito il contratto o accordo in violazione
del decreto di esercizio dei poteri speciali, il Governo
puo' ingiungere all'impresa di ripristinare a proprie spese
la situazione anteriore. Salvo che il fatto costituisca
reato, chiunque non osservi gli obblighi di notifica di cui
al presente articolo ovvero le disposizioni contenute nel
provvedimento di esercizio dei poteri speciali e' soggetto
alla sanzione amministrativa pecuniaria del pagamento di
una somma fino al 150 per cento del valore dell'operazione
e comunque non inferiore al 25 per cento del medesimo
valore. Nei casi di violazione degli obblighi di notifica
di cui al presente articolo, anche in assenza della
notifica, la Presidenza del Consiglio dei ministri puo'
avviare il procedimento ai fini dell'eventuale esercizio
dei poteri speciali. A tale scopo, trovano applicazione i
termini e le norme procedurali previsti dal presente comma.
Il termine di trenta giorni di cui al presente comma
decorre dalla conclusione del procedimento di accertamento
della violazione dell'obbligo di notifica.».))
- Si riporta l'articolo 135, comma 1, del decreto
legislativo 2 luglio 2010, n. 104 (Attuazione dell'articolo
44 della legge 18 giugno 2009, n. 69, recante delega al
governo per il riordino del processo amministrativo),
pubblicato nella Gazzetta Ufficiale 7 luglio 2010, n. 156,
S.O., come modificato dalla presente legge:
«Art. 135 (Competenza funzionale inderogabile del
Tribunale amministrativo regionale del Lazio, sede di
Roma). - 1. Sono devolute alla competenza inderogabile del
Tribunale amministrativo regionale del Lazio, sede di Roma,
salvo ulteriori previsioni di legge:
a) le controversie relative ai provvedimenti
riguardanti i magistrati ordinari adottati ai sensi
dell'articolo 17, primo comma, della legge 24 marzo 1958,
n. 195, nonche' quelle relative ai provvedimenti
riguardanti i magistrati amministrativi adottati dal
Consiglio di Presidenza della Giustizia Amministrativa;
b) le controversie aventi ad oggetto i
provvedimenti dell'Autorita' garante per la concorrenza ed
il mercato e quelli dell'Autorita' per le garanzie nelle
comunicazioni;
c) le controversie di cui all'articolo 133, comma
1, lettera l) , fatta eccezione per quelle di cui
all'articolo 14, comma 2, nonche' le controversie di cui
all'articolo 104, comma 2, del testo unico delle leggi in
materia bancaria e creditizia, di cui al decreto
legislativo 1° settembre 1993, n. 385;
d) le controversie contro i provvedimenti
ministeriali di cui all'articolo 133, comma 1, lettera m),
nonche' i giudizi riguardanti l'assegnazione di diritti
d'uso delle frequenze, la gara e le altre procedure di cui
ai commi da 8 al 13 dell'articolo 1, della legge 13
dicembre 2010, n. 220, incluse le procedure di cui
all'articolo 4 del decreto-legge 31 marzo 2011, n. 34,
convertito, con modificazioni, dalla legge 26 maggio 2011,
n. 75;
e) le controversie aventi ad oggetto le ordinanze e
i provvedimenti commissariali adottati in tutte le
situazioni di emergenza dichiarate ai sensi dell'articolo
5, comma 1, della legge 24 febbraio 1992, n. 225 nonche'
gli atti, i provvedimenti e le ordinanze emanati ai sensi
dell'articolo 5, commi 2 e 4 della medesima legge n. 225
del 1992;
f) le controversie di cui all'articolo 133, comma
1, lettera o) , limitatamente a quelle concernenti la
produzione di energia elettrica da fonte nucleare, i
rigassificatori, i gasdotti di importazione, le centrali
termoelettriche di potenza termica superiore a 400 MW
nonche' quelle relative ad infrastrutture di trasporto
ricomprese o da ricomprendere nella rete di trasmissione
nazionale o rete nazionale di gasdotti, salvo quanto
previsto dall'articolo 14, comma 2;
g) le controversie di cui all'articolo 133, comma
1, lettera z);
h) le controversie relative all'esercizio dei
poteri speciali inerenti alle attivita' di rilevanza
strategica nei settori della difesa e della sicurezza
nazionale e nei settori dell'energia, dei trasporti e delle
comunicazioni;
((h-bis) le controversie aventi ad oggetto i
provvedimenti dell'Agenzia per la cybersicurezza
nazionale;))
i) le controversie aventi ad oggetto i
provvedimenti di espulsione di cittadini extracomunitari
per motivi di ordine pubblico o di sicurezza dello Stato;
l) le controversie avverso i provvedimenti di
allontanamento di cittadini comunitari per motivi di
sicurezza dello Stato o per motivi di ordine pubblico di
cui all'articolo 20, comma 1, del decreto legislativo 6
febbraio 2007, n. 30, e successive modificazioni;
m) le controversie avverso i provvedimenti previsti
dal decreto legislativo 22 giugno 2007, n. 109;
n) le controversie disciplinate dal presente codice
relative alle elezioni dei membri del Parlamento europeo
spettanti all'Italia;
o) le controversie relative al rapporto di lavoro
del personale del DIS, ((dell'AISI, dell'AISE e
dell'Agenzia per la cybersicurezza nazionale));
p) le controversie attribuite alla giurisdizione
del giudice amministrativo derivanti dall'applicazione del
Titolo II del Libro III del decreto legislativo 6 settembre
2011, n. 159, relative all'Agenzia nazionale per
l'amministrazione e la destinazione dei beni sequestrati e
confiscati alla criminalita' organizzata;
q) le controversie relative ai provvedimenti
adottati ai sensi degliarticoli 142e143 del testo unico
delle leggi sull'ordinamento degli enti locali, di cui al
decreto legislativo 18 agosto 2000, n. 267;
q-bis) le controversie di cui all'articolo 133,
comma 1, lettera z-bis);
q-ter) le controversie di cui all'articolo 133,
comma 1, lettera z-ter);
q-quater) le controversie aventi ad oggetto i
provvedimenti emessi dall'Amministrazione autonoma dei
monopoli di Stato in materia di giochi pubblici con vincita
in denaro e quelli emessi dall'Autorita' di polizia
relativi al rilascio di autorizzazioni in materia di giochi
pubblici con vincita in denaro;
q-quinquies) le controversie relative alle
decisioni adottate ai sensi dell'articolo 24, paragrafo 2,
lettera b), del regolamento (CE) n. 1987/2006 del
Parlamento europeo e del Consiglio del 20 dicembre 2006
sull'istituzione, l'esercizio e l'uso del sistema
d'informazione Schengen di seconda generazione (SIS II);
q-sexies) le controversie relative ai provvedimenti
di ammissione ed esclusione dalle competizioni
professionistiche delle societa' o associazioni sportive
professionistiche, o comunque incidenti sulla
partecipazione a competizioni professionistiche.
2. Restano esclusi dai casi di competenza
inderogabile di cui al comma 1 le controversie sui rapporti
di lavoro dei pubblici dipendenti, salvo quelle di cui alla
lettera o) dello stesso comma 1.».
- Si riporta l'articolo 4, comma 1, lett. b), della
legge 22 aprile 2021, n. 53 (Delega al Governo per il
recepimento delle direttive europee e l'attuazione di altri
atti dell'Unione europea - Legge di delegazione europea
2019-2020), pubblicata nella Gazzetta Ufficiale 23 aprile
2021, n. 97, come modificato dalla presente legge:
«Art. 4 (Principi e criteri direttivi per
l'attuazione della direttiva (UE) 2018/1972, che istituisce
il codice europeo delle comunicazioni elettroniche). -
Nell'esercizio della delega per l'attuazione della
direttiva (UE) 2018/1972 del Parlamento europeo e del
Consiglio, dell'11 dicembre 2018, il Governo osserva, oltre
ai principi e criteri direttivi generali di cui
all'articolo 32 della legge n. 234 del 2012, anche i
seguenti principi e criteri direttivi specifici:
a) (Omissis)
b) prevedere l'assegnazione delle nuove competenze
affidate all'Autorita' per le garanzie nelle comunicazioni
quale Autorita' nazionale indipendente di regolamentazione
del settore e alle altre autorita' amministrative
competenti, tra cui il Ministero dello sviluppo economico
((e l'Agenzia per la cybersicurezza nazionale)), nel
rispetto del principio di stabilita' dell'attuale riparto
di competenze sancito dall'articolo 5 della direttiva (UE)
2018/1972;».