Art. 16 Altre modificazioni 1. All'articolo 3, comma 1-bis, della ((legge 3 agosto 2007, n. 124)), dopo le parole: «della presente legge» sono aggiunte le seguenti: «e in materia di cybersicurezza». 2. All'articolo 38 della legge n. 124 del 2007, il comma 1-bis e' abrogato ((a decorrere dal 1° gennaio 2023.)) 3. La denominazione: «CSIRT Italia» sostituisce, ad ogni effetto e ovunque presente in provvedimenti legislativi e regolamentari, la denominazione: «CSIRT Italiano». 4. Nel decreto-legge perimetro le parole: «Comitato interministeriale per la sicurezza della Repubblica (CISR)» e «CISR», ovunque ricorrano, sono rispettivamente sostituite dalle seguenti: «Comitato interministeriale per la cybersicurezza (CIC)» e «CIC», fatta eccezione per le disposizioni di cui all'articolo 5 del medesimo decreto-legge. 5. Nel decreto-legge perimetro ogni riferimento al Dipartimento delle informazioni per la sicurezza, o al DIS, ovunque ricorra, e' da intendersi riferito all'Agenzia per la cybersicurezza nazionale, ((fatta eccezione per le disposizioni dell'articolo 1, commi 2, lettera b), e 2-ter, del medesimo decreto-legge perimetro,)) e ogni riferimento al Nucleo per la sicurezza cibernetica e' da intendersi riferito al Nucleo per la cybersicurezza. 6. Nel decreto-legge perimetro: a) ogni riferimento al Ministero dello sviluppo economico e alla Presidenza del Consiglio dei ministri, ovunque ricorra, e' da intendersi riferito all'Agenzia per la cybersicurezza nazionale; b) all'articolo 1, comma 8, lettera a), le parole da: «definite dalla Presidenza del Consiglio dei ministri» a: «decreto legislativo 18 maggio 2018, n. 65» sono sostituite dalle seguenti: «definite dall'Agenzia per la cybersicurezza nazionale»; c) all'articolo 1, comma 8, lettera b), le parole: «all'autorita' competente» sono sostituite dalle seguenti: «autorita' nazionale competente NIS». 7. Nei provvedimenti di natura regolamentare e amministrativa la cui adozione e' prevista dall'articolo 1 del decreto-legge perimetro, ogni riferimento al CISR e al DIS deve intendersi rispettivamente riferito al CIC e all'Agenzia per la cybersicurezza nazionale. 8. Nei provvedimenti di natura regolamentare e amministrativa la cui adozione e' prevista dall'articolo 1 del decreto-legge perimetro, ogni riferimento al Ministero dello sviluppo economico e alla struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale, fatta eccezione per le disposizioni ((di cui all'articolo 3 del decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131.)) 9. Al decreto-legge perimetro sono apportate le seguenti modificazioni: a) all'articolo 1, comma 6, lettera a), dopo il primo periodo e' inserito il seguente: «L'obbligo di comunicazione di cui alla presente lettera e' efficace a decorrere dal trentesimo giorno successivo alla pubblicazione nella Gazzetta Ufficiale della Repubblica italiana del decreto del Presidente del Consiglio dei ministri che, sentita l'Agenzia per la cybersicurezza nazionale, attesta l'operativita' del CVCN e comunque dal 30giugno 2022.»; ((a-bis) all'articolo 1, comma 7, lettera c), le parole: «dell'organismo tecnico di supporto al CISR» sono sostituite dalle seguenti: «del Tavolo interministeriale di cui all'articolo 6 del decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131»; a-ter) all'articolo 1, comma 2, la lettera b) e' sostituita dalla seguente: « b) sono definiti, sulla base di un'analisi del rischio e di un criterio di gradualita' che tenga conto delle specificita' dei diversi settori di attivita', i criteri con i quali i soggetti di cui al comma 2-bis predispongono e aggiornano con cadenza almeno annuale un elenco delle reti, dei sistemi informativi e dei servizi informatici di cui al comma 1, di rispettiva pertinenza, comprensivo della relativa architettura e componentistica, fermo restando che, per le reti, i sistemi informativi e i servizi informatici attinenti alla gestione delle informazioni classificate, si applica quanto previsto dal regolamento adottato ai sensi dell'articolo 4, comma 3, lettera l), della legge 3 agosto 2007, n. 124; all'elaborazione di tali criteri provvede, adottando opportuni moduli organizzativi, il Tavolo interministeriale di cui all'articolo 6 del regolamento di cui al decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131; entro sei mesi dalla data della comunicazione, prevista dal comma 2-bis, a ciascuno dei soggetti iscritti nell'elenco di cui al medesimo comma, i soggetti pubblici e quelli di cui all'articolo 29 del codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, nonche' quelli privati, di cui al citato comma 2-bis, trasmettono tali elenchi all'Agenzia per la cybersicurezza nazionale, anche per le attivita' di prevenzione, preparazione e gestione di crisi cibernetiche affidate al Nucleo per la cybersicurezza; il Dipartimento delle informazioni per la sicurezza, l'Agenzia informazioni e sicurezza esterna (AISE) e l'Agenzia informazioni e sicurezza interna (AISI) ai fini dell'esercizio delle funzioni istituzionali previste dagli articoli 1, comma 3-bis, 4, 6 e 7 della legge n. 124 del 2007, nonche' l'organo del Ministero dell'interno per la sicurezza e per la regolarita' dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, accedono a tali elenchi per il tramite della piattaforma digitale di cui all'articolo 9, comma 1, del regolamento di cui al decreto del Presidente del Consiglio dei ministri n. 131 del 2020, costituita presso l'Agenzia per la cybersicurezza nazionale »; a-quater) all'articolo 1, dopo il comma 2-bis e' inserito il seguente: «2-ter. Gli elenchi dei soggetti di cui alla lettera a) del comma 2 del presente articolo sono trasmessi al Dipartimento delle informazioni per la sicurezza, che provvede anche a favore dell'AISE e dell'AISI ai fini dell'esercizio delle funzioni istituzionali previste dagli articoli 1, comma 3-bis, 4, 6 e 7 della legge 3 agosto 2007, n. 124»;)) b) all'articolo 3, il comma 2 e' abrogato; c) a decorrere dalla data in cui diviene efficace l'obbligo di comunicazione disciplinato dalla lettera a), all'articolo 3: 1) il comma 1 e' sostituito dal seguente: «1.I soggetti che intendono procedere all'acquisizione, a qualsiasi titolo, di beni, servizi e componenti di cui all'articolo 1-bis, comma 2, del decreto-legge 15 marzo 2012, n.21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, sono obbligati ad effettuare la comunicazione di cui all'articolo 1, comma 6, lettera a), per lo svolgimento delle verifiche di sicurezza da parte del CVCN sulla base delle procedure, modalita' e termini previsti dal regolamento di attuazione. Ai fornitori ((dei predetti)) beni, servizi e componenti si applica l'articolo 1, comma 6, lettera b).»; 2) il comma 3 e' abrogato; 10. A decorrere dalla data in cui diviene efficace l'obbligo di comunicazione disciplinato dal comma 9, lettera a), al decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, il comma 3-bis dell'articolo 1-bis e' sostituito dal seguente: «3-bis. Entro dieci giorni dalla conclusione di un contratto o accordo di cui al comma 2, l'impresa che ha acquisito, a qualsiasi titolo, i beni o i servizi di cui allo stesso comma notifica alla Presidenza del Consiglio dei ministri un'informativa completa, contenente anche la comunicazione del Centro di valutazione e certificazione nazionale (CVCN), relativa all'esito della valutazione e alle eventuali prescrizioni, in modo da consentire l'eventuale esercizio del potere di veto o l'imposizione di specifiche prescrizioni o condizioni. Qualora il contratto sia stato stipulato antecedentemente alla conclusione dei test imposti dal CVCN, il termine di cui al primo periodo decorre dalla comunicazione di esito positivo della valutazione effettuata dal CVCN. Entro trenta giorni dalla notifica, il Presidente del Consiglio dei ministri comunica l'eventuale veto ovvero l'imposizione di specifiche prescrizioni o condizioni. I poteri speciali sono esercitati nella forma dell'imposizione di specifiche prescrizioni o condizioni ogniqualvolta cio' sia sufficiente ad assicurare la tutela degli interessi essenziali della difesa e della sicurezza nazionale. Decorsi i predetti termini, i poteri speciali si intendono non esercitati. Qualora si renda necessario richiedere informazioni all'acquirente, tale termine e' sospeso, per una sola volta, fino al ricevimento delle informazioni richieste, che sono rese entro il termine di dieci giorni. Qualora si renda necessario formulare richieste istruttorie a soggetti terzi, il predetto termine di trenta giorni e' sospeso, per una sola volta, fino al ricevimento delle informazioni richieste, che sono rese entro il termine di venti giorni. Le richieste di informazioni e le richieste istruttorie a soggetti terzi successive alla prima non sospendono i termini. In caso di incompletezza della notifica, il termine di trenta giorni previsto dal presente comma decorre dal ricevimento delle informazioni o degli elementi che la integrano. Fermo restando quanto previsto in materia di sanzioni al presente comma, nel caso in cui l'impresa notificante abbia iniziato l'esecuzione del contratto o dell'accordo oggetto della notifica prima che sia decorso il termine per l'esercizio dei poteri speciali, ovvero abbia eseguito il contratto o accordo in violazione del decreto di esercizio dei poteri speciali, il Governo puo' ingiungere all'impresa di ripristinare a proprie spese la situazione anteriore. Salvo che il fatto costituisca reato, chiunque non osservi gli obblighi di notifica di cui al presente articolo ovvero le disposizioni contenute nel provvedimento di esercizio dei poteri speciali e' soggetto alla sanzione amministrativa pecuniaria ((del pagamento di una somma)) fino al 150 per cento del valore dell'operazione e comunque non inferiore al 25 per cento del medesimo valore. Nei casi di violazione degli obblighi di notifica di cui al presente articolo, anche in assenza della notifica, la Presidenza del Consiglio dei ministri puo' avviare il procedimento ai fini dell'eventuale esercizio dei poteri speciali. A tale scopo, trovano applicazione i termini e le norme procedurali previsti dal presente comma. Il termine di trenta giorni di cui al presente comma decorre dalla conclusione del procedimento di accertamento della violazione dell'obbligo di notifica». 11. All'articolo ((135, comma 1, del Codice del processo amministrativo, di cui all'allegato 1 al decreto legislativo)) 2 luglio 2010, n. 104, dopo la lettera h), e' aggiunta la seguente: «h-bis) le controversie aventi ad oggetto i provvedimenti dell'Agenzia per la cybersicurezza nazionale;» ((e alla lettera o) le parole: «e dell'AISE» sono sostituite dalle seguenti: «, dell'AISE e dell'Agenzia per la cybersicurezza nazionale».)) 12. Alla legge 22 aprile 2021, n. 53, sono apportate le seguenti modificazioni: a) all'articolo 4, comma 1, lettera b), dopo le parole: «Ministero dello sviluppo economico» sono aggiunte le seguenti: «e l'Agenzia perla cybersicurezza nazionale»; b) all'articolo 18, ogni riferimento al Ministero dello sviluppo economico, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale. 13. All'articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, le parole: «L'AgID» sono sostituite dalle seguenti: «L'Agenzia per la cybersicurezza nazionale» ((e sono aggiunte, infine, le seguenti parole: «nonche' le modalita' del procedimento di qualificazione dei servizi cluod per la pubblica amministrazione».)) 14. Al decreto legislativo 1° agosto 2003, n. 259, sono apportate le seguenti modificazioni: a) agli articoli 16-bis e 16-ter, ogni riferimento al Ministero dello sviluppo economico, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale; b) all'articolo 16-ter, comma 1, le parole: «Ministro dello sviluppo economico» sono sostituite dalle seguenti: «Presidente del Consiglio dei ministri»; c) all'articolo 16-ter, comma 2, lettera b), le parole: «, in collaborazione con gli Ispettorati territoriali del Ministero dello sviluppo economico,» sono soppresse.
Riferimenti normativi - Per il testo dell'articolo 3, comma 1-bis, della citata legge n. 124 del 2007, come modificato dalla presente legge, si veda nei riferimenti normativi all'articolo 3. - Si riporta il testo dell'articolo 38 della citata legge n. 124 del 2007, come modificato dalla presente legge: «Art. 38 (Relazione al Parlamento). - 1. Entro il mese di febbraio di ogni anno il Governo trasmette al Parlamento una relazione scritta, riferita all'anno precedente, sulla politica dell'informazione per la sicurezza e sui risultati ottenuti. 1-bis. (Abrogato a decorrere dal 1° gennaio 2023).». - Per il testo dell'articolo 5 della citata legge n. 124 del 2007, si veda nei riferimenti normativi all'articolo 1. - Si riporta il testo dell'articolo 1, comma 2, lett.b), del citato decreto-legge n. 105 del 2019: «Art. 1 (Perimetro di sicurezza nazionale cibernetica). - 1.(Omissis). 2. Entro quattro mesi dalla data di entrata in vigore della legge di conversione del presente decreto, con decreto del Presidente del Consiglio dei ministri, adottato su proposta del Comitato interministeriale per la cybersicurezza (CIC): a) (Omissis) b) sono definiti, sulla base di un'analisi del rischio e di un criterio di gradualita' che tenga conto delle specificita' dei diversi settori di attivita', i criteri con i quali i soggetti di cui al comma 2-bis predispongono e aggiornano con cadenza almeno annuale un elenco delle reti, dei sistemi informativi e dei servizi informatici di cui al comma 1, di rispettiva pertinenza, comprensivo della relativa architettura e componentistica, fermo restando che, per le reti, i sistemi informativi e i servizi informatici attinenti alla gestione delle informazioni classificate, si applica quanto previsto dal regolamento adottato ai sensi dell'articolo 4, comma 3, lettera l), della legge 3 agosto 2007, n. 124; all'elaborazione di tali criteri provvede, adottando opportuni moduli organizzativi, l'organismo tecnico di supporto al CIC, integrato con un rappresentante della Presidenza del Consiglio dei ministri; entro sei mesi dalla data della comunicazione, prevista dal comma 2-bis, a ciascuno dei soggetti iscritti nell'elenco di cui al medesimo comma, i soggetti pubblici e quelli di cui all'articolo 29 del codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, nonche' quelli privati, di cui al comma 2-bis trasmettono tali elenchi, rispettivamente, alla Presidenza del Consiglio dei ministri e al Ministero dello sviluppo economico; la Presidenza del Consiglio dei ministri e il Ministero dello sviluppo economico inoltrano gli elenchi di rispettiva pertinenza al Dipartimento delle informazioni per la sicurezza, anche per le attivita' di prevenzione, preparazione e gestione di crisi cibernetiche affidate al Nucleo per la sicurezza cibernetica, nonche' all'organo del Ministero dell'interno per la sicurezza e la regolarita' dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155.». - Si riporta il testo dell'articolo 1, comma 8, del citato decreto-legge n. 105 del 2019, come modificato dalla presente legge: «Art. 1 (Perimetro di sicurezza nazionale cibernetica). - 8. I soggetti di cui agli articoli 12 e 14 del decreto legislativo 18 maggio 2018, n. 65, e quelli di cui all'articolo 16-ter, comma 2, del codice delle comunicazioni elettroniche di cui al decreto legislativo 1° agosto 2003, n. 259, inclusi nel perimetro di sicurezza nazionale cibernetica: a) osservano le misure di sicurezza previste, rispettivamente, dai predetti decreti legislativi, ove di livello almeno equivalente a quelle adottate ai sensi del comma 3, lettera b), del presente articolo; le eventuali misure aggiuntive necessarie al fine di assicurare i livelli di sicurezza previsti dal presente decreto sono((definite dall'Agenzia per la cybersicurezza nazionale)), di cui al comma 2-bis, e dal Ministero dello sviluppo economico per i soggetti privati di cui al medesimo comma, avvalendosi anche del CVCN; il Ministero dello sviluppo economico e la Presidenza del Consiglio dei ministri si raccordano, ove necessario, con le autorita' competenti di cui all'articolo 7 del decreto legislativo 18 maggio 2018, n. 65; b) assolvono l'obbligo di notifica di cui al comma 3, lettera a), che costituisce anche adempimento, rispettivamente, dell'obbligo di notifica di cui agli articoli 12 e 14 del decreto legislativo 18 maggio 2018, n. 65, e dell'analogo obbligo previsto ai sensi dell'articolo 16-ter del codice di cui al decreto legislativo 1° agosto 2003, n. 259, e delle correlate disposizioni attuative; a tal fine, oltre a quanto previsto dal comma 3, lettera a), anche in relazione alle disposizioni di cui all'articolo 16-ter del codice di cui al decreto legislativo 1°agosto 2003, n. 259, il CSIRT Italia inoltra le notifiche ricevute ai sensi del predetto comma 3, lettera a), ((autorita' nazionale competente NIS)) di cui all'articolo 7 del decreto legislativo 18 maggio 2018, n. 65.». - Per il testo dell'articolo 3 del citato decreto del Presidente del Consiglio dei ministri n. 131 del 2020, si rinvia ai riferimenti normativi all'articolo 7. - Il testo dell'articolo 1, comma 6, lett. a) e comma 7, lettera c), del citato decreto-legge n. 105 del 2019, come modificato dalla presente legge, e' il seguente: «Art. 1 (Perimetro di sicurezza nazionale cibernetica). - (Omissis). 6. Con regolamento, adottato ai sensi dell'articolo 17, comma 1, della legge 23 agosto 1988, n. 400, entro dieci mesi dalla data di entrata in vigore della legge di conversione del presente decreto, sono disciplinati le procedure, le modalita' e i termini con cui: a) i soggetti di cui al comma 2-bis, che intendano procedere, anche per il tramite delle centrali di committenza alle quali essi sono tenuti a fare ricorso ai sensi dell'articolo 1, comma 512, della legge 28 dicembre 2015, n. 208, all'affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici di cui al comma 2, lettera b), appartenenti a categorie individuate, sulla base di criteri di natura tecnica, con decreto del Presidente del Consiglio dei ministri, da adottare entro dieci mesi dalla data di entrata in vigore della legge di conversione del presente decreto, ne danno comunicazione al Centro di valutazione e certificazione nazionale (CVCN), istituito presso il Ministero dello sviluppo economico; la comunicazione comprende anche la valutazione del rischio associato all'oggetto della fornitura, anche in relazione all'ambito di impiego. ((L'obbligo di comunicazione di cui alla presente lettera e' efficace a decorrere dal trentesimo giorno successivo alla pubblicazione nella Gazzetta Ufficiale della Repubblica italiana del decreto del Presidente del Consiglio dei ministri che, sentita l'Agenzia per la cybersicurezza nazionale, attesta l'operativita' del CVCN e comunque dal 30 giugno 2022.)) Entro quarantacinque giorni dalla ricezione della comunicazione, prorogabili di quindici giorni, una sola volta, in caso di particolare complessita', il CVCN puo' effettuare verifiche preliminari ed imporre condizioni e test di hardware e software da compiere anche in collaborazione con i soggetti di cui al comma 2-bis, secondo un approccio gradualmente crescente nelle verifiche di sicurezza. Decorso il termine di cui al precedente periodo senza che il CVCN si sia pronunciato, i soggetti che hanno effettuato la comunicazione possono proseguire nella procedura di affidamento. In caso di imposizione di condizioni e test di hardware e software, i relativi bandi di gara e contratti sono integrati con clausole che condizionano, sospensivamente ovvero risolutivamente, il contratto al rispetto delle condizioni e all'esito favorevole dei test disposti dal CVCN. I test devono essere conclusi nel termine di sessanta giorni. Decorso il termine di cui al precedente periodo, i soggetti che hanno effettuato la comunicazione possono proseguire nella procedura di affidamento. In relazione alla specificita' delle forniture di beni, sistemi e servizi ICT da impiegare su reti, sistemi informativi e servizi informatici del Ministero dell'interno e del Ministero della difesa, individuati ai sensi del comma 2, lettera b), i predetti Ministeri, nell'ambito delle risorse umane e finanziarie disponibili a legislazione vigente e senza nuovi o maggiori oneri a carico della finanza pubblica, in coerenza con quanto previsto dal presente decreto, possono procedere, con le medesime modalita' e i medesimi termini previsti dai periodi precedenti, attraverso la comunicazione ai propri Centri di valutazione accreditati per le attivita' di cui al presente decreto, ai sensi del comma 7, lettera b), che impiegano le metodologie di verifica e di test definite dal CVCN. Per tali casi i predetti Centri informano il CVCN con le modalita' stabilite con il decreto del Presidente del Consiglio dei ministri, di cui al comma 7, lettera b). Non sono oggetto di comunicazione gli affidamenti delle forniture di beni, sistemi e servizi ICT destinate alle reti, ai sistemi informativi e ai servizi informatici per lo svolgimento delle attivita' di prevenzione, accertamento e repressione dei reati e i casi di deroga stabiliti dal medesimo regolamento con riguardo alle forniture di beni, sistemi e servizi ICT per le quali sia indispensabile procedere in sede estera, fermo restando, in entrambi i casi, l'utilizzo di beni, sistemi e servizi ICT conformi ai livelli di sicurezza di cui al comma 3, lettera b), salvo motivate esigenze connesse agli specifici impieghi cui essi sono destinati; (Omissis); 7. Nell'ambito dell'approvvigionamento di prodotti, processi, servizi ICT e associate infrastrutture destinati alle reti, ai sistemi informativi e per l'espletamento dei servizi informatici di cui al comma 2, lettera b), il CVCN assume i seguenti compiti: a) - b (Omissis). c) elabora e adotta, previo conforme avviso ((del Tavolo interministeriale di cui all'articolo 6 del decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131)), schemi di certificazione cibernetica, tenendo conto degli standard definiti a livello internazionale e dell'Unione europea, laddove, per ragioni di sicurezza nazionale, gli schemi di certificazione esistenti non siano ritenuti adeguati alle esigenze di tutela del perimetro di sicurezza nazionale cibernetica.». - Si riporta il testo dell'articolo 3, commi 1, 2 e 3 del citato decreto-legge n. 105 del 2019, come modificato dalla presente legge: «Art. 3 (Disposizioni in materia di reti di telecomunicazione elettronica a banda larga con tecnologia). - ((1. I soggetti che intendono procedere all'acquisizione, a qualsiasi titolo, di beni, servizi e componenti di cui all'articolo 1-bis, comma 2, del decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, sono obbligati ad effettuare la comunicazione di cui all'articolo 1, comma 6, lettera a), per lo svolgimento delle verifiche di sicurezza da parte del CVCN sulla base delle procedure, modalita' e termini previsti dal regolamento di attuazione. Ai fornitori dei predetti beni, servizi e componenti si applica l'articolo 1, comma 6, lettera b).)) 2. - 3. (Abrogati).». - Si riporta il testo dell'articolo 1-bis, comma 3-bis, del citato decreto-legge n. 21 del 2012, come modificato dalla presente legge: «Art. 1-bis (Poteri speciali inerenti le reti di telecomunicazione elettronica a banda larga con tecnologia 5G). - (Omissis). ((3-bis. Entro dieci giorni dalla conclusione di un contratto o accordo di cui al comma 2, l'impresa che ha acquisito, a qualsiasi titolo, i beni o i servizi di cui allo stesso comma notifica alla Presidenza del Consiglio dei ministri un'informativa completa, contenente anche la comunicazione del Centro di valutazione e certificazione nazionale (CVCN), relativa all'esito della valutazione e alle eventuali prescrizioni, in modo da consentire l'eventuale esercizio del potere di veto o l'imposizione di specifiche prescrizioni o condizioni. Qualora il contratto sia stato stipulato antecedentemente alla conclusione dei test imposti dal CVCN, il termine di cui al primo periodo decorre dalla comunicazione di esito positivo della valutazione effettuata dal CVCN. Entro trenta giorni dalla notifica, il Presidente del Consiglio dei ministri comunica l'eventuale veto ovvero l'imposizione di specifiche prescrizioni o condizioni. I poteri speciali sono esercitati nella forma dell'imposizione di specifiche prescrizioni o condizioni ogniqualvolta cio' sia sufficiente ad assicurare la tutela degli interessi essenziali della difesa e della sicurezza nazionale. Decorsi i predetti termini, i poteri speciali si intendono non esercitati. Qualora si renda necessario richiedere informazioni all'acquirente, tale termine e' sospeso, per una sola volta, fino al ricevimento delle informazioni richieste, che sono rese entro il termine di dieci giorni. Qualora si renda necessario formulare richieste istruttorie a soggetti terzi, il predetto termine di trenta giorni e' sospeso, per una sola volta, fino al ricevimento delle informazioni richieste, che sono rese entro il termine di venti giorni. Le richieste di informazioni e le richieste istruttorie a soggetti terzi successive alla prima non sospendono i termini. In caso di incompletezza della notifica, il termine di trenta giorni previsto dal presente comma decorre dal ricevimento delle informazioni o degli elementi che la integrano. Fermo restando quanto previsto in materia di sanzioni al presente comma, nel caso in cui l'impresa notificante abbia iniziato l'esecuzione del contratto o dell'accordo oggetto della notifica prima che sia decorso il termine per l'esercizio dei poteri speciali, ovvero abbia eseguito il contratto o accordo in violazione del decreto di esercizio dei poteri speciali, il Governo puo' ingiungere all'impresa di ripristinare a proprie spese la situazione anteriore. Salvo che il fatto costituisca reato, chiunque non osservi gli obblighi di notifica di cui al presente articolo ovvero le disposizioni contenute nel provvedimento di esercizio dei poteri speciali e' soggetto alla sanzione amministrativa pecuniaria del pagamento di una somma fino al 150 per cento del valore dell'operazione e comunque non inferiore al 25 per cento del medesimo valore. Nei casi di violazione degli obblighi di notifica di cui al presente articolo, anche in assenza della notifica, la Presidenza del Consiglio dei ministri puo' avviare il procedimento ai fini dell'eventuale esercizio dei poteri speciali. A tale scopo, trovano applicazione i termini e le norme procedurali previsti dal presente comma. Il termine di trenta giorni di cui al presente comma decorre dalla conclusione del procedimento di accertamento della violazione dell'obbligo di notifica.».)) - Si riporta l'articolo 135, comma 1, del decreto legislativo 2 luglio 2010, n. 104 (Attuazione dell'articolo 44 della legge 18 giugno 2009, n. 69, recante delega al governo per il riordino del processo amministrativo), pubblicato nella Gazzetta Ufficiale 7 luglio 2010, n. 156, S.O., come modificato dalla presente legge: «Art. 135 (Competenza funzionale inderogabile del Tribunale amministrativo regionale del Lazio, sede di Roma). - 1. Sono devolute alla competenza inderogabile del Tribunale amministrativo regionale del Lazio, sede di Roma, salvo ulteriori previsioni di legge: a) le controversie relative ai provvedimenti riguardanti i magistrati ordinari adottati ai sensi dell'articolo 17, primo comma, della legge 24 marzo 1958, n. 195, nonche' quelle relative ai provvedimenti riguardanti i magistrati amministrativi adottati dal Consiglio di Presidenza della Giustizia Amministrativa; b) le controversie aventi ad oggetto i provvedimenti dell'Autorita' garante per la concorrenza ed il mercato e quelli dell'Autorita' per le garanzie nelle comunicazioni; c) le controversie di cui all'articolo 133, comma 1, lettera l) , fatta eccezione per quelle di cui all'articolo 14, comma 2, nonche' le controversie di cui all'articolo 104, comma 2, del testo unico delle leggi in materia bancaria e creditizia, di cui al decreto legislativo 1° settembre 1993, n. 385; d) le controversie contro i provvedimenti ministeriali di cui all'articolo 133, comma 1, lettera m), nonche' i giudizi riguardanti l'assegnazione di diritti d'uso delle frequenze, la gara e le altre procedure di cui ai commi da 8 al 13 dell'articolo 1, della legge 13 dicembre 2010, n. 220, incluse le procedure di cui all'articolo 4 del decreto-legge 31 marzo 2011, n. 34, convertito, con modificazioni, dalla legge 26 maggio 2011, n. 75; e) le controversie aventi ad oggetto le ordinanze e i provvedimenti commissariali adottati in tutte le situazioni di emergenza dichiarate ai sensi dell'articolo 5, comma 1, della legge 24 febbraio 1992, n. 225 nonche' gli atti, i provvedimenti e le ordinanze emanati ai sensi dell'articolo 5, commi 2 e 4 della medesima legge n. 225 del 1992; f) le controversie di cui all'articolo 133, comma 1, lettera o) , limitatamente a quelle concernenti la produzione di energia elettrica da fonte nucleare, i rigassificatori, i gasdotti di importazione, le centrali termoelettriche di potenza termica superiore a 400 MW nonche' quelle relative ad infrastrutture di trasporto ricomprese o da ricomprendere nella rete di trasmissione nazionale o rete nazionale di gasdotti, salvo quanto previsto dall'articolo 14, comma 2; g) le controversie di cui all'articolo 133, comma 1, lettera z); h) le controversie relative all'esercizio dei poteri speciali inerenti alle attivita' di rilevanza strategica nei settori della difesa e della sicurezza nazionale e nei settori dell'energia, dei trasporti e delle comunicazioni; ((h-bis) le controversie aventi ad oggetto i provvedimenti dell'Agenzia per la cybersicurezza nazionale;)) i) le controversie aventi ad oggetto i provvedimenti di espulsione di cittadini extracomunitari per motivi di ordine pubblico o di sicurezza dello Stato; l) le controversie avverso i provvedimenti di allontanamento di cittadini comunitari per motivi di sicurezza dello Stato o per motivi di ordine pubblico di cui all'articolo 20, comma 1, del decreto legislativo 6 febbraio 2007, n. 30, e successive modificazioni; m) le controversie avverso i provvedimenti previsti dal decreto legislativo 22 giugno 2007, n. 109; n) le controversie disciplinate dal presente codice relative alle elezioni dei membri del Parlamento europeo spettanti all'Italia; o) le controversie relative al rapporto di lavoro del personale del DIS, ((dell'AISI, dell'AISE e dell'Agenzia per la cybersicurezza nazionale)); p) le controversie attribuite alla giurisdizione del giudice amministrativo derivanti dall'applicazione del Titolo II del Libro III del decreto legislativo 6 settembre 2011, n. 159, relative all'Agenzia nazionale per l'amministrazione e la destinazione dei beni sequestrati e confiscati alla criminalita' organizzata; q) le controversie relative ai provvedimenti adottati ai sensi degliarticoli 142e143 del testo unico delle leggi sull'ordinamento degli enti locali, di cui al decreto legislativo 18 agosto 2000, n. 267; q-bis) le controversie di cui all'articolo 133, comma 1, lettera z-bis); q-ter) le controversie di cui all'articolo 133, comma 1, lettera z-ter); q-quater) le controversie aventi ad oggetto i provvedimenti emessi dall'Amministrazione autonoma dei monopoli di Stato in materia di giochi pubblici con vincita in denaro e quelli emessi dall'Autorita' di polizia relativi al rilascio di autorizzazioni in materia di giochi pubblici con vincita in denaro; q-quinquies) le controversie relative alle decisioni adottate ai sensi dell'articolo 24, paragrafo 2, lettera b), del regolamento (CE) n. 1987/2006 del Parlamento europeo e del Consiglio del 20 dicembre 2006 sull'istituzione, l'esercizio e l'uso del sistema d'informazione Schengen di seconda generazione (SIS II); q-sexies) le controversie relative ai provvedimenti di ammissione ed esclusione dalle competizioni professionistiche delle societa' o associazioni sportive professionistiche, o comunque incidenti sulla partecipazione a competizioni professionistiche. 2. Restano esclusi dai casi di competenza inderogabile di cui al comma 1 le controversie sui rapporti di lavoro dei pubblici dipendenti, salvo quelle di cui alla lettera o) dello stesso comma 1.». - Si riporta l'articolo 4, comma 1, lett. b), della legge 22 aprile 2021, n. 53 (Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea - Legge di delegazione europea 2019-2020), pubblicata nella Gazzetta Ufficiale 23 aprile 2021, n. 97, come modificato dalla presente legge: «Art. 4 (Principi e criteri direttivi per l'attuazione della direttiva (UE) 2018/1972, che istituisce il codice europeo delle comunicazioni elettroniche). - Nell'esercizio della delega per l'attuazione della direttiva (UE) 2018/1972 del Parlamento europeo e del Consiglio, dell'11 dicembre 2018, il Governo osserva, oltre ai principi e criteri direttivi generali di cui all'articolo 32 della legge n. 234 del 2012, anche i seguenti principi e criteri direttivi specifici: a) (Omissis) b) prevedere l'assegnazione delle nuove competenze affidate all'Autorita' per le garanzie nelle comunicazioni quale Autorita' nazionale indipendente di regolamentazione del settore e alle altre autorita' amministrative competenti, tra cui il Ministero dello sviluppo economico ((e l'Agenzia per la cybersicurezza nazionale)), nel rispetto del principio di stabilita' dell'attuale riparto di competenze sancito dall'articolo 5 della direttiva (UE) 2018/1972;».