Art. 7
Funzioni dell'Agenzia per la cybersicurezza nazionale
1. L'Agenzia:
a) e' Autorita' nazionale per la cybersicurezza e, in relazione a
tale ruolo, assicura, nel rispetto delle competenze attribuite dalla
normativa vigente ad altre amministrazioni, ferme restando le
attribuzioni del Ministro dell'interno in qualita' di autorita'
nazionale di pubblica sicurezza, ai sensi della legge 1° aprile 1981,
n. 121, il coordinamento tra i soggetti pubblici coinvolti in materia
di cybersicurezza a livello nazionale e promuove la realizzazione di
azioni comuni dirette ad assicurare la sicurezza e la resilienza
cibernetiche per lo sviluppo della digitalizzazione del Paese, del
sistema produttivo e delle pubbliche amministrazioni, nonche' per il
conseguimento dell'autonomia, nazionale ed europea, riguardo a
prodotti e processi informatici di rilevanza strategica a tutela
degli interessi nazionali nel settore. Per le reti, i sistemi
informativi e i servizi informatici attinenti alla gestione delle
informazioni classificate restano fermi sia quanto previsto dal
regolamento adottato ai sensi dell'articolo 4, comma 3, lettera l),
della legge n. 124 del 2007, sia le competenze dell'Ufficio centrale
per la segretezza di cui all'articolo 9 della medesima legge n. 124
del 2007;
b) predispone la strategia nazionale di cybersicurezza;
c) svolge ogni necessaria attivita' di supporto al funzionamento
del Nucleo per la cybersicurezza, di cui all'articolo 8;
d) e' Autorita' nazionale competente e punto di contatto unico in
materia di sicurezza delle reti e dei sistemi informativi, per le
finalita' di cui al decreto legislativo NIS, a tutela dell'unita'
giuridica dell'ordinamento, ed e' competente all'accertamento delle
violazioni e all'irrogazione delle sanzioni amministrative previste
dal medesimo decreto;
e) e' Autorita' nazionale di certificazione della cybersicurezza
ai sensi dell'articolo 58 del regolamento (UE) 2019/881 del
Parlamento europeo e del Consiglio, del 17 aprile 2019, e assume
tutte le funzioni in materia di certificazione di sicurezza
cibernetica gia' attribuite al Ministero dello sviluppo economico
dall'ordinamento vigente, comprese quelle relative all'accertamento
delle violazioni e all'irrogazione delle sanzioni; nello svolgimento
dei compiti di cui alla presente lettera:
1) accredita, ai sensi dell'articolo 60, ((paragrafo 1)), del
regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, le
strutture specializzate del Ministero della difesa e del Ministero
dell'interno quali organismi di valutazione della conformita' per i
sistemi di rispettiva competenza;
2) delega, ai sensi dell'articolo 56, ((paragrafo 6)), lettera
b), del regolamento (UE) 2019/881 del Parlamento europeo e del
Consiglio, il Ministero della difesa e il Ministero dell'interno,
attraverso le rispettive strutture accreditate di cui al ((numero 1)
della presente lettera,)) al rilascio del certificato europeo di
sicurezza cibernetica;
f) assume tutte le funzioni in materia di cybersicurezza gia'
attribuite dalle disposizioni vigenti al Ministero dello sviluppo
economico, ivi comprese quelle relative:
1) al perimetro di sicurezza nazionale cibernetica, di cui al
decreto-legge perimetro e ai relativi provvedimenti attuativi, ivi
incluse le funzioni attribuite al Centro di valutazione e
certificazione nazionale ai sensi del decreto-legge perimetro, le
attivita' di ispezione e verifica di cui all'articolo 1, comma 6,
lettera c), del decreto-legge perimetro e quelle relative
all'accertamento delle violazioni e all'irrogazione delle sanzioni
amministrative previste dal medesimo decreto, fatte salve quelle di
cui all'articolo 3 del regolamento adottato con decreto del
Presidente del Consiglio dei ministri 30 luglio 2020, n. 131;
2) alla sicurezza e all'integrita' delle comunicazioni
elettroniche, di cui agli articoli 16-bis e 16-ter del decreto
legislativo 1° agosto 2003, n. 259, e relative disposizioni
attuative;
3) alla sicurezza delle reti e dei sistemi informativi, di cui
al decreto legislativo NIS;
g) partecipa, per gli ambiti di competenza, al gruppo di
coordinamento istituito ai sensi dei regolamenti di cui all'articolo
1, comma 8, del decreto-legge 15 marzo 2012, n. 21, convertito, con
modificazioni, dalla legge 11 maggio 2012, n. 56;
h) assume tutte le funzioni attribuite alla Presidenza del
Consiglio dei ministri in materia di perimetro di sicurezza nazionale
cibernetica, di cui al decreto-legge perimetro e ai relativi
provvedimenti attuativi, ivi incluse le attivita' di ispezione e
verifica di cui all'articolo 1, comma 6,lettera c), del decreto-legge
perimetro e quelle relative all'accertamento delle violazioni e
all'irrogazione delle sanzioni amministrative previste dal medesimo
decreto, fatte salve quelle di cui all'articolo 3 del regolamento
adottato con decreto del Presidente del Consiglio dei ministri n. 131
del 2020;
i) assume tutte le funzioni gia' attribuite al ((Dipartimento
delle informazioni per la sicurezza (DIS), di cui all'articolo 4
della legge 3 agosto 2007, n. 124,)) dal decreto-legge perimetro e
dai relativi provvedimenti attuativi e supporta il Presidente del
Consiglio dei ministri ai fini dell'articolo 1, comma 19-bis, del
decreto-legge perimetro;
l) provvede, sulla base delle attivita' di competenza del Nucleo
per la cybersicurezza di cui all'articolo 8, alle attivita'
necessarie per l'attuazione e il controllo dell'esecuzione dei
provvedimenti assunti dal Presidente del Consiglio dei ministri ai
sensi dell'articolo 5 del decreto-legge perimetro;
m) assume tutte le funzioni in materia di cybersicurezza gia'
attribuite all'Agenzia per l'Italia digitale dalle disposizioni
vigenti e, in particolare, quelle di cui all'articolo 51 del decreto
legislativo 7 marzo 2005, n. 82, ((nonche' quelle in materia)) di
adozione di linee guida contenenti regole tecniche di cybersicurezza
ai sensi dell'articolo 71 del medesimo decreto legislativo. L'Agenzia
assume, altresi', i compiti di cui all'articolo 33-septies, comma 4,
del decreto-legge 18 ottobre 2012, n. 179, convertito, con
modificazioni, dalla legge 17 dicembre 2012, n. 221, gia' attribuiti
all'Agenzia per l'Italia digitale;
((m-bis) assume le iniziative idonee a valorizzare la
crittografia come strumento di cybersicurezza, anche attraverso
un'apposita sezione dedicata nell'ambito della strategia di cui alla
lettera b). In particolare, l'Agenzia attiva ogni iniziativa utile
volta al rafforzamento dell'autonomia industriale e tecnologica
dell'Italia, valorizzando lo sviluppo di algoritmi proprietari
nonche' la ricerca e il conseguimento di nuove capacita'
crittografiche nazionali;
m-ter) provvede alla qualificazione dei servizi cloud per la
pubblica amministrazione nel rispetto della disciplina dell'Unione
europea e del regolamento di cui all'articolo 33-septies, comma 4,
del decreto-legge 18 ottobre 2012, n. 179, convertito, con
modificazioni, dalla legge 17 dicembre 2012, n. 221;))
n) sviluppa capacita' nazionali di prevenzione, monitoraggio,
rilevamento, analisi e risposta, per prevenire e gestire gli
incidenti di sicurezza informatica e gli attacchi informatici, anche
attraverso il CSIRT Italia di cui all'articolo 8 del decreto
legislativo NIS. ((A tale fine, promuove iniziative di partenariato
pubblico-privato, per rendere affettive tali capacita';))
o) partecipa alle esercitazioni nazionali e internazionali che
riguardano la simulazione di eventi di natura cibernetica al fine di
innalzare la resilienza del Paese;
p) cura e promuove la definizione ed il mantenimento di un quadro
giuridico nazionale aggiornato e coerente nel dominio della
cybersicurezza, tenendo anche conto degli orientamenti e degli
sviluppi in ambito internazionale. A tal fine, l'Agenzia esprime
pareri non vincolanti sulle iniziative legislative o regolamentari
concernenti la cybersicurezza;
q) coordina, in raccordo con il Ministero degli affari esteri e
della cooperazione internazionale, la cooperazione internazionale
nella materia della cybersicurezza. Nell'ambito dell'Unione europea e
a livello internazionale, l'Agenzia cura i rapporti con i competenti
organismi, ((istituzioni ed enti)), nonche' segue nelle competenti
sedi istituzionali le tematiche di cybersicurezza, fatta eccezione
per gli ambiti in cui la legge attribuisce specifiche competenze ad
altre amministrazioni. In tali casi, e' comunque assicurato il
raccordo con l'Agenzia al fine di garantire posizioni nazionali
unitarie e coerenti con le politiche di cybersicurezza definite dal
Presidente del Consiglio dei ministri;
r) perseguendo obiettivi di eccellenza, supporta negli ambiti di
competenza, mediante il coinvolgimento del sistema dell'universita' e
della ricerca nonche' del sistema produttivo nazionali, lo sviluppo
di competenze e capacita' industriali, tecnologiche e scientifiche. A
tali fini, l'Agenzia puo' promuovere, sviluppare e finanziare
specifici progetti ed iniziative, volti anche a favorire il
trasferimento tecnologico dei risultati della ricerca nel settore.
L'Agenzia assicura il necessario raccordo con le altre
amministrazioni a cui la legge attribuisce competenze in materia di
cybersicurezza ((e, in particolare, con il Ministero della difesa per
gli aspetti inerenti alla ricerca militare. L'Agenzia puo' altresi'
promuovere la costituzione di aree dedicate allo sviluppo
dell'innovazione finalizzate a favorire la formazione e il
reclutamento di personale nei settori avanzati dello sviluppo della
cybersicurezza, nonche' promuovere la realizzazione di studi di
fattibilita' e di analisi valutative finalizzati a tale scopo;))
s) stipula accordi bilaterali e multilaterali, anche mediante il
coinvolgimento del settore privato e industriale, con istituzioni,
enti e organismi di altri Paesi per la partecipazione dell'Italia a
programmi di cybersicurezza, assicurando il necessario raccordo con
le altre amministrazioni a cui la legge attribuisce competenze in
materia di cybersicurezza, ferme restando le competenze del
((Ministero degli affari esteri)) e della cooperazione
internazionale;
t) promuove, sostiene e coordina la partecipazione italiana a
progetti e iniziative dell'Unione europea e internazionali, anche
mediante il coinvolgimento di soggetti pubblici e privati nazionali,
nel campo della cybersicurezza e dei correlati servizi applicativi,
ferme restando le competenze del ((Ministero degli affari esteri)) e
della cooperazione internazionale. L'Agenzia assicura il necessario
raccordo con le altre amministrazioni a cui la legge attribuisce
competenze in materia di cybersicurezza ((e, in particolare, con il
Ministero della difesa per gli aspetti inerenti a progetti e
iniziative in collaborazione con la NATO e con l'Agenzia europea per
la difesa;))
u) svolge attivita' di comunicazione e promozione della
consapevolezza in materia di cybersicurezza, al fine di contribuire
allo sviluppo di una cultura nazionale in materia;
v) promuove la formazione, la crescita tecnico-professionale e la
qualificazione delle risorse umane nel campo della cybersicurezza,
((in particolare favorendo l'attivazione di percorsi formativi
universitari in materia)), anche attraverso l'assegnazione di borse
di studio, di dottorato e assegni di ricerca, sulla base di apposite
convenzioni con soggetti pubblici e privati; ((nello svolgimento di
tali compiti, l'Agenzia puo' avvalersi anche delle strutture
formative e delle capacita' della Presidenza del Consiglio dei
ministri, del Ministero della difesa e del Ministero dell'interno,
secondo termini e modalita' da definire con apposito decreto del
Presidente del Consiglio dei ministri, di concerto con i Ministri
interessati;
v-bis) puo' predisporre attivita' di formazione specifica
riservate ai giovani che aderiscono al servizio civile regolate sulla
base di apposite convenzioni. In ogni caso, il servizio prestato e',
a tutti gli effetti, riconosciuto come servizio civile;))
z) per le finalita' di cui al presente articolo, puo' costituire
e partecipare a partenariati pubblico-privato sul territorio
nazionale, nonche', previa autorizzazione del Presidente del
Consiglio dei ministri, a consorzi, fondazioni o societa' con
soggetti pubblici e privati, italiani e stranieri;
aa) e' designata quale Centro nazionale di coordinamento ai sensi
dell'articolo 6 del regolamento (UE) 2021/887 del Parlamento europeo
e del Consiglio del 20 maggio 2021, che istituisce il Centro europeo
di competenza per la cybersicurezza nell'ambito industriale,
tecnologico e della ricerca e la rete dei centri nazionali di
coordinamento.
((1-bis. Anche ai fini dell'esercizio delle funzioni di cui al
comma 1, lettere r), s), t), u), v), z) e aa), presso l'Agenzia e'
istituito, con funzioni di consulenza e di proposta, un Comitato
tecnico-scientifico, presieduto dal direttore generale della medesima
Agenzia, o da un dirigente da lui delegato, e composto da personale
della stessa Agenzia e da qualificati rappresentanti dell'industria,
degli enti di ricerca, dell'accademia e delle associazioni del
settore della sicurezza, designati con decreto del Presidente del
Consiglio dei ministri. La composizione e l'organizzazione del
Comitato tecnico-scientifico sono disciplinate secondo le modalita' e
i criteri definiti dal regolamento di cui all'articolo 6, comma 1.
Per la partecipazione al Comitato tecnico-scientifico non sono
previsti gettoni di presenza, compensi o rimborsi di spese.))
2. Nell'ambito dell'Agenzia sono nominati, con decreto del
Presidente del Consiglio dei ministri, il rappresentante nazionale, e
il suo sostituto, nel Consiglio di direzione del Centro europeo di
competenza perla cybersicurezza nell'ambito industriale, tecnologico
e della ricerca, ai sensi dell'articolo 12 del regolamento (UE)
2021/887.
3. Il CSIRT italiano di cui all'articolo 8 del decreto legislativo
NIS e' trasferito presso l'Agenzia e assume la denominazione di:
«CSIRT Italia».
4. Il Centro di valutazione e certificazione nazionale, istituito
presso il Ministero dello sviluppo economico, e' trasferito presso
l'Agenzia.
5. Nel rispetto delle competenze del Garante per la protezione dei
dati personali, l'Agenzia, per le finalita' di cui al presente
decreto, consulta il Garante e collabora con esso, anche in relazione
agli incidenti che comportano violazioni di dati personali. L'Agenzia
e il Garante possono stipulare appositi protocolli d'intenti che
definiscono altresi' le modalita' della loro collaborazione
nell'ambito delle risorse disponibili a legislazione vigente e senza
nuovi o maggiori oneri per la finanza pubblica.
Riferimenti normativi
- La legge 1° aprile 1981, n. 121, recante «Nuovo
ordinamento dell'Amministrazione della pubblica sicurezza»,
e' pubblicata nella Gazzetta Ufficiale 10 aprile 1981, n.
100, S.O..
- Si riporta il testo dell'articolo 4, comma 3, lett.
l), della citata legge n. 124 del 2007:
«Art. 4 (Dipartimento delle informazioni per la
sicurezza). - 1. - 2. (Omissis).
3. Il DIS svolge i seguenti compiti:
a) - i) (Omissis);
l) assicura l'attuazione delle disposizioni
impartite dal Presidente del Consiglio dei Ministri con
apposito regolamento adottato ai sensi dell'articolo 1,
comma 2, ai fini della tutela amministrativa del segreto di
Stato e delle classifiche di segretezza, vigilando altresi'
sulla loro corretta applicazione;
m) - n-bis) (Omissis).».
- Si riporta il testo dell'articolo 9 della citata
legge n. 124 del 2007:
«Art. 9 (Tutela amministrativa del segreto e nulla
osta di sicurezza). - 1. E' istituito nell'ambito del DIS,
ai sensi dell'articolo 4, comma 7, l'Ufficio centrale per
la segretezza (UCSe), che svolge funzioni direttive e di
coordinamento, di consulenza e di controllo
sull'applicazione delle norme di legge, dei regolamenti e
di ogni altra disposizione in ordine alla tutela
amministrativa del segreto di Stato e alle classifiche di
segretezza di cui all'articolo 42.
2. Competono all'UCSe:
a) gli adempimenti istruttori relativi
all'esercizio delle funzioni del Presidente del Consiglio
dei ministri quale Autorita' nazionale per la sicurezza, a
tutela del segreto di Stato;
b) lo studio e la predisposizione delle
disposizioni esplicative volte a garantire la sicurezza di
tutto quanto e' coperto dalle classifiche di segretezza di
cui all'articolo 42, con riferimento sia ad atti, documenti
e materiali, sia alla produzione industriale;
c) il rilascio e la revoca dei nulla osta di
sicurezza (NOS), previa acquisizione del parere dei
direttori dei servizi di informazione per la sicurezza e,
ove necessario, del Ministro della difesa e del Ministro
dell'interno;
d) la conservazione e l'aggiornamento di un elenco
completo di tutti i soggetti muniti di NOS.
3. Il NOS ha la durata di cinque anni per la
classifica di segretissimo e di dieci anni per le
classifiche segreto e riservatissimo indicate all'articolo
42, fatte salve diverse disposizioni contenute in trattati
internazionali ratificati dall'Italia. A ciascuna delle tre
classifiche di segretezza citate corrisponde un distinto
livello di NOS.
4. Il rilascio del NOS e' subordinato
all'effettuazione di un preventivo procedimento di
accertamento diretto ad escludere dalla conoscibilita' di
notizie, documenti, atti o cose classificate ogni soggetto
che non dia sicuro affidamento di scrupolosa fedelta' alle
istituzioni della Repubblica, alla Costituzione e ai suoi
valori, nonche' di rigoroso rispetto del segreto.
5. Al fine di consentire l'accertamento di cui al
comma 4, le Forze armate, le Forze di polizia, le pubbliche
amministrazioni e i soggetti erogatori dei servizi di
pubblica utilita' collaborano con l'UCSe per l'acquisizione
di informazioni necessarie al rilascio dei NOS, ai sensi
degli articoli 12 e 13.
6. Prima della scadenza del termine di cui al comma
3, l'UCSe puo' revocare il NOS se, sulla base di
segnalazioni e di accertamenti nuovi, emergono motivi di
inaffidabilita' a carico del soggetto interessato.
7. Il regolamento di cui all'articolo 4, comma 7,
disciplina il procedimento di accertamento preventivo di
cui al comma 4 del presente articolo, finalizzato al
rilascio del NOS, nonche' gli ulteriori possibili
accertamenti di cui al comma 6, in modo tale da
salvaguardare i diritti dei soggetti interessati.
8. I soggetti interessati devono essere informati
della necessita' dell'accertamento nei loro confronti e,
con esclusione del personale per il quale il rilascio
costituisce condizione necessaria per l'espletamento del
servizio istituzionale nel territorio nazionale e
all'estero, possono rifiutarlo, rinunciando al NOS e
all'esercizio delle funzioni per le quali esso e'
richiesto.
9. Agli appalti di lavori e alle forniture di beni e
servizi, per i quali la tutela del segreto sia richiesta da
norme di legge o di regolamento ovvero sia ritenuta di
volta in volta necessaria, si applicano le disposizioni di
cui all'articolo 17, comma 3, del codice dei contratti
pubblici relativi a lavori, servizi e forniture, di cui
aldecreto legislativo 12 aprile 2006, n. 163.
10. Il soggetto appaltante i lavori e le forniture di
cui al comma 9, quando lo ritiene necessario, richiede,
tramite l'UCSe, al Presidente del Consiglio dei ministri
l'autorizzazione alla segretazione, indicandone i motivi.
Contestualmente all'autorizzazione, l'UCSe trasmette al
soggetto appaltante l'elenco delle ditte individuali e
delle imprese munite di NOS.
11. Il dirigente preposto all'UCSe e' nominato e
revocato dal Presidente del Consiglio dei ministri, su
proposta dell'Autorita' delegata, ove istituita, sentito il
direttore generale del DIS. Il dirigente presenta
annualmente al direttore generale del DIS, che informa il
Presidente del Consiglio dei ministri, una relazione
sull'attivita' svolta e sui problemi affrontati, nonche'
sulla rispondenza dell'organizzazione e delle procedure
adottate dall'Ufficio ai compiti assegnati e sulle misure
da adottare per garantirne la correttezza e l'efficienza.
La relazione e' portata a conoscenza del CISR.».
- Il regolamento (UE) 2019/881 del Parlamento europeo e
del Consiglio, del 17 aprile 2019 relativo all'ENISA,
l'Agenzia dell'Unione europea per la cibersicurezza, e alla
certificazione della cibersicurezza per le tecnologie
dell'informazione e della comunicazione, e che abroga il
regolamento (UE) n. 526/2013 («regolamento sulla
cibersicurezza») (Testo rilevante ai fini del SEE), e'
pubblicato nella G.U.U.E. 7 giugno 2019, n. L 151.
- Si riporta il testo dell'articolo 1, comma 6, lett.
c), del citato decreto-legge n. 105 del 2019:
«Art. 1 (Perimetro di sicurezza nazionale
cibernetica). - 1-5 (Omissis);
6. Con regolamento, adottato ai sensi dell'articolo
17, comma 1, della legge 23 agosto 1988, n. 400, entro
dieci mesi dalla data di entrata in vigore della legge di
conversione del presente decreto, sono disciplinati le
procedure, le modalita' e i termini con cui:
a) - b);
c) la Presidenza del Consiglio dei ministri, per i
profili di pertinenza dei soggetti pubblici e di quelli di
cui all'articolo 29 del codice dell'Amministrazione
digitale di cui al decreto legislativo 7 marzo 2005, n. 82,
di cui al comma 2-bis, e il Ministero dello sviluppo
economico, per i soggetti privati di cui al medesimo comma,
svolgono attivita' di ispezione e verifica in relazione a
quanto previsto dal comma 2, lettera b), dal comma 3, dal
presente comma e dal comma 7, lettera b), impartendo, se
necessario, specifiche prescrizioni; nello svolgimento
delle predette attivita' di ispezione e verifica l'accesso,
se necessario, a dati o metadati personali e amministrativi
e' effettuato in conformita' a quanto previsto dal
regolamento (UE) 2016/679 del Parlamento europeo e del
Consiglio, del 27 aprile 2016, e dal codice in materia di
protezione dei dati personali, di cui al decreto
legislativo 30 giugno 2003, n. 196; per le reti, i sistemi
informativi e i servizi informatici di cui al comma 2,
lettera b), connessi alla funzione di prevenzione e
repressione dei reati, alla tutela dell'ordine e della
sicurezza pubblica, alla difesa civile e alla difesa e
sicurezza militare dello Stato, le attivita' di ispezione e
verifica sono svolte, nell'ambito delle risorse umane e
finanziarie disponibili a legislazione vigente e senza
nuovi o maggiori oneri a carico della finanza pubblica,
dalle strutture specializzate in tema di protezione di reti
e sistemi, nonche', nei casi in cui siano espressamente
previste dalla legge, in tema di prevenzione e di contrasto
del crimine informatico, delle amministrazioni da cui
dipendono le Forze di polizia e le Forze armate, che ne
comunicano gli esiti alla Presidenza del Consiglio dei
ministri per i profili di competenza.».
- Si riporta il testo dell'articolo 3 del citato
decreto del Presidente Consiglio dei ministri n. 131 del
2020:
«Art. 3 (Settori di attivita'). - 1. Ai fini
dell'inclusione nel perimetro, sono oggetto di
individuazione, in applicazione del criterio di gradualita'
di cui all'articolo 1, comma 2, del decreto-legge, in via
prioritaria, fatta salva l'estensione ad altri settori in
sede di aggiornamento, i soggetti operanti nel settore
governativo, concernente, nell'ambito delle attivita'
dell'amministrazione dello Stato, le attivita' delle
amministrazioni CISR, nonche' gli ulteriori soggetti,
pubblici o privati, operanti nei seguenti settori di
attivita', ove non ricompresi in quello governativo:
a) interno;
b) difesa;
c) spazio e aerospazio;
d) energia;
e) telecomunicazioni;
f) economia e finanza;
g) trasporti;
h) servizi digitali;
i) tecnologie critiche, di cui all'articolo 4,
paragrafo 1, lettera b), del Regolamento (UE) 2019/452 del
Parlamento europeo e del Consiglio del 19 marzo 2019, con
esclusione di quelle riferite ad altri settori di cui al
presente articolo;
l) enti previdenziali/lavoro.
2. All'espletamento delle attivita' di cui agli
articoli 4 e 5 provvedono, per il settore governativo, le
amministrazioni CISR, ciascuna nell'ambito di rispettiva
competenza, e, per i settori di cui al comma 1, lettere da
a) a l), le seguenti amministrazioni:
a) per il settore interno, il Ministero
dell'interno, nell'ambito delle attribuzioni di cui
all'articolo 14 del decreto legislativo 30 luglio 1999, n.
300;
b) per il settore difesa, il Ministero della
difesa;
c) per il settore spazio e aerospazio, la
Presidenza del Consiglio dei ministri, ai sensi della legge
11 gennaio 2018, n. 7;
d) per il settore energia, il Ministero dello
sviluppo economico;
e) per il settore telecomunicazioni, il Ministero
dello sviluppo economico;
f) per il settore economia e finanza, il Ministero
dell'economia e delle finanze;
g) per il settore trasporti, il Ministero delle
infrastrutture e dei trasporti;
h) per il settore servizi digitali, il Ministero
dello sviluppo economico, in raccordo con la struttura
della Presidenza del Consiglio dei ministri competente per
la innovazione tecnologica e la digitalizzazione;
i) per il settore tecnologie critiche, la struttura
della Presidenza del Consiglio dei ministri competente per
la innovazione tecnologica e la digitalizzazione, in
raccordo con il Ministero dello sviluppo economico e con il
Ministero dell'universita' e della ricerca;
l) per il settore enti previdenziali/lavoro, il
Ministero del lavoro e delle politiche sociali.».
- Si riportano i testi degli articoli 16-bis e 16-ter
del decreto legislativo 1° agosto 2003, n. 259 (Codice
delle comunicazioni elettroniche), pubblicato nella
Gazzetta Ufficiale 15 settembre 2003, n. 214, S.O.):
«Art. 16-bis (Sicurezza e integrita'). - 1. Fatte
salve le competenze dell'Autorita' previste dall'articolo
1, comma 6, lettera a), numero 3), della legge 31 luglio
1997, n. 249, il Ministero, sentite le imprese che
forniscono reti pubbliche di comunicazioni o servizi di
comunicazione elettronica accessibili al pubblico e tenuto
conto delle misure tecniche di attuazione eventualmente
adottate dalla Commissione europea, ai sensi dell'articolo
13-bis, comma 4, della direttiva 2002/21/CE, individua:
a) adeguate misure di natura tecnica e
organizzativa per assicurare la sicurezza delle reti e dei
servizi di comunicazione elettronica accessibili al
pubblico, nonche' per garantire l'integrita' delle reti.
Tali misure sono anche finalizzate a prevenire e limitare
le conseguenze per gli utenti e le reti interconnesse degli
incidenti che pregiudicano la sicurezza;
b) i casi in cui le violazioni della sicurezza o
perdita dell'integrita' siano da considerarsi significative
ai fini del corretto funzionamento delle reti o dei
servizi.
2. Le imprese che forniscono reti pubbliche di
comunicazioni o servizi di comunicazione elettronica
accessibili al pubblico:
a) adottano le misure individuate dal Ministero di
cui al comma 1, lettera a), al fine di conseguire un
livello di sicurezza delle reti adeguato al rischio
esistente, e di garantire la continuita' della fornitura
dei servizi su tali reti;
b) comunicano al Ministero ogni significativa
violazione della sicurezza o perdita dell'integrita'
secondo quanto previsto al comma 1, lettera b).
3. Nei casi di cui al comma 2, lettera b), il
Ministero informa le altre autorita' nazionali
eventualmente interessate per le relative iniziative di
competenza, e, se del caso, informa le autorita' degli
altri Stati membri nonche' l'ENISA.
4. Il Ministero, anche su impulso dell'Autorita',
puo' informare il pubblico o imporre all'impresa di farlo,
ove accerti che la divulgazione della violazione di cui al
comma 2, lettera b), sia nell'interesse pubblico. Anche a
tal fine, presso il Ministero e' individuato il Computer
Emergency Response Team (CERT) nazionale, avvalendosi delle
risorse umane, strumentali e finanziarie e disponibili, con
compiti di assistenza tecnica in caso di segnalazioni da
parte di utenti e di diffusione di informazioni anche
riguardanti le contromisure adeguate per i tipi piu' comuni
di incidente.
5. Il Ministero trasmette ogni anno alla Commissione
europea e all'ENISA una relazione sintetica delle notifiche
ricevute e delle azioni adottate conformemente al presente
articolo.»
«Art. 16-ter (Attuazione e controllo). - 1. Le misure
adottate ai fini dell'attuazione del presente articolo e
dell'articolo 16-bis sono approvate con decreto del
Presidente del Consiglio dei ministri.
2. Ai fini del controllo del rispetto dell'articolo
16-bis le imprese che forniscono reti pubbliche di
comunicazioni o servizi di comunicazione elettronica
accessibili al pubblico sono tenute a:
a) fornire al Ministero, e se necessario
all'Autorita', le informazioni necessarie per valutare la
sicurezza e l'integrita' dei loro servizi e delle loro
reti, in particolare i documenti relativi alle politiche di
sicurezza; nonche';
b) sottostare a una verifica della sicurezza
effettuata dal Ministero, anche su impulso dell'Autorita' o
da un organismo qualificato indipendente designato dal
Ministero. L'impresa si assume l'onere finanziario della
verifica
3. Il Ministero e l'Autorita' hanno la facolta' di
indagare i casi di mancata conformita' nonche' i loro
effetti sulla sicurezza e l'integrita' delle reti.
4. Nel caso in cui il Ministero riscontri, anche su
indicazione dell'Autorita', il mancato rispetto
degliarticoli 16-bis o 16-ter ovvero delle disposizioni
attuative previste dal comma 1 da parte delle imprese che
forniscono reti pubbliche di comunicazioni o servizi di
comunicazione elettronica accessibili al pubblico, si
applicano le sanzioni di cui all'articolo 98, commi da 4 a
12.».
- Per i riferimenti del decreto legislativo NIS, si
veda nei riferimenti normativi all'articolo 1.
- Si riporta il testo dell'articolo 1, comma 8, del
decreto-legge 15 marzo 2012, n. 21 (Norme in materia di
poteri speciali sugli assetti societari nei settori della
difesa e della sicurezza nazionale, nonche' per le
attivita' di rilevanza strategica nei settori dell'energia,
dei trasporti e delle comunicazioni), pubblicato nella
Gazzetta Ufficiale 15 marzo 2012, n. 63, convertito, con
modificazioni, dalla legge 11 maggio 2012, n. 56,
pubblicata nella Gazzetta Ufficiale 14 maggio 2012, n. 111:
«Art. 1 (Poteri speciali nei settori della difesa e
della sicurezza nazionale). - (Omissis).
8. Con regolamento, adottato ai sensi dell'articolo
17, comma 1, della legge 23 agosto 1988, n. 400, e
successive modificazioni, previo parere delle Commissioni
parlamentari competenti, su proposta del Ministro
dell'economia e delle finanze, di concerto con il Ministro
degli affari esteri, il Ministro dell'interno, il Ministro
della difesa e il Ministro dello sviluppo economico, sono
emanate disposizioni di attuazione del presente articolo,
anche con riferimento alla definizione, nell'ambito delle
risorse umane, strumentali e finanziarie disponibili a
legislazione vigente e senza nuovi o maggiori oneri a
carico del bilancio dello Stato, delle modalita'
organizzative per lo svolgimento delle attivita'
propedeutiche all'esercizio dei poteri speciali previsti
dal presente articolo. Il parere di cui al primo periodo e'
espresso entro il termine di venti giorni dalla data di
trasmissione dello schema di regolamento alle Camere.
Decorso tale termine, il regolamento puo' essere comunque
adottato. Fino all'adozione del medesimo regolamento, le
competenze inerenti alle proposte per l'esercizio dei
poteri speciali, di cui al comma 1, e le attivita'
conseguenti, di cui ai commi 4 e 5, sono attribuite al
Ministero dell'economia e delle finanze per le societa' da
esso partecipate, ovvero, per le altre societa', al
Ministero della difesa o al Ministero dell'interno, secondo
i rispettivi ambiti di competenza.».
- Si riporta il testo dell'articolo 4 della citata
legge n. 124 del 2007:
«Art. 4 (Dipartimento delle informazioni per la
sicurezza). - 1. Per lo svolgimento dei compiti di cui al
comma 3 e' istituito, presso la Presidenza del Consiglio
dei ministri, il Dipartimento delle informazioni per la
sicurezza (DIS).
2. Il Presidente del Consiglio dei ministri e
l'Autorita' delegata, ove istituita, si avvalgono del DIS
per l'esercizio delle loro competenze, al fine di
assicurare piena unitarieta' nella programmazione della
ricerca informativa del Sistema di informazione per la
sicurezza, nonche' nelle analisi e nelle attivita'
operative dei servizi di informazione per la sicurezza.
3. Il DIS svolge i seguenti compiti:
a) coordina l'intera attivita' di informazione per
la sicurezza, verificando altresi' i risultati delle
attivita' svolte dall'AISE e dall'AISI, ferma restando la
competenza dei predetti servizi relativamente alle
attivita' di ricerca informativa e di collaborazione con i
servizi di sicurezza degli Stati esteri;
b) e' costantemente informato delle operazioni di
competenza dei servizi di informazione per la sicurezza e
trasmette al Presidente del Consiglio dei ministri le
informative e le analisi prodotte dal Sistema di
informazione per la sicurezza;
c) raccoglie le informazioni, le analisi e i
rapporti provenienti dai servizi di informazione per la
sicurezza, dalle Forze armate e di polizia, dalle
amministrazioni dello Stato e da enti di ricerca anche
privati; ferma l'esclusiva competenza dell'AISE e dell'AISI
per l'elaborazione dei rispettivi piani di ricerca
operativa, elabora analisi strategiche o relative a
particolari situazioni; formula valutazioni e previsioni,
sulla scorta dei contributi analitici settoriali dell'AISE
e dell'AISI;
d) elabora, anche sulla base delle informazioni e
dei rapporti di cui alla lettera c), analisi globali da
sottoporre al CISR, nonche' progetti di ricerca
informativa, sui quali decide il Presidente del Consiglio
dei ministri, dopo avere acquisito il parere del CISR;
d-bis) sulla base delle direttive di cui
all'articolo 1, comma 3-bis, nonche' delle informazioni e
dei rapporti di cui alla lettera c) del presente comma,
coordina le attivita' di ricerca informativa finalizzate a
rafforzare la protezione cibernetica e la sicurezza
informatica nazionali;
e) promuove e garantisce, anche attraverso riunioni
periodiche, lo scambio informativo tra l'AISE, l'AISI e le
Forze di polizia; comunica al Presidente del Consiglio dei
ministri le acquisizioni provenienti dallo scambio
informativo e i risultati delle riunioni periodiche;
f) trasmette, su disposizione del Presidente del
Consiglio dei ministri, sentito il CISR, informazioni e
analisi ad amministrazioni pubbliche o enti, anche ad
ordinamento autonomo, interessati all'acquisizione di
informazioni per la sicurezza;
g) elabora, d'intesa con l'AISE e l'AISI, il piano
di acquisizione delle risorse umane e materiali e di ogni
altra risorsa comunque strumentale all'attivita' dei
servizi di informazione per la sicurezza, da sottoporre
all'approvazione del Presidente del Consiglio dei ministri;
h) sentite l'AISE e l'AISI, elabora e sottopone
all'approvazione del Presidente del Consiglio dei ministri
lo schema del regolamento di cui all'articolo 21, comma 1;
i) esercita il controllo sull'AISE e sull'AISI,
verificando la conformita' delle attivita' di informazione
per la sicurezza alle leggi e ai regolamenti, nonche' alle
direttive e alle disposizioni del Presidente del Consiglio
dei ministri. Per tale finalita', presso il DIS e'
istituito un ufficio ispettivo le cui modalita' di
organizzazione e di funzionamento sono definite con il
regolamento di cui al comma 7. Con le modalita' previste da
tale regolamento e' approvato annualmente, previo parere
del Comitato parlamentare di cui all'articolo 30, il piano
annuale delle attivita' dell'ufficio ispettivo. L'ufficio
ispettivo, nell'ambito delle competenze definite con il
predetto regolamento, puo' svolgere, anche a richiesta del
direttore generale del DIS, autorizzato dal Presidente del
Consiglio dei ministri, inchieste interne su specifici
episodi e comportamenti verificatisi nell'ambito dei
servizi di informazione per la sicurezza;
l) assicura l'attuazione delle disposizioni
impartite dal Presidente del Consiglio dei Ministri con
apposito regolamento adottato ai sensi dell'articolo 1,
comma 2, ai fini della tutela amministrativa del segreto di
Stato e delle classifiche di segretezza, vigilando altresi'
sulla loro corretta applicazione;
m) cura le attivita' di promozione e diffusione
della cultura della sicurezza e la comunicazione
istituzionale;
n) impartisce gli indirizzi per la gestione
unitaria del personale di cui all'articolo 21, secondo le
modalita' definite dal regolamento di cui al comma 1 del
medesimo articolo;
n-bis) gestisce unitariamente, ferme restando le
competenze operative dell'AISE e dell'AISI, gli
approvvigionamenti e i servizi logistici comuni.
4. Fermo restando quanto previsto dall'articolo
118-bis del codice di procedura penale, introdotto
dall'articolo 14 della presente legge, qualora le
informazioni richieste alle Forze di polizia, ai sensi
delle lettere c) ed e) del comma 3 del presente articolo,
siano relative a indagini di polizia giudiziaria, le
stesse, se coperte dal segreto di cui all'articolo 329 del
codice di procedura penale, possono essere acquisite solo
previo nulla osta della autorita' giudiziaria competente.
L'autorita' giudiziaria puo' trasmettere gli atti e le
informazioni anche di propria iniziativa.
5. La direzione generale del DIS e' affidata ad un
dirigente di prima fascia o equiparato dell'amministrazione
dello Stato, la cui nomina e revoca spettano in via
esclusiva al Presidente del Consiglio dei ministri, sentito
il CISR. L'incarico ha comunque la durata massima di
quattro anni ed e' rinnovabile con successivi provvedimenti
per una durata complessiva massima di ulteriori quattro
anni. Per quanto previsto dalla presente legge, il
direttore del DIS e' il diretto referente del Presidente
del Consiglio dei ministri e dell'Autorita' delegata, ove
istituita, salvo quanto previsto dall'articolo 6, comma 5,
e dall'articolo 7, comma 5, ed e' gerarchicamente e
funzionalmente sovraordinato al personale del DIS e degli
uffici istituiti nell'ambito del medesimo Dipartimento.
6. Il Presidente del Consiglio dei ministri, sentito
il direttore generale del DIS, nomina uno o piu' vice
direttori generali; il direttore generale affida gli altri
incarichi nell'ambito del Dipartimento, ad eccezione degli
incarichi il cui conferimento spetta al Presidente del
Consiglio dei ministri.
7. L'ordinamento e l'organizzazione del DIS e degli
uffici istituiti nell'ambito del medesimo Dipartimento sono
disciplinati con apposito regolamento.
8. Il regolamento previsto dal comma 7 definisce le
modalita' di organizzazione e di funzionamento dell'ufficio
ispettivo di cui al comma 3, lettera i), secondo i seguenti
criteri:
a) agli ispettori e' garantita piena autonomia e
indipendenza di giudizio nell'esercizio delle funzioni di
controllo;
b) salva specifica autorizzazione del Presidente
del Consiglio dei ministri o dell'Autorita' delegata, ove
istituita, i controlli non devono interferire con le
operazioni in corso;
c) sono previste per gli ispettori specifiche prove
selettive e un'adeguata formazione;
d) non e' consentito il passaggio di personale
dall'ufficio ispettivo ai servizi di informazione per la
sicurezza;
e) gli ispettori, previa autorizzazione del
Presidente del Consiglio dei ministri o dell'Autorita'
delegata, ove istituita, possono accedere a tutti gli atti
conservati presso i servizi di informazione per la
sicurezza e presso il DIS; possono altresi' acquisire,
tramite il direttore generale del DIS, altre informazioni
da enti pubblici e privati.».
- Si riporta il testo dell'articolo 1, comma 19-bis del
citato decreto-legge n. 105 del 2019:
«Art. 1 (Perimetro di sicurezza nazionale
cibernetica). - 19-bis. Il Presidente del Consiglio dei
ministri coordina la coerente attuazione delle disposizioni
del presente decreto che disciplinano il perimetro di
sicurezza nazionale cibernetica, anche avvalendosi del
Dipartimento delle informazioni per la sicurezza, che
assicura gli opportuni raccordi con le autorita' titolari
delle attribuzioni di cui al presente decreto e con i
soggetti di cui al comma 1 del presente articolo. Entro
sessanta giorni dalla data di entrata in vigore del
regolamento di cui al comma 6, il Presidente del Consiglio
dei ministri trasmette alle Camere una relazione sulle
attivita' svolte.».
- Per il testo dell'articolo 5 del citato decreto-legge
n. 105 del 2019, si rinvia ai riferimenti normativi
dell'articolo 4.
- Si riportano i testi degli articoli 51 e 71 del
decreto legislativo 7 marzo 2005, n. 82 (Codice
dell'amministrazione digitale), pubblicato nella Gazzetta
Ufficiale 16 maggio 2005, n. 112, S.O.:
«Art. 51 (Sicurezza e disponibilita' dei dati, dei
sistemi e delle infrastrutture delle pubbliche
amministrazioni). - 1. Con le Linee guida sono individuate
le soluzioni tecniche idonee a garantire la protezione, la
disponibilita', l'accessibilita', l'integrita' e la
riservatezza dei dati e la continuita' operativa dei
sistemi e delle infrastrutture.
1-bis. AgID attua, per quanto di competenza e in
raccordo con le altre autorita' competenti in materia, il
Quadro strategico nazionale per la sicurezza dello spazio
cibernetico e il Piano nazionale per la sicurezza
cibernetica e la sicurezza informatica. AgID, in tale
ambito:
a) coordina, tramite il Computer Emergency Response
Team Pubblica Amministrazione (CERT-PA) istituito nel suo
ambito, le iniziative di prevenzione e gestione degli
incidenti di sicurezza informatici;
b) promuove intese con le analoghe strutture
internazionali;
c) segnala al Ministro per la semplificazione e la
pubblica amministrazione il mancato rispetto delle regole
tecniche di cui al comma 1(441) da parte delle pubbliche
amministrazioni
2. I documenti informatici delle pubbliche
amministrazioni devono essere custoditi e controllati con
modalita' tali da ridurre al minimo i rischi di
distruzione, perdita, accesso non autorizzato o non
consentito o non conforme alle finalita' della raccolta.
2-bis.
2-ter. I soggetti di cui all'articolo 2, comma 2,
aderiscono ogni anno ai programmi di sicurezza preventiva
coordinati e promossi da AgID secondo le procedure dettate
dalla medesima AgID con le Linee guida.
2-quater. I soggetti di cui articolo 2, comma 2,
predispongono, nel rispetto delle Linee guida adottate
dall'AgID, piani di emergenza in grado di assicurare la
continuita' operativa delle operazioni indispensabili per i
servizi erogati e il ritorno alla normale operativita'.
Onde garantire quanto previsto, e' possibile il ricorso
all'articolo 15 della legge 7 agosto 1990, n. 241, per
l'erogazione di servizi applicativi, infrastrutturali e di
dati, con ristoro dei soli costi di funzionamento. Per le
Amministrazioni dello Stato coinvolte si provvede mediante
rimodulazione degli stanziamenti dei pertinenti capitoli di
spesa o mediante riassegnazione alla spesa degli importi
versati a tale titolo ad apposito capitolo di entrata del
bilancio statale.»
«Art. 71 (Regole tecniche). - 1. L'AgID, previa
consultazione pubblica da svolgersi entro il termine di
trenta giorni, sentiti le amministrazioni competenti e il
Garante per la protezione dei dati personali nelle materie
di competenza, nonche' acquisito il parere della Conferenza
unificata, adotta Linee guida contenenti le regole tecniche
e di indirizzo per l'attuazione del presente Codice. Le
Linee guida divengono efficaci dopo la loro pubblicazione
nell'apposita area del sito Internet istituzionale
dell'AgID e di essa ne e' data notizia nella Gazzetta
Ufficiale della Repubblica italiana. Le Linee guida sono
aggiornate o modificate con la procedura di cui al primo
periodo.
1-bis.
1-ter. Le regole tecniche di cui al presente codice
sono dettate in conformita' ai requisiti tecnici di
accessibilita' di cui all'articolo 11 della legge 9 gennaio
2004, n. 4, alle discipline risultanti dal processo di
standardizzazione tecnologica a livello internazionale ed
alle normative dell'Unione europea.
2.».
- Si riporta il testo dell'articolo 33-septies, comma
4, del decreto-legge 18 ottobre 2012, n. 179 (Ulteriori
misure urgenti per la crescita del Paese), pubblicato nella
Gazzetta Ufficiale 19 ottobre 2012, n. 245, S.O.,
convertito, con modificazioni, dalla legge 17 dicembre
2012, n. 221, pubblicata nella Gazzetta Ufficiale 18
dicembre 2012, n. 294, S.O.:
«Art. 33-septies (Consolidamento e razionalizzazione
dei siti e delle infrastrutture digitali del Paese). - 1.
-3. (Omissis).
4. L'Agenzia per la cybersicurezza nazionale, con
proprio regolamento, d'intesa con la competente struttura
della Presidenza del Consiglio dei ministri, nel rispetto
della disciplina introdotta daldecreto-legge 21 settembre
2019, n. 105, convertito, con modificazioni, dallalegge 18
novembre 2019, n. 133, stabilisce i livelli minimi di
sicurezza, capacita' elaborativa, risparmio energetico e
affidabilita' delle infrastrutture digitali per la pubblica
amministrazione, ivi incluse le infrastrutture di cui ai
commi 1 e 4-ter. Definisce, inoltre, le caratteristiche di
qualita', di sicurezza, di performance e scalabilita',
interoperabilita', portabilita' dei servizi cloud per la
pubblica amministrazione. Con lo stesso regolamento sono
individuati i termini e le modalita' con cui le
amministrazioni devono effettuare le migrazioni di cui ai
commi 1 e 1-bis.».
- Si riporta il testo dell'articolo 8 del citato
decreto legislativo n. 65 del 2018:
«Art. 8 (Gruppi di intervento per la sicurezza
informatica in caso di incidente - CSIRT). - 1. E'
istituito, presso l'Agenzia di cybersicurezza nazionale, il
CSIRT Italia, che svolge i compiti e le funzioni del
Computer Emergency Response Team (CERT) nazionale, di cui
all'articolo 16-bis del decreto legislativo 1° agosto 2003,
n. 259, e del CERT-PA, gia' operante presso l'Agenzia per
l'Italia digitale ai sensi dell'articolo 51 del decreto
legislativo 7 marzo 2005, n. 82.
2. L'organizzazione e il funzionamento del CSIRT
Italia sono disciplinati con decreto del Presidente del
Consiglio dei ministri ai sensi dell'articolo 7 del decreto
legislativo 30 luglio 1999, n. 303, da adottare entro il 9
novembre 2018.
3. Nelle more dell'adozione del decreto di cui al
comma 2, le funzioni di CSIRT Italia sono svolte dal CERT
nazionale unitamente al CERT-PA in collaborazione tra loro.
4. Il CSIRT Italia assicura la conformita' ai
requisiti di cui all'allegato I, punto 1, svolge i compiti
di cui all'allegato I, punto 2, si occupa dei settori di
cui all'allegato II e dei servizi di cui all'allegato III e
dispone di un'infrastruttura di informazione e
comunicazione appropriata, sicura e resiliente a livello
nazionale.
5. Il CSIRT Italia definisce le procedure per la
prevenzione e la gestione degli incidenti informatici.
6. Il CSIRT Italia garantisce la collaborazione
effettiva, efficiente e sicura, nella rete di CSIRT di cui
all'articolo 11.
7. La Presidenza del Consiglio dei ministri comunica
alla Commissione europea il mandato del CSIRT Italia e le
modalita' di trattamento degli incidenti a questo affidati.
8. Il CSIRT Italia, per lo svolgimento delle proprie
funzioni, puo' avvalersi anche dell'Agenzia per l'Italia
digitale.
9. Le funzioni svolte dal Ministero dello sviluppo
economico in qualita' di CERT nazionale ai sensi
dell'articolo 16-bis, del decreto legislativo 1° agosto
2003, n. 259, nonche' quelle svolte da Agenzia per l'Italia
digitale in qualita' di CERT-PA, ai sensi dell'articolo 51
del decreto legislativo 7 marzo 2005, n. 82, sono
trasferite al CSIRT Italia a far data dalla entrata in
vigore del decreto di cui al comma 2.
10. Per le spese relative al funzionamento del CSIRT
Italia e' autorizzata la spesa di 2.000.000 di euro annui a
decorrere dall'anno 2020. A tali oneri si provvede ai sensi
dell'articolo 22.».
- Il Regolamento (CE) n. 2021/887/UE del Parlamento
europeo e del Consiglio 20 maggio 2021, che istituisce il
Centro europeo di competenza per la cibersicurezza
nell'ambito industriale, tecnologico e della ricerca e la
rete dei centri nazionali di coordinamento, e' pubblicato
nella G.U.U.E. 8 giugno 2021, n. L 202.