Art. 7 Funzioni dell'Agenzia per la cybersicurezza nazionale 1. L'Agenzia: a) e' Autorita' nazionale per la cybersicurezza e, in relazione a tale ruolo, assicura, nel rispetto delle competenze attribuite dalla normativa vigente ad altre amministrazioni, ferme restando le attribuzioni del Ministro dell'interno in qualita' di autorita' nazionale di pubblica sicurezza, ai sensi della legge 1° aprile 1981, n. 121, il coordinamento tra i soggetti pubblici coinvolti in materia di cybersicurezza a livello nazionale e promuove la realizzazione di azioni comuni dirette ad assicurare la sicurezza e la resilienza cibernetiche per lo sviluppo della digitalizzazione del Paese, del sistema produttivo e delle pubbliche amministrazioni, nonche' per il conseguimento dell'autonomia, nazionale ed europea, riguardo a prodotti e processi informatici di rilevanza strategica a tutela degli interessi nazionali nel settore. Per le reti, i sistemi informativi e i servizi informatici attinenti alla gestione delle informazioni classificate restano fermi sia quanto previsto dal regolamento adottato ai sensi dell'articolo 4, comma 3, lettera l), della legge n. 124 del 2007, sia le competenze dell'Ufficio centrale per la segretezza di cui all'articolo 9 della medesima legge n. 124 del 2007; b) predispone la strategia nazionale di cybersicurezza; c) svolge ogni necessaria attivita' di supporto al funzionamento del Nucleo per la cybersicurezza, di cui all'articolo 8; d) e' Autorita' nazionale competente e punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi, per le finalita' di cui al decreto legislativo NIS, a tutela dell'unita' giuridica dell'ordinamento, ed e' competente all'accertamento delle violazioni e all'irrogazione delle sanzioni amministrative previste dal medesimo decreto; e) e' Autorita' nazionale di certificazione della cybersicurezza ai sensi dell'articolo 58 del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, e assume tutte le funzioni in materia di certificazione di sicurezza cibernetica gia' attribuite al Ministero dello sviluppo economico dall'ordinamento vigente, comprese quelle relative all'accertamento delle violazioni e all'irrogazione delle sanzioni; nello svolgimento dei compiti di cui alla presente lettera: 1) accredita, ai sensi dell'articolo 60, ((paragrafo 1)), del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, le strutture specializzate del Ministero della difesa e del Ministero dell'interno quali organismi di valutazione della conformita' per i sistemi di rispettiva competenza; 2) delega, ai sensi dell'articolo 56, ((paragrafo 6)), lettera b), del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, il Ministero della difesa e il Ministero dell'interno, attraverso le rispettive strutture accreditate di cui al ((numero 1) della presente lettera,)) al rilascio del certificato europeo di sicurezza cibernetica; f) assume tutte le funzioni in materia di cybersicurezza gia' attribuite dalle disposizioni vigenti al Ministero dello sviluppo economico, ivi comprese quelle relative: 1) al perimetro di sicurezza nazionale cibernetica, di cui al decreto-legge perimetro e ai relativi provvedimenti attuativi, ivi incluse le funzioni attribuite al Centro di valutazione e certificazione nazionale ai sensi del decreto-legge perimetro, le attivita' di ispezione e verifica di cui all'articolo 1, comma 6, lettera c), del decreto-legge perimetro e quelle relative all'accertamento delle violazioni e all'irrogazione delle sanzioni amministrative previste dal medesimo decreto, fatte salve quelle di cui all'articolo 3 del regolamento adottato con decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131; 2) alla sicurezza e all'integrita' delle comunicazioni elettroniche, di cui agli articoli 16-bis e 16-ter del decreto legislativo 1° agosto 2003, n. 259, e relative disposizioni attuative; 3) alla sicurezza delle reti e dei sistemi informativi, di cui al decreto legislativo NIS; g) partecipa, per gli ambiti di competenza, al gruppo di coordinamento istituito ai sensi dei regolamenti di cui all'articolo 1, comma 8, del decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56; h) assume tutte le funzioni attribuite alla Presidenza del Consiglio dei ministri in materia di perimetro di sicurezza nazionale cibernetica, di cui al decreto-legge perimetro e ai relativi provvedimenti attuativi, ivi incluse le attivita' di ispezione e verifica di cui all'articolo 1, comma 6,lettera c), del decreto-legge perimetro e quelle relative all'accertamento delle violazioni e all'irrogazione delle sanzioni amministrative previste dal medesimo decreto, fatte salve quelle di cui all'articolo 3 del regolamento adottato con decreto del Presidente del Consiglio dei ministri n. 131 del 2020; i) assume tutte le funzioni gia' attribuite al ((Dipartimento delle informazioni per la sicurezza (DIS), di cui all'articolo 4 della legge 3 agosto 2007, n. 124,)) dal decreto-legge perimetro e dai relativi provvedimenti attuativi e supporta il Presidente del Consiglio dei ministri ai fini dell'articolo 1, comma 19-bis, del decreto-legge perimetro; l) provvede, sulla base delle attivita' di competenza del Nucleo per la cybersicurezza di cui all'articolo 8, alle attivita' necessarie per l'attuazione e il controllo dell'esecuzione dei provvedimenti assunti dal Presidente del Consiglio dei ministri ai sensi dell'articolo 5 del decreto-legge perimetro; m) assume tutte le funzioni in materia di cybersicurezza gia' attribuite all'Agenzia per l'Italia digitale dalle disposizioni vigenti e, in particolare, quelle di cui all'articolo 51 del decreto legislativo 7 marzo 2005, n. 82, ((nonche' quelle in materia)) di adozione di linee guida contenenti regole tecniche di cybersicurezza ai sensi dell'articolo 71 del medesimo decreto legislativo. L'Agenzia assume, altresi', i compiti di cui all'articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, gia' attribuiti all'Agenzia per l'Italia digitale; ((m-bis) assume le iniziative idonee a valorizzare la crittografia come strumento di cybersicurezza, anche attraverso un'apposita sezione dedicata nell'ambito della strategia di cui alla lettera b). In particolare, l'Agenzia attiva ogni iniziativa utile volta al rafforzamento dell'autonomia industriale e tecnologica dell'Italia, valorizzando lo sviluppo di algoritmi proprietari nonche' la ricerca e il conseguimento di nuove capacita' crittografiche nazionali; m-ter) provvede alla qualificazione dei servizi cloud per la pubblica amministrazione nel rispetto della disciplina dell'Unione europea e del regolamento di cui all'articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221;)) n) sviluppa capacita' nazionali di prevenzione, monitoraggio, rilevamento, analisi e risposta, per prevenire e gestire gli incidenti di sicurezza informatica e gli attacchi informatici, anche attraverso il CSIRT Italia di cui all'articolo 8 del decreto legislativo NIS. ((A tale fine, promuove iniziative di partenariato pubblico-privato, per rendere affettive tali capacita';)) o) partecipa alle esercitazioni nazionali e internazionali che riguardano la simulazione di eventi di natura cibernetica al fine di innalzare la resilienza del Paese; p) cura e promuove la definizione ed il mantenimento di un quadro giuridico nazionale aggiornato e coerente nel dominio della cybersicurezza, tenendo anche conto degli orientamenti e degli sviluppi in ambito internazionale. A tal fine, l'Agenzia esprime pareri non vincolanti sulle iniziative legislative o regolamentari concernenti la cybersicurezza; q) coordina, in raccordo con il Ministero degli affari esteri e della cooperazione internazionale, la cooperazione internazionale nella materia della cybersicurezza. Nell'ambito dell'Unione europea e a livello internazionale, l'Agenzia cura i rapporti con i competenti organismi, ((istituzioni ed enti)), nonche' segue nelle competenti sedi istituzionali le tematiche di cybersicurezza, fatta eccezione per gli ambiti in cui la legge attribuisce specifiche competenze ad altre amministrazioni. In tali casi, e' comunque assicurato il raccordo con l'Agenzia al fine di garantire posizioni nazionali unitarie e coerenti con le politiche di cybersicurezza definite dal Presidente del Consiglio dei ministri; r) perseguendo obiettivi di eccellenza, supporta negli ambiti di competenza, mediante il coinvolgimento del sistema dell'universita' e della ricerca nonche' del sistema produttivo nazionali, lo sviluppo di competenze e capacita' industriali, tecnologiche e scientifiche. A tali fini, l'Agenzia puo' promuovere, sviluppare e finanziare specifici progetti ed iniziative, volti anche a favorire il trasferimento tecnologico dei risultati della ricerca nel settore. L'Agenzia assicura il necessario raccordo con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza ((e, in particolare, con il Ministero della difesa per gli aspetti inerenti alla ricerca militare. L'Agenzia puo' altresi' promuovere la costituzione di aree dedicate allo sviluppo dell'innovazione finalizzate a favorire la formazione e il reclutamento di personale nei settori avanzati dello sviluppo della cybersicurezza, nonche' promuovere la realizzazione di studi di fattibilita' e di analisi valutative finalizzati a tale scopo;)) s) stipula accordi bilaterali e multilaterali, anche mediante il coinvolgimento del settore privato e industriale, con istituzioni, enti e organismi di altri Paesi per la partecipazione dell'Italia a programmi di cybersicurezza, assicurando il necessario raccordo con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza, ferme restando le competenze del ((Ministero degli affari esteri)) e della cooperazione internazionale; t) promuove, sostiene e coordina la partecipazione italiana a progetti e iniziative dell'Unione europea e internazionali, anche mediante il coinvolgimento di soggetti pubblici e privati nazionali, nel campo della cybersicurezza e dei correlati servizi applicativi, ferme restando le competenze del ((Ministero degli affari esteri)) e della cooperazione internazionale. L'Agenzia assicura il necessario raccordo con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza ((e, in particolare, con il Ministero della difesa per gli aspetti inerenti a progetti e iniziative in collaborazione con la NATO e con l'Agenzia europea per la difesa;)) u) svolge attivita' di comunicazione e promozione della consapevolezza in materia di cybersicurezza, al fine di contribuire allo sviluppo di una cultura nazionale in materia; v) promuove la formazione, la crescita tecnico-professionale e la qualificazione delle risorse umane nel campo della cybersicurezza, ((in particolare favorendo l'attivazione di percorsi formativi universitari in materia)), anche attraverso l'assegnazione di borse di studio, di dottorato e assegni di ricerca, sulla base di apposite convenzioni con soggetti pubblici e privati; ((nello svolgimento di tali compiti, l'Agenzia puo' avvalersi anche delle strutture formative e delle capacita' della Presidenza del Consiglio dei ministri, del Ministero della difesa e del Ministero dell'interno, secondo termini e modalita' da definire con apposito decreto del Presidente del Consiglio dei ministri, di concerto con i Ministri interessati; v-bis) puo' predisporre attivita' di formazione specifica riservate ai giovani che aderiscono al servizio civile regolate sulla base di apposite convenzioni. In ogni caso, il servizio prestato e', a tutti gli effetti, riconosciuto come servizio civile;)) z) per le finalita' di cui al presente articolo, puo' costituire e partecipare a partenariati pubblico-privato sul territorio nazionale, nonche', previa autorizzazione del Presidente del Consiglio dei ministri, a consorzi, fondazioni o societa' con soggetti pubblici e privati, italiani e stranieri; aa) e' designata quale Centro nazionale di coordinamento ai sensi dell'articolo 6 del regolamento (UE) 2021/887 del Parlamento europeo e del Consiglio del 20 maggio 2021, che istituisce il Centro europeo di competenza per la cybersicurezza nell'ambito industriale, tecnologico e della ricerca e la rete dei centri nazionali di coordinamento. ((1-bis. Anche ai fini dell'esercizio delle funzioni di cui al comma 1, lettere r), s), t), u), v), z) e aa), presso l'Agenzia e' istituito, con funzioni di consulenza e di proposta, un Comitato tecnico-scientifico, presieduto dal direttore generale della medesima Agenzia, o da un dirigente da lui delegato, e composto da personale della stessa Agenzia e da qualificati rappresentanti dell'industria, degli enti di ricerca, dell'accademia e delle associazioni del settore della sicurezza, designati con decreto del Presidente del Consiglio dei ministri. La composizione e l'organizzazione del Comitato tecnico-scientifico sono disciplinate secondo le modalita' e i criteri definiti dal regolamento di cui all'articolo 6, comma 1. Per la partecipazione al Comitato tecnico-scientifico non sono previsti gettoni di presenza, compensi o rimborsi di spese.)) 2. Nell'ambito dell'Agenzia sono nominati, con decreto del Presidente del Consiglio dei ministri, il rappresentante nazionale, e il suo sostituto, nel Consiglio di direzione del Centro europeo di competenza perla cybersicurezza nell'ambito industriale, tecnologico e della ricerca, ai sensi dell'articolo 12 del regolamento (UE) 2021/887. 3. Il CSIRT italiano di cui all'articolo 8 del decreto legislativo NIS e' trasferito presso l'Agenzia e assume la denominazione di: «CSIRT Italia». 4. Il Centro di valutazione e certificazione nazionale, istituito presso il Ministero dello sviluppo economico, e' trasferito presso l'Agenzia. 5. Nel rispetto delle competenze del Garante per la protezione dei dati personali, l'Agenzia, per le finalita' di cui al presente decreto, consulta il Garante e collabora con esso, anche in relazione agli incidenti che comportano violazioni di dati personali. L'Agenzia e il Garante possono stipulare appositi protocolli d'intenti che definiscono altresi' le modalita' della loro collaborazione nell'ambito delle risorse disponibili a legislazione vigente e senza nuovi o maggiori oneri per la finanza pubblica.
Riferimenti normativi - La legge 1° aprile 1981, n. 121, recante «Nuovo ordinamento dell'Amministrazione della pubblica sicurezza», e' pubblicata nella Gazzetta Ufficiale 10 aprile 1981, n. 100, S.O.. - Si riporta il testo dell'articolo 4, comma 3, lett. l), della citata legge n. 124 del 2007: «Art. 4 (Dipartimento delle informazioni per la sicurezza). - 1. - 2. (Omissis). 3. Il DIS svolge i seguenti compiti: a) - i) (Omissis); l) assicura l'attuazione delle disposizioni impartite dal Presidente del Consiglio dei Ministri con apposito regolamento adottato ai sensi dell'articolo 1, comma 2, ai fini della tutela amministrativa del segreto di Stato e delle classifiche di segretezza, vigilando altresi' sulla loro corretta applicazione; m) - n-bis) (Omissis).». - Si riporta il testo dell'articolo 9 della citata legge n. 124 del 2007: «Art. 9 (Tutela amministrativa del segreto e nulla osta di sicurezza). - 1. E' istituito nell'ambito del DIS, ai sensi dell'articolo 4, comma 7, l'Ufficio centrale per la segretezza (UCSe), che svolge funzioni direttive e di coordinamento, di consulenza e di controllo sull'applicazione delle norme di legge, dei regolamenti e di ogni altra disposizione in ordine alla tutela amministrativa del segreto di Stato e alle classifiche di segretezza di cui all'articolo 42. 2. Competono all'UCSe: a) gli adempimenti istruttori relativi all'esercizio delle funzioni del Presidente del Consiglio dei ministri quale Autorita' nazionale per la sicurezza, a tutela del segreto di Stato; b) lo studio e la predisposizione delle disposizioni esplicative volte a garantire la sicurezza di tutto quanto e' coperto dalle classifiche di segretezza di cui all'articolo 42, con riferimento sia ad atti, documenti e materiali, sia alla produzione industriale; c) il rilascio e la revoca dei nulla osta di sicurezza (NOS), previa acquisizione del parere dei direttori dei servizi di informazione per la sicurezza e, ove necessario, del Ministro della difesa e del Ministro dell'interno; d) la conservazione e l'aggiornamento di un elenco completo di tutti i soggetti muniti di NOS. 3. Il NOS ha la durata di cinque anni per la classifica di segretissimo e di dieci anni per le classifiche segreto e riservatissimo indicate all'articolo 42, fatte salve diverse disposizioni contenute in trattati internazionali ratificati dall'Italia. A ciascuna delle tre classifiche di segretezza citate corrisponde un distinto livello di NOS. 4. Il rilascio del NOS e' subordinato all'effettuazione di un preventivo procedimento di accertamento diretto ad escludere dalla conoscibilita' di notizie, documenti, atti o cose classificate ogni soggetto che non dia sicuro affidamento di scrupolosa fedelta' alle istituzioni della Repubblica, alla Costituzione e ai suoi valori, nonche' di rigoroso rispetto del segreto. 5. Al fine di consentire l'accertamento di cui al comma 4, le Forze armate, le Forze di polizia, le pubbliche amministrazioni e i soggetti erogatori dei servizi di pubblica utilita' collaborano con l'UCSe per l'acquisizione di informazioni necessarie al rilascio dei NOS, ai sensi degli articoli 12 e 13. 6. Prima della scadenza del termine di cui al comma 3, l'UCSe puo' revocare il NOS se, sulla base di segnalazioni e di accertamenti nuovi, emergono motivi di inaffidabilita' a carico del soggetto interessato. 7. Il regolamento di cui all'articolo 4, comma 7, disciplina il procedimento di accertamento preventivo di cui al comma 4 del presente articolo, finalizzato al rilascio del NOS, nonche' gli ulteriori possibili accertamenti di cui al comma 6, in modo tale da salvaguardare i diritti dei soggetti interessati. 8. I soggetti interessati devono essere informati della necessita' dell'accertamento nei loro confronti e, con esclusione del personale per il quale il rilascio costituisce condizione necessaria per l'espletamento del servizio istituzionale nel territorio nazionale e all'estero, possono rifiutarlo, rinunciando al NOS e all'esercizio delle funzioni per le quali esso e' richiesto. 9. Agli appalti di lavori e alle forniture di beni e servizi, per i quali la tutela del segreto sia richiesta da norme di legge o di regolamento ovvero sia ritenuta di volta in volta necessaria, si applicano le disposizioni di cui all'articolo 17, comma 3, del codice dei contratti pubblici relativi a lavori, servizi e forniture, di cui aldecreto legislativo 12 aprile 2006, n. 163. 10. Il soggetto appaltante i lavori e le forniture di cui al comma 9, quando lo ritiene necessario, richiede, tramite l'UCSe, al Presidente del Consiglio dei ministri l'autorizzazione alla segretazione, indicandone i motivi. Contestualmente all'autorizzazione, l'UCSe trasmette al soggetto appaltante l'elenco delle ditte individuali e delle imprese munite di NOS. 11. Il dirigente preposto all'UCSe e' nominato e revocato dal Presidente del Consiglio dei ministri, su proposta dell'Autorita' delegata, ove istituita, sentito il direttore generale del DIS. Il dirigente presenta annualmente al direttore generale del DIS, che informa il Presidente del Consiglio dei ministri, una relazione sull'attivita' svolta e sui problemi affrontati, nonche' sulla rispondenza dell'organizzazione e delle procedure adottate dall'Ufficio ai compiti assegnati e sulle misure da adottare per garantirne la correttezza e l'efficienza. La relazione e' portata a conoscenza del CISR.». - Il regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019 relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza») (Testo rilevante ai fini del SEE), e' pubblicato nella G.U.U.E. 7 giugno 2019, n. L 151. - Si riporta il testo dell'articolo 1, comma 6, lett. c), del citato decreto-legge n. 105 del 2019: «Art. 1 (Perimetro di sicurezza nazionale cibernetica). - 1-5 (Omissis); 6. Con regolamento, adottato ai sensi dell'articolo 17, comma 1, della legge 23 agosto 1988, n. 400, entro dieci mesi dalla data di entrata in vigore della legge di conversione del presente decreto, sono disciplinati le procedure, le modalita' e i termini con cui: a) - b); c) la Presidenza del Consiglio dei ministri, per i profili di pertinenza dei soggetti pubblici e di quelli di cui all'articolo 29 del codice dell'Amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, di cui al comma 2-bis, e il Ministero dello sviluppo economico, per i soggetti privati di cui al medesimo comma, svolgono attivita' di ispezione e verifica in relazione a quanto previsto dal comma 2, lettera b), dal comma 3, dal presente comma e dal comma 7, lettera b), impartendo, se necessario, specifiche prescrizioni; nello svolgimento delle predette attivita' di ispezione e verifica l'accesso, se necessario, a dati o metadati personali e amministrativi e' effettuato in conformita' a quanto previsto dal regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, e dal codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196; per le reti, i sistemi informativi e i servizi informatici di cui al comma 2, lettera b), connessi alla funzione di prevenzione e repressione dei reati, alla tutela dell'ordine e della sicurezza pubblica, alla difesa civile e alla difesa e sicurezza militare dello Stato, le attivita' di ispezione e verifica sono svolte, nell'ambito delle risorse umane e finanziarie disponibili a legislazione vigente e senza nuovi o maggiori oneri a carico della finanza pubblica, dalle strutture specializzate in tema di protezione di reti e sistemi, nonche', nei casi in cui siano espressamente previste dalla legge, in tema di prevenzione e di contrasto del crimine informatico, delle amministrazioni da cui dipendono le Forze di polizia e le Forze armate, che ne comunicano gli esiti alla Presidenza del Consiglio dei ministri per i profili di competenza.». - Si riporta il testo dell'articolo 3 del citato decreto del Presidente Consiglio dei ministri n. 131 del 2020: «Art. 3 (Settori di attivita'). - 1. Ai fini dell'inclusione nel perimetro, sono oggetto di individuazione, in applicazione del criterio di gradualita' di cui all'articolo 1, comma 2, del decreto-legge, in via prioritaria, fatta salva l'estensione ad altri settori in sede di aggiornamento, i soggetti operanti nel settore governativo, concernente, nell'ambito delle attivita' dell'amministrazione dello Stato, le attivita' delle amministrazioni CISR, nonche' gli ulteriori soggetti, pubblici o privati, operanti nei seguenti settori di attivita', ove non ricompresi in quello governativo: a) interno; b) difesa; c) spazio e aerospazio; d) energia; e) telecomunicazioni; f) economia e finanza; g) trasporti; h) servizi digitali; i) tecnologie critiche, di cui all'articolo 4, paragrafo 1, lettera b), del Regolamento (UE) 2019/452 del Parlamento europeo e del Consiglio del 19 marzo 2019, con esclusione di quelle riferite ad altri settori di cui al presente articolo; l) enti previdenziali/lavoro. 2. All'espletamento delle attivita' di cui agli articoli 4 e 5 provvedono, per il settore governativo, le amministrazioni CISR, ciascuna nell'ambito di rispettiva competenza, e, per i settori di cui al comma 1, lettere da a) a l), le seguenti amministrazioni: a) per il settore interno, il Ministero dell'interno, nell'ambito delle attribuzioni di cui all'articolo 14 del decreto legislativo 30 luglio 1999, n. 300; b) per il settore difesa, il Ministero della difesa; c) per il settore spazio e aerospazio, la Presidenza del Consiglio dei ministri, ai sensi della legge 11 gennaio 2018, n. 7; d) per il settore energia, il Ministero dello sviluppo economico; e) per il settore telecomunicazioni, il Ministero dello sviluppo economico; f) per il settore economia e finanza, il Ministero dell'economia e delle finanze; g) per il settore trasporti, il Ministero delle infrastrutture e dei trasporti; h) per il settore servizi digitali, il Ministero dello sviluppo economico, in raccordo con la struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione; i) per il settore tecnologie critiche, la struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione, in raccordo con il Ministero dello sviluppo economico e con il Ministero dell'universita' e della ricerca; l) per il settore enti previdenziali/lavoro, il Ministero del lavoro e delle politiche sociali.». - Si riportano i testi degli articoli 16-bis e 16-ter del decreto legislativo 1° agosto 2003, n. 259 (Codice delle comunicazioni elettroniche), pubblicato nella Gazzetta Ufficiale 15 settembre 2003, n. 214, S.O.): «Art. 16-bis (Sicurezza e integrita'). - 1. Fatte salve le competenze dell'Autorita' previste dall'articolo 1, comma 6, lettera a), numero 3), della legge 31 luglio 1997, n. 249, il Ministero, sentite le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico e tenuto conto delle misure tecniche di attuazione eventualmente adottate dalla Commissione europea, ai sensi dell'articolo 13-bis, comma 4, della direttiva 2002/21/CE, individua: a) adeguate misure di natura tecnica e organizzativa per assicurare la sicurezza delle reti e dei servizi di comunicazione elettronica accessibili al pubblico, nonche' per garantire l'integrita' delle reti. Tali misure sono anche finalizzate a prevenire e limitare le conseguenze per gli utenti e le reti interconnesse degli incidenti che pregiudicano la sicurezza; b) i casi in cui le violazioni della sicurezza o perdita dell'integrita' siano da considerarsi significative ai fini del corretto funzionamento delle reti o dei servizi. 2. Le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico: a) adottano le misure individuate dal Ministero di cui al comma 1, lettera a), al fine di conseguire un livello di sicurezza delle reti adeguato al rischio esistente, e di garantire la continuita' della fornitura dei servizi su tali reti; b) comunicano al Ministero ogni significativa violazione della sicurezza o perdita dell'integrita' secondo quanto previsto al comma 1, lettera b). 3. Nei casi di cui al comma 2, lettera b), il Ministero informa le altre autorita' nazionali eventualmente interessate per le relative iniziative di competenza, e, se del caso, informa le autorita' degli altri Stati membri nonche' l'ENISA. 4. Il Ministero, anche su impulso dell'Autorita', puo' informare il pubblico o imporre all'impresa di farlo, ove accerti che la divulgazione della violazione di cui al comma 2, lettera b), sia nell'interesse pubblico. Anche a tal fine, presso il Ministero e' individuato il Computer Emergency Response Team (CERT) nazionale, avvalendosi delle risorse umane, strumentali e finanziarie e disponibili, con compiti di assistenza tecnica in caso di segnalazioni da parte di utenti e di diffusione di informazioni anche riguardanti le contromisure adeguate per i tipi piu' comuni di incidente. 5. Il Ministero trasmette ogni anno alla Commissione europea e all'ENISA una relazione sintetica delle notifiche ricevute e delle azioni adottate conformemente al presente articolo.» «Art. 16-ter (Attuazione e controllo). - 1. Le misure adottate ai fini dell'attuazione del presente articolo e dell'articolo 16-bis sono approvate con decreto del Presidente del Consiglio dei ministri. 2. Ai fini del controllo del rispetto dell'articolo 16-bis le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico sono tenute a: a) fornire al Ministero, e se necessario all'Autorita', le informazioni necessarie per valutare la sicurezza e l'integrita' dei loro servizi e delle loro reti, in particolare i documenti relativi alle politiche di sicurezza; nonche'; b) sottostare a una verifica della sicurezza effettuata dal Ministero, anche su impulso dell'Autorita' o da un organismo qualificato indipendente designato dal Ministero. L'impresa si assume l'onere finanziario della verifica 3. Il Ministero e l'Autorita' hanno la facolta' di indagare i casi di mancata conformita' nonche' i loro effetti sulla sicurezza e l'integrita' delle reti. 4. Nel caso in cui il Ministero riscontri, anche su indicazione dell'Autorita', il mancato rispetto degliarticoli 16-bis o 16-ter ovvero delle disposizioni attuative previste dal comma 1 da parte delle imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico, si applicano le sanzioni di cui all'articolo 98, commi da 4 a 12.». - Per i riferimenti del decreto legislativo NIS, si veda nei riferimenti normativi all'articolo 1. - Si riporta il testo dell'articolo 1, comma 8, del decreto-legge 15 marzo 2012, n. 21 (Norme in materia di poteri speciali sugli assetti societari nei settori della difesa e della sicurezza nazionale, nonche' per le attivita' di rilevanza strategica nei settori dell'energia, dei trasporti e delle comunicazioni), pubblicato nella Gazzetta Ufficiale 15 marzo 2012, n. 63, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, pubblicata nella Gazzetta Ufficiale 14 maggio 2012, n. 111: «Art. 1 (Poteri speciali nei settori della difesa e della sicurezza nazionale). - (Omissis). 8. Con regolamento, adottato ai sensi dell'articolo 17, comma 1, della legge 23 agosto 1988, n. 400, e successive modificazioni, previo parere delle Commissioni parlamentari competenti, su proposta del Ministro dell'economia e delle finanze, di concerto con il Ministro degli affari esteri, il Ministro dell'interno, il Ministro della difesa e il Ministro dello sviluppo economico, sono emanate disposizioni di attuazione del presente articolo, anche con riferimento alla definizione, nell'ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente e senza nuovi o maggiori oneri a carico del bilancio dello Stato, delle modalita' organizzative per lo svolgimento delle attivita' propedeutiche all'esercizio dei poteri speciali previsti dal presente articolo. Il parere di cui al primo periodo e' espresso entro il termine di venti giorni dalla data di trasmissione dello schema di regolamento alle Camere. Decorso tale termine, il regolamento puo' essere comunque adottato. Fino all'adozione del medesimo regolamento, le competenze inerenti alle proposte per l'esercizio dei poteri speciali, di cui al comma 1, e le attivita' conseguenti, di cui ai commi 4 e 5, sono attribuite al Ministero dell'economia e delle finanze per le societa' da esso partecipate, ovvero, per le altre societa', al Ministero della difesa o al Ministero dell'interno, secondo i rispettivi ambiti di competenza.». - Si riporta il testo dell'articolo 4 della citata legge n. 124 del 2007: «Art. 4 (Dipartimento delle informazioni per la sicurezza). - 1. Per lo svolgimento dei compiti di cui al comma 3 e' istituito, presso la Presidenza del Consiglio dei ministri, il Dipartimento delle informazioni per la sicurezza (DIS). 2. Il Presidente del Consiglio dei ministri e l'Autorita' delegata, ove istituita, si avvalgono del DIS per l'esercizio delle loro competenze, al fine di assicurare piena unitarieta' nella programmazione della ricerca informativa del Sistema di informazione per la sicurezza, nonche' nelle analisi e nelle attivita' operative dei servizi di informazione per la sicurezza. 3. Il DIS svolge i seguenti compiti: a) coordina l'intera attivita' di informazione per la sicurezza, verificando altresi' i risultati delle attivita' svolte dall'AISE e dall'AISI, ferma restando la competenza dei predetti servizi relativamente alle attivita' di ricerca informativa e di collaborazione con i servizi di sicurezza degli Stati esteri; b) e' costantemente informato delle operazioni di competenza dei servizi di informazione per la sicurezza e trasmette al Presidente del Consiglio dei ministri le informative e le analisi prodotte dal Sistema di informazione per la sicurezza; c) raccoglie le informazioni, le analisi e i rapporti provenienti dai servizi di informazione per la sicurezza, dalle Forze armate e di polizia, dalle amministrazioni dello Stato e da enti di ricerca anche privati; ferma l'esclusiva competenza dell'AISE e dell'AISI per l'elaborazione dei rispettivi piani di ricerca operativa, elabora analisi strategiche o relative a particolari situazioni; formula valutazioni e previsioni, sulla scorta dei contributi analitici settoriali dell'AISE e dell'AISI; d) elabora, anche sulla base delle informazioni e dei rapporti di cui alla lettera c), analisi globali da sottoporre al CISR, nonche' progetti di ricerca informativa, sui quali decide il Presidente del Consiglio dei ministri, dopo avere acquisito il parere del CISR; d-bis) sulla base delle direttive di cui all'articolo 1, comma 3-bis, nonche' delle informazioni e dei rapporti di cui alla lettera c) del presente comma, coordina le attivita' di ricerca informativa finalizzate a rafforzare la protezione cibernetica e la sicurezza informatica nazionali; e) promuove e garantisce, anche attraverso riunioni periodiche, lo scambio informativo tra l'AISE, l'AISI e le Forze di polizia; comunica al Presidente del Consiglio dei ministri le acquisizioni provenienti dallo scambio informativo e i risultati delle riunioni periodiche; f) trasmette, su disposizione del Presidente del Consiglio dei ministri, sentito il CISR, informazioni e analisi ad amministrazioni pubbliche o enti, anche ad ordinamento autonomo, interessati all'acquisizione di informazioni per la sicurezza; g) elabora, d'intesa con l'AISE e l'AISI, il piano di acquisizione delle risorse umane e materiali e di ogni altra risorsa comunque strumentale all'attivita' dei servizi di informazione per la sicurezza, da sottoporre all'approvazione del Presidente del Consiglio dei ministri; h) sentite l'AISE e l'AISI, elabora e sottopone all'approvazione del Presidente del Consiglio dei ministri lo schema del regolamento di cui all'articolo 21, comma 1; i) esercita il controllo sull'AISE e sull'AISI, verificando la conformita' delle attivita' di informazione per la sicurezza alle leggi e ai regolamenti, nonche' alle direttive e alle disposizioni del Presidente del Consiglio dei ministri. Per tale finalita', presso il DIS e' istituito un ufficio ispettivo le cui modalita' di organizzazione e di funzionamento sono definite con il regolamento di cui al comma 7. Con le modalita' previste da tale regolamento e' approvato annualmente, previo parere del Comitato parlamentare di cui all'articolo 30, il piano annuale delle attivita' dell'ufficio ispettivo. L'ufficio ispettivo, nell'ambito delle competenze definite con il predetto regolamento, puo' svolgere, anche a richiesta del direttore generale del DIS, autorizzato dal Presidente del Consiglio dei ministri, inchieste interne su specifici episodi e comportamenti verificatisi nell'ambito dei servizi di informazione per la sicurezza; l) assicura l'attuazione delle disposizioni impartite dal Presidente del Consiglio dei Ministri con apposito regolamento adottato ai sensi dell'articolo 1, comma 2, ai fini della tutela amministrativa del segreto di Stato e delle classifiche di segretezza, vigilando altresi' sulla loro corretta applicazione; m) cura le attivita' di promozione e diffusione della cultura della sicurezza e la comunicazione istituzionale; n) impartisce gli indirizzi per la gestione unitaria del personale di cui all'articolo 21, secondo le modalita' definite dal regolamento di cui al comma 1 del medesimo articolo; n-bis) gestisce unitariamente, ferme restando le competenze operative dell'AISE e dell'AISI, gli approvvigionamenti e i servizi logistici comuni. 4. Fermo restando quanto previsto dall'articolo 118-bis del codice di procedura penale, introdotto dall'articolo 14 della presente legge, qualora le informazioni richieste alle Forze di polizia, ai sensi delle lettere c) ed e) del comma 3 del presente articolo, siano relative a indagini di polizia giudiziaria, le stesse, se coperte dal segreto di cui all'articolo 329 del codice di procedura penale, possono essere acquisite solo previo nulla osta della autorita' giudiziaria competente. L'autorita' giudiziaria puo' trasmettere gli atti e le informazioni anche di propria iniziativa. 5. La direzione generale del DIS e' affidata ad un dirigente di prima fascia o equiparato dell'amministrazione dello Stato, la cui nomina e revoca spettano in via esclusiva al Presidente del Consiglio dei ministri, sentito il CISR. L'incarico ha comunque la durata massima di quattro anni ed e' rinnovabile con successivi provvedimenti per una durata complessiva massima di ulteriori quattro anni. Per quanto previsto dalla presente legge, il direttore del DIS e' il diretto referente del Presidente del Consiglio dei ministri e dell'Autorita' delegata, ove istituita, salvo quanto previsto dall'articolo 6, comma 5, e dall'articolo 7, comma 5, ed e' gerarchicamente e funzionalmente sovraordinato al personale del DIS e degli uffici istituiti nell'ambito del medesimo Dipartimento. 6. Il Presidente del Consiglio dei ministri, sentito il direttore generale del DIS, nomina uno o piu' vice direttori generali; il direttore generale affida gli altri incarichi nell'ambito del Dipartimento, ad eccezione degli incarichi il cui conferimento spetta al Presidente del Consiglio dei ministri. 7. L'ordinamento e l'organizzazione del DIS e degli uffici istituiti nell'ambito del medesimo Dipartimento sono disciplinati con apposito regolamento. 8. Il regolamento previsto dal comma 7 definisce le modalita' di organizzazione e di funzionamento dell'ufficio ispettivo di cui al comma 3, lettera i), secondo i seguenti criteri: a) agli ispettori e' garantita piena autonomia e indipendenza di giudizio nell'esercizio delle funzioni di controllo; b) salva specifica autorizzazione del Presidente del Consiglio dei ministri o dell'Autorita' delegata, ove istituita, i controlli non devono interferire con le operazioni in corso; c) sono previste per gli ispettori specifiche prove selettive e un'adeguata formazione; d) non e' consentito il passaggio di personale dall'ufficio ispettivo ai servizi di informazione per la sicurezza; e) gli ispettori, previa autorizzazione del Presidente del Consiglio dei ministri o dell'Autorita' delegata, ove istituita, possono accedere a tutti gli atti conservati presso i servizi di informazione per la sicurezza e presso il DIS; possono altresi' acquisire, tramite il direttore generale del DIS, altre informazioni da enti pubblici e privati.». - Si riporta il testo dell'articolo 1, comma 19-bis del citato decreto-legge n. 105 del 2019: «Art. 1 (Perimetro di sicurezza nazionale cibernetica). - 19-bis. Il Presidente del Consiglio dei ministri coordina la coerente attuazione delle disposizioni del presente decreto che disciplinano il perimetro di sicurezza nazionale cibernetica, anche avvalendosi del Dipartimento delle informazioni per la sicurezza, che assicura gli opportuni raccordi con le autorita' titolari delle attribuzioni di cui al presente decreto e con i soggetti di cui al comma 1 del presente articolo. Entro sessanta giorni dalla data di entrata in vigore del regolamento di cui al comma 6, il Presidente del Consiglio dei ministri trasmette alle Camere una relazione sulle attivita' svolte.». - Per il testo dell'articolo 5 del citato decreto-legge n. 105 del 2019, si rinvia ai riferimenti normativi dell'articolo 4. - Si riportano i testi degli articoli 51 e 71 del decreto legislativo 7 marzo 2005, n. 82 (Codice dell'amministrazione digitale), pubblicato nella Gazzetta Ufficiale 16 maggio 2005, n. 112, S.O.: «Art. 51 (Sicurezza e disponibilita' dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazioni). - 1. Con le Linee guida sono individuate le soluzioni tecniche idonee a garantire la protezione, la disponibilita', l'accessibilita', l'integrita' e la riservatezza dei dati e la continuita' operativa dei sistemi e delle infrastrutture. 1-bis. AgID attua, per quanto di competenza e in raccordo con le altre autorita' competenti in materia, il Quadro strategico nazionale per la sicurezza dello spazio cibernetico e il Piano nazionale per la sicurezza cibernetica e la sicurezza informatica. AgID, in tale ambito: a) coordina, tramite il Computer Emergency Response Team Pubblica Amministrazione (CERT-PA) istituito nel suo ambito, le iniziative di prevenzione e gestione degli incidenti di sicurezza informatici; b) promuove intese con le analoghe strutture internazionali; c) segnala al Ministro per la semplificazione e la pubblica amministrazione il mancato rispetto delle regole tecniche di cui al comma 1(441) da parte delle pubbliche amministrazioni 2. I documenti informatici delle pubbliche amministrazioni devono essere custoditi e controllati con modalita' tali da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o non consentito o non conforme alle finalita' della raccolta. 2-bis. 2-ter. I soggetti di cui all'articolo 2, comma 2, aderiscono ogni anno ai programmi di sicurezza preventiva coordinati e promossi da AgID secondo le procedure dettate dalla medesima AgID con le Linee guida. 2-quater. I soggetti di cui articolo 2, comma 2, predispongono, nel rispetto delle Linee guida adottate dall'AgID, piani di emergenza in grado di assicurare la continuita' operativa delle operazioni indispensabili per i servizi erogati e il ritorno alla normale operativita'. Onde garantire quanto previsto, e' possibile il ricorso all'articolo 15 della legge 7 agosto 1990, n. 241, per l'erogazione di servizi applicativi, infrastrutturali e di dati, con ristoro dei soli costi di funzionamento. Per le Amministrazioni dello Stato coinvolte si provvede mediante rimodulazione degli stanziamenti dei pertinenti capitoli di spesa o mediante riassegnazione alla spesa degli importi versati a tale titolo ad apposito capitolo di entrata del bilancio statale.» «Art. 71 (Regole tecniche). - 1. L'AgID, previa consultazione pubblica da svolgersi entro il termine di trenta giorni, sentiti le amministrazioni competenti e il Garante per la protezione dei dati personali nelle materie di competenza, nonche' acquisito il parere della Conferenza unificata, adotta Linee guida contenenti le regole tecniche e di indirizzo per l'attuazione del presente Codice. Le Linee guida divengono efficaci dopo la loro pubblicazione nell'apposita area del sito Internet istituzionale dell'AgID e di essa ne e' data notizia nella Gazzetta Ufficiale della Repubblica italiana. Le Linee guida sono aggiornate o modificate con la procedura di cui al primo periodo. 1-bis. 1-ter. Le regole tecniche di cui al presente codice sono dettate in conformita' ai requisiti tecnici di accessibilita' di cui all'articolo 11 della legge 9 gennaio 2004, n. 4, alle discipline risultanti dal processo di standardizzazione tecnologica a livello internazionale ed alle normative dell'Unione europea. 2.». - Si riporta il testo dell'articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179 (Ulteriori misure urgenti per la crescita del Paese), pubblicato nella Gazzetta Ufficiale 19 ottobre 2012, n. 245, S.O., convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, pubblicata nella Gazzetta Ufficiale 18 dicembre 2012, n. 294, S.O.: «Art. 33-septies (Consolidamento e razionalizzazione dei siti e delle infrastrutture digitali del Paese). - 1. -3. (Omissis). 4. L'Agenzia per la cybersicurezza nazionale, con proprio regolamento, d'intesa con la competente struttura della Presidenza del Consiglio dei ministri, nel rispetto della disciplina introdotta daldecreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dallalegge 18 novembre 2019, n. 133, stabilisce i livelli minimi di sicurezza, capacita' elaborativa, risparmio energetico e affidabilita' delle infrastrutture digitali per la pubblica amministrazione, ivi incluse le infrastrutture di cui ai commi 1 e 4-ter. Definisce, inoltre, le caratteristiche di qualita', di sicurezza, di performance e scalabilita', interoperabilita', portabilita' dei servizi cloud per la pubblica amministrazione. Con lo stesso regolamento sono individuati i termini e le modalita' con cui le amministrazioni devono effettuare le migrazioni di cui ai commi 1 e 1-bis.». - Si riporta il testo dell'articolo 8 del citato decreto legislativo n. 65 del 2018: «Art. 8 (Gruppi di intervento per la sicurezza informatica in caso di incidente - CSIRT). - 1. E' istituito, presso l'Agenzia di cybersicurezza nazionale, il CSIRT Italia, che svolge i compiti e le funzioni del Computer Emergency Response Team (CERT) nazionale, di cui all'articolo 16-bis del decreto legislativo 1° agosto 2003, n. 259, e del CERT-PA, gia' operante presso l'Agenzia per l'Italia digitale ai sensi dell'articolo 51 del decreto legislativo 7 marzo 2005, n. 82. 2. L'organizzazione e il funzionamento del CSIRT Italia sono disciplinati con decreto del Presidente del Consiglio dei ministri ai sensi dell'articolo 7 del decreto legislativo 30 luglio 1999, n. 303, da adottare entro il 9 novembre 2018. 3. Nelle more dell'adozione del decreto di cui al comma 2, le funzioni di CSIRT Italia sono svolte dal CERT nazionale unitamente al CERT-PA in collaborazione tra loro. 4. Il CSIRT Italia assicura la conformita' ai requisiti di cui all'allegato I, punto 1, svolge i compiti di cui all'allegato I, punto 2, si occupa dei settori di cui all'allegato II e dei servizi di cui all'allegato III e dispone di un'infrastruttura di informazione e comunicazione appropriata, sicura e resiliente a livello nazionale. 5. Il CSIRT Italia definisce le procedure per la prevenzione e la gestione degli incidenti informatici. 6. Il CSIRT Italia garantisce la collaborazione effettiva, efficiente e sicura, nella rete di CSIRT di cui all'articolo 11. 7. La Presidenza del Consiglio dei ministri comunica alla Commissione europea il mandato del CSIRT Italia e le modalita' di trattamento degli incidenti a questo affidati. 8. Il CSIRT Italia, per lo svolgimento delle proprie funzioni, puo' avvalersi anche dell'Agenzia per l'Italia digitale. 9. Le funzioni svolte dal Ministero dello sviluppo economico in qualita' di CERT nazionale ai sensi dell'articolo 16-bis, del decreto legislativo 1° agosto 2003, n. 259, nonche' quelle svolte da Agenzia per l'Italia digitale in qualita' di CERT-PA, ai sensi dell'articolo 51 del decreto legislativo 7 marzo 2005, n. 82, sono trasferite al CSIRT Italia a far data dalla entrata in vigore del decreto di cui al comma 2. 10. Per le spese relative al funzionamento del CSIRT Italia e' autorizzata la spesa di 2.000.000 di euro annui a decorrere dall'anno 2020. A tali oneri si provvede ai sensi dell'articolo 22.». - Il Regolamento (CE) n. 2021/887/UE del Parlamento europeo e del Consiglio 20 maggio 2021, che istituisce il Centro europeo di competenza per la cibersicurezza nell'ambito industriale, tecnologico e della ricerca e la rete dei centri nazionali di coordinamento, e' pubblicato nella G.U.U.E. 8 giugno 2021, n. L 202.