Art. 27
Sicurezza nazionale cibernetica
1. Al decreto-legge 21 settembre 2019, n. 105, convertito, con
modificazioni, dalla legge 18 novembre 2019, n. 133, sono apportate
le seguenti modificazioni:
a) all'articolo 1, comma 2, lettera a), le parole: «sono
individuati le amministrazioni pubbliche, gli enti e gli operatori
pubblici e privati» sono sostituite dalle seguenti: «sono definiti
modalita' e criteri procedurali di individuazione di amministrazioni
pubbliche, enti e operatori pubblici e privati» e le parole: «alla
predetta» sono sostituite dalle seguenti: «ai fini dell'»;
b) all'articolo 1, comma 2, lettera b), le parole: «i soggetti di
cui alla precedente lettera a)» sono sostituite dalle seguenti: «i
soggetti di cui al comma 2-bis»;
c) all'articolo 1, comma 2, lettera b), le parole: «dalla data di
entrata in vigore del decreto del Presidente del Consiglio dei
ministri di cui al presente comma» sono sostituite dalle seguenti:
«dalla data della comunicazione, prevista dal comma 2-bis, a ciascuno
dei soggetti iscritti nell'elenco di cui al medesimo comma,»;
d) all'articolo 1, comma 2, lettera b), le parole: «individuati ai
sensi della lettera a)» sono sostituite dalle seguenti: «di cui al
comma 2-bis»;
e) all'articolo 1, dopo il comma 2, e' inserito il seguente:
«2-bis. L'elencazione dei soggetti individuati ai sensi del comma 2,
lettera a), e' contenuta in un atto amministrativo, adottato dal
Presidente del Consiglio dei ministri, su proposta del CISR, entro
trenta giorni dalla data di entrata in vigore del decreto del
Presidente del Consiglio dei ministri di cui al comma 2. Il predetto
atto amministrativo, per il quale e' escluso il diritto di accesso,
non e' soggetto a pubblicazione, fermo restando che a ciascun
soggetto e' data, separatamente, comunicazione senza ritardo
dell'avvenuta iscrizione nell'elenco. L'aggiornamento del predetto
atto amministrativo e' effettuato con le medesime modalita' di cui al
presente comma.»;
f) all'articolo 1, comma 3, lettera a), le parole: «i soggetti
individuati ai sensi del comma 2, lettera a),» sono sostituite dalle
seguenti: «i soggetti di cui al comma 2-bis»;
((f-bis) all'articolo 1, comma 4-bis, e' aggiunto, in fine, il
seguente periodo: «I medesimi schemi sono altresi' trasmessi al
Comitato parlamentare per la sicurezza della Repubblica»;
f-ter) all'articolo 1, dopo il comma 4-bis e' inserito il seguente:
«4-ter. L'atto amministrativo di cui al comma 2-bis e i suoi
aggiornamenti sono trasmessi, entro dieci giorni dall'adozione, al
Comitato parlamentare per la sicurezza della Repubblica»;))
g) all'articolo 1, comma 6, lettera a), al primo e al secondo
periodo, le parole: «soggetti di cui al comma 2, lettera a)» sono
sostituite dalle seguenti: «soggetti di cui al comma 2-bis»;
((h) all'articolo 1, comma 6, lettera c), le parole da:
«individuati ai sensi del comma 2, lettera a)» fino a: «e dalla
lettera a) del presente comma e senza che cio' comporti accesso a
dati o metadati personali e amministrativi» sono sostituite dalle
seguenti: «di cui al comma 2-bis, e il Ministero dello sviluppo
economico, per i soggetti privati di cui al medesimo comma, svolgono
attivita' di ispezione e verifica in relazione a quanto previsto dal
comma 2, lettera b), dal comma 3, dal presente comma e dal comma 7,
lettera b) » e dopo le parole: «specifiche prescrizioni;» sono
inserite le seguenti: «nello svolgimento delle predette attivita' di
ispezione e verifica l'accesso, se necessario, a dati o metadati
personali e amministrativi e' effettuato in conformita' a quanto
previsto dal regolamento (UE) 2016/679 del Parlamento europeo e del
Consiglio, del 27 aprile 2016, e dal codice in materia di protezione
dei dati personali, di cui al decreto legislativo 30 giugno 2003, n.
196;»;))
i) all'articolo 1, comma 8, lettera a), le parole: «individuati ai
sensi del comma 2, lettera a), del presente articolo» sono sostituite
dalle seguenti: «di cui al comma 2-bis» e le parole: «di cui alla
medesima lettera» sono sostituite dalle seguenti: «di cui al medesimo
comma»;
((i-bis) all'articolo 1, comma 9, lettera a), le parole: «e di
aggiornamento» sono sostituite dalle seguenti: «, di aggiornamento e
di trasmissione»;))
l) all'articolo 1, comma 12, le parole: «individuati ai sensi del
comma 2, lettera a), del presente articolo» sono sostituite dalle
seguenti: «di cui al comma 2-bis» e le parole: «di cui alla medesima
lettera» sono sostituite dalle seguenti: «di cui al medesimo comma»;
m) all'articolo 1, comma 14, le parole: «soggetti pubblici
individuati ai sensi del comma 2, lettera a)» sono sostituite dalle
seguenti: «soggetti pubblici di cui al comma 2-bis»;
n) all'articolo 1, comma 18, le parole: «di cui al comma 2, lettera
a)» sono sostituite dalle seguenti: «di cui al comma 2-bis»;
((n-bis) all'articolo 1, dopo il comma 19-bis e' aggiunto il
seguente:
«19-ter. Nei casi in cui sui decreti del Presidente del Consiglio
dei ministri previsti dal presente articolo e' acquisito, ai fini
della loro adozione, il parere del Consiglio di Stato, i termini
ordinatori stabiliti dal presente articolo sono sospesi per un
periodo di quarantacinque giorni»;))
o) all'articolo 3, comma 1, le parole: «ai soggetti di cui
all'articolo 1, comma 2, lettera a)» sono sostituite dalle seguenti:
«ai soggetti di cui all'articolo 1, comma 2-bis».
Riferimenti normativi
Si riporta il testo degli articoli 1 e 3 del
decreto-legge 21 settembre 2019, n. 105, convertito, con
modificazioni, dalla legge 18 novembre 2019, n. 133
(Disposizioni urgenti in materia di perimetro di sicurezza
nazionale cibernetica e di disciplina dei poteri speciali
nei settori di rilevanza strategica), come modificato dalla
presente legge:
«Art. 1 (Perimetro di sicurezza nazionale
cibernetica). - 1. Al fine di assicurare un livello elevato
di sicurezza delle reti, dei sistemi informativi e dei
servizi informatici delle amministrazioni pubbliche, degli
enti e degli operatori pubblici e privati aventi una sede
nel territorio nazionale, da cui dipende l'esercizio di una
funzione essenziale dello Stato, ovvero la prestazione di
un servizio essenziale per il mantenimento di attivita'
civili, sociali o economiche fondamentali per gli interessi
dello Stato e dal cui malfunzionamento, interruzione, anche
parziali, ovvero utilizzo improprio, possa derivare un
pregiudizio per la sicurezza nazionale, e' istituito il
perimetro di sicurezza nazionale cibernetica.
2. Entro quattro mesi dalla data di entrata in vigore
della legge di conversione del presente decreto, con
decreto del Presidente del Consiglio dei ministri, adottato
su proposta del Comitato interministeriale per la sicurezza
della Repubblica (CISR):
a) sono definiti modalita' e criteri procedurali di
individuazione di amministrazioni pubbliche, enti e
operatori pubblici e privati di cui al comma 1 aventi una
sede nel territorio nazionale, inclusi nel perimetro di
sicurezza nazionale cibernetica e tenuti al rispetto delle
misure e degli obblighi previsti dal presente articolo; ai
fini dell'individuazione, fermo restando che per gli
Organismi di informazione per la sicurezza si applicano le
norme previste dalla legge 3 agosto 2007, n. 124, si
procede sulla base dei seguenti criteri:
1) il soggetto esercita una funzione essenziale
dello Stato, ovvero assicura un servizio essenziale per il
mantenimento di attivita' civili, sociali o economiche
fondamentali per gli interessi dello Stato;
2) l'esercizio di tale funzione o la prestazione
di tale servizio dipende da reti, sistemi informativi e
servizi informatici;
2-bis) l'individuazione avviene sulla base di un
criterio di gradualita', tenendo conto dell'entita' del
pregiudizio per la sicurezza nazionale che, in relazione
alle specificita' dei diversi settori di attivita', puo'
derivare dal malfunzionamento, dall'interruzione, anche
parziali, ovvero dall'utilizzo improprio delle reti, dei
sistemi informativi e dei servizi informatici predetti;
b) sono definiti, sulla base di un'analisi del
rischio e di un criterio di gradualita' che tenga conto
delle specificita' dei diversi settori di attivita', i
criteri con i quali i soggetti di cui al comma 2-bis
predispongono e aggiornano con cadenza almeno annuale un
elenco delle reti, dei sistemi informativi e dei servizi
informatici di cui al comma 1, di rispettiva pertinenza,
comprensivo della relativa architettura e componentistica,
fermo restando che, per le reti, i sistemi informativi e i
servizi informatici attinenti alla gestione delle
informazioni classificate, si applica quanto previsto dal
regolamento adottato ai sensi dell'articolo 4, comma 3,
lettera l), della legge 3 agosto 2007, n. 124;
all'elaborazione di tali criteri provvede, adottando
opportuni moduli organizzativi, l'organismo tecnico di
supporto al CISR, integrato con un rappresentante della
Presidenza del Consiglio dei ministri; entro sei mesi dalla
data della comunicazione, prevista dal comma 2-bis, a
ciascuno dei soggetti iscritti nell'elenco di cui al
medesimo comma, i soggetti pubblici e quelli di cui
all'articolo 29 del codice dell'amministrazione digitale,
di cui al decreto legislativo 7 marzo 2005, n. 82, nonche'
quelli privati, di cui al comma 2-bis trasmettono tali
elenchi, rispettivamente, alla Presidenza del Consiglio dei
ministri e al Ministero dello sviluppo economico; la
Presidenza del Consiglio dei ministri e il Ministero dello
sviluppo economico inoltrano gli elenchi di rispettiva
pertinenza al Dipartimento delle informazioni per la
sicurezza, anche per le attivita' di prevenzione,
preparazione e gestione di crisi cibernetiche affidate al
Nucleo per la sicurezza cibernetica, nonche' all'organo del
Ministero dell'interno per la sicurezza e la regolarita'
dei servizi di telecomunicazione di cui all'articolo 7-bis
del decreto-legge 27 luglio 2005, n. 144, convertito, con
modificazioni, dalla legge 31 luglio 2005, n. 155.
2-bis. L'elencazione dei soggetti individuati ai
sensi del comma 2, lettera a), e' contenuta in un atto
amministrativo, adottato dal Presidente del Consiglio dei
ministri, su proposta del CISR, entro trenta giorni dalla
data di entrata in vigore del decreto del Presidente del
Consiglio dei ministri di cui al comma 2. Il predetto atto
amministrativo, per il quale e' escluso il diritto di
accesso, non e' soggetto a pubblicazione, fermo restando
che a ciascun soggetto e' data, separatamente,
comunicazione senza ritardo dell'avvenuta iscrizione
nell'elenco. L'aggiornamento del predetto atto
amministrativo e' effettuato con le medesime modalita' di
cui al presente comma.
3. Entro dieci mesi dalla data di entrata in vigore
della legge di conversione del presente decreto, con
decreto del Presidente del Consiglio dei ministri, che
disciplina altresi' i relativi termini e modalita'
attuative, adottato su proposta del CISR:
a) sono definite le procedure secondo cui i
soggetti di cui al comma 2-bis notificano gli incidenti
aventi impatto su reti, sistemi informativi e servizi
informatici di cui al comma 2, lettera b), al Gruppo di
intervento per la sicurezza informatica in caso di
incidente (CSIRT) italiano, che inoltra tali notifiche,
tempestivamente, al Dipartimento delle informazioni per la
sicurezza anche per le attivita' demandate al Nucleo per la
sicurezza cibernetica; il Dipartimento delle informazioni
per la sicurezza assicura la trasmissione delle notifiche
cosi' ricevute all'organo del Ministero dell'interno per la
sicurezza e la regolarita' dei servizi di telecomunicazione
di cui all'articolo 7-bis del decreto-legge 27 luglio 2005,
n. 144, convertito, con modificazioni, dalla legge 31
luglio 2005, n. 155, nonche' alla Presidenza del Consiglio
dei ministri, se provenienti da un soggetto pubblico o da
un soggetto di cui all'articolo 29 del decreto legislativo
7 marzo 2005, n. 82, ovvero al Ministero dello sviluppo
economico, se effettuate da un soggetto privato;
b) sono stabilite misure volte a garantire elevati
livelli di sicurezza delle reti, dei sistemi informativi e
dei servizi informatici di cui al comma 2, lettera b),
tenendo conto degli standard definiti a livello
internazionale e dell'Unione europea relative:
1) alla struttura organizzativa preposta alla
gestione della sicurezza;
1-bis) alle politiche di sicurezza e alla
gestione del rischio;
2) alla mitigazione e gestione degli incidenti e
alla loro prevenzione, anche attraverso interventi su
apparati o prodotti che risultino gravemente inadeguati sul
piano della sicurezza;
3) alla protezione fisica e logica e dei dati;
4) all'integrita' delle reti e dei sistemi
informativi;
5) alla gestione operativa, ivi compresa la
continuita' del servizio;
6) al monitoraggio, test e controllo;
7) alla formazione e consapevolezza;
8) all'affidamento di forniture di beni, sistemi
e servizi di information and communication technology
(ICT), anche mediante definizione di caratteristiche e
requisiti di carattere generale, di standard e di eventuali
limiti.
4. All'elaborazione delle misure di cui al comma 3,
lettera b), provvedono, secondo gli ambiti di competenza
delineati dal presente decreto, il Ministero dello sviluppo
economico e la Presidenza del Consiglio dei ministri,
d'intesa con il Ministero della difesa, il Ministero
dell'interno, il Ministero dell'economia e delle finanze e
il Dipartimento delle informazioni per la sicurezza.
4-bis. Gli schemi dei decreti di cui ai commi 2 e 3
sono trasmessi alla Camera dei deputati e al Senato della
Repubblica per l'espressione del parere delle Commissioni
parlamentari competenti per materia, che si pronunciano nel
termine di trenta giorni, decorso il quale il decreto puo'
essere comunque adottato. I medesimi schemi sono altresi'
trasmessi al Comitato parlamentare per la sicurezza della
Repubblica.
4-ter. L'atto amministrativo di cui al comma 2-bis e
i suoi aggiornamenti sono trasmessi, entro dieci giorni
dall'adozione, al Comitato parlamentare per la sicurezza
della Repubblica.
5. Per l'aggiornamento di quanto previsto dai decreti
di cui ai commi 2 e 3 si procede secondo le medesime
modalita' di cui ai commi 2, 3, 4 e 4-bis con cadenza
almeno biennale.
6. Con regolamento, adottato ai sensi dell'articolo
17, comma 1, della legge 23 agosto 1988, n. 400, entro
dieci mesi dalla data di entrata in vigore della legge di
conversione del presente decreto, sono disciplinati le
procedure, le modalita' e i termini con cui:
a) i soggetti di cui al comma 2-bis, ovvero le
centrali di committenza alle quali essi fanno ricorso ai
sensi dell'articolo 1, comma 512, della legge 28 dicembre
2015, n. 208, che intendano procedere all'affidamento di
forniture di beni, sistemi e servizi ICT destinati a essere
impiegati sulle reti, sui sistemi informativi e per
l'espletamento dei servizi informatici di cui al comma 2,
lettera b), appartenenti a categorie individuate, sulla
base di criteri di natura tecnica, con decreto del
Presidente del Consiglio dei ministri, da adottare entro
dieci mesi dalla data di entrata in vigore della legge di
conversione del presente decreto, ne danno comunicazione al
Centro di valutazione e certificazione nazionale (CVCN),
istituito presso il Ministero dello sviluppo economico; la
comunicazione comprende anche la valutazione del rischio
associato all'oggetto della fornitura, anche in relazione
all'ambito di impiego. Entro quarantacinque giorni dalla
ricezione della comunicazione, prorogabili di quindici
giorni, una sola volta, in caso di particolare
complessita', il CVCN puo' effettuare verifiche preliminari
ed imporre condizioni e test di hardware e software da
compiere anche in collaborazione con i soggetti di cui al
comma 2-bis, secondo un approccio gradualmente crescente
nelle verifiche di sicurezza. Decorso il termine di cui al
precedente periodo senza che il CVCN si sia pronunciato, i
soggetti che hanno effettuato la comunicazione possono
proseguire nella procedura di affidamento. In caso di
imposizione di condizioni e test di hardware e software, i
relativi bandi di gara e contratti sono integrati con
clausole che condizionano, sospensivamente ovvero
risolutivamente, il contratto al rispetto delle condizioni
e all'esito favorevole dei test disposti dal CVCN. I test
devono essere conclusi nel termine di sessanta giorni.
Decorso il termine di cui al precedente periodo, i soggetti
che hanno effettuato la comunicazione possono proseguire
nella procedura di affidamento. In relazione alla
specificita' delle forniture di beni, sistemi e servizi ICT
da impiegare su reti, sistemi informativi e servizi
informatici del Ministero dell'interno e del Ministero
della difesa, individuati ai sensi del comma 2, lettera b),
i predetti Ministeri, nell'ambito delle risorse umane e
finanziarie disponibili a legislazione vigente e senza
nuovi o maggiori oneri a carico della finanza pubblica, in
coerenza con quanto previsto dal presente decreto, possono
procedere, con le medesime modalita' e i medesimi termini
previsti dai periodi precedenti, attraverso la
comunicazione ai propri Centri di valutazione accreditati
per le attivita' di cui al presente decreto, ai sensi del
comma 7, lettera b), che impiegano le metodologie di
verifica e di test definite dal CVCN. Per tali casi i
predetti Centri informano il CVCN con le modalita'
stabilite con il decreto del Presidente del Consiglio dei
ministri, di cui al comma 7, lettera b). Non sono oggetto
di comunicazione gli affidamenti delle forniture di beni,
sistemi e servizi ICT destinate alle reti, ai sistemi
informativi e ai servizi informatici per lo svolgimento
delle attivita' di prevenzione, accertamento e repressione
dei reati e i casi di deroga stabiliti dal medesimo
regolamento con riguardo alle forniture di beni, sistemi e
servizi ICT per le quali sia indispensabile procedere in
sede estera, fermo restando, in entrambi i casi, l'utilizzo
di beni, sistemi e servizi ICT conformi ai livelli di
sicurezza di cui al comma 3, lettera b), salvo motivate
esigenze connesse agli specifici impieghi cui essi sono
destinati;
b) i soggetti individuati quali fornitori di beni,
sistemi e servizi destinati alle reti, ai sistemi
informativi e ai servizi informatici di cui al comma 2,
lettera b), assicurano al CVCN e, limitatamente agli ambiti
di specifica competenza, ai Centri di valutazione operanti
presso i Ministeri dell'interno e della difesa, di cui alla
lettera a) del presente comma, la propria collaborazione
per l'effettuazione delle attivita' di test di cui alla
lettera a) del presente comma, sostenendone gli oneri; il
CVCN segnala la mancata collaborazione al Ministero dello
sviluppo economico, in caso di fornitura destinata a
soggetti privati, o alla Presidenza del Consiglio dei
ministri, in caso di fornitura destinata a soggetti
pubblici ovvero a quelli di cui all'articolo 29 del codice
di cui al decreto legislativo 7 marzo 2005, n. 82; sono
inoltrate altresi' alla Presidenza del Consiglio dei
ministri le analoghe segnalazioni dei Centri di valutazione
dei Ministeri dell'interno e della difesa, di cui alla
lettera a);
c) la Presidenza del Consiglio dei ministri, per i
profili di pertinenza dei soggetti pubblici e di quelli di
cui all'articolo 29 del codice dell'Amministrazione
digitale di cui al decreto legislativo 7 marzo 2005, n. 82,
di cui al comma 2-bis, e il Ministero dello sviluppo
economico, per i soggetti privati di cui al medesimo comma,
svolgono attivita' di ispezione e verifica in relazione a
quanto previsto dal comma 2, lettera b), dal comma 3, dal
presente comma e dal comma 7, lettera b), impartendo, se
necessario, specifiche prescrizioni nello svolgimento delle
predette attivita' di ispezione e verifica l'accesso, se
necessario, a dati o metadati personali e amministrativi e'
effettuato in conformita' a quanto previsto dal regolamento
(UE) 2016/679 del Parlamento europeo e del Consiglio, del
27 aprile 2016, e dal codice in materia di protezione dei
dati personali, di cui al decreto legislativo 30 giugno
2003, n. 196; per le reti, i sistemi informativi e i
servizi informatici di cui al comma 2, lettera b), connessi
alla funzione di prevenzione e repressione dei reati, alla
tutela dell'ordine e della sicurezza pubblica, alla difesa
civile e alla difesa e sicurezza militare dello Stato, le
attivita' di ispezione e verifica sono svolte, nell'ambito
delle risorse umane e finanziarie disponibili a
legislazione vigente e senza nuovi o maggiori oneri a
carico della finanza pubblica, dalle strutture
specializzate in tema di protezione di reti e sistemi,
nonche', nei casi in cui siano espressamente previste dalla
legge, in tema di prevenzione e di contrasto del crimine
informatico, delle amministrazioni da cui dipendono le
Forze di polizia e le Forze armate, che ne comunicano gli
esiti alla Presidenza del Consiglio dei ministri per i
profili di competenza.
7. Nell'ambito dell'approvvigionamento di prodotti,
processi, servizi ICT e associate infrastrutture destinati
alle reti, ai sistemi informativi e per l'espletamento dei
servizi informatici di cui al comma 2, lettera b), il CVCN
assume i seguenti compiti:
a) contribuisce all'elaborazione delle misure di
sicurezza di cui al comma 3, lettera b), per cio' che
concerne l'affidamento di forniture di beni, sistemi e
servizi ICT;
b) ai fini della verifica delle condizioni di
sicurezza e dell'assenza di vulnerabilita' note, anche in
relazione all'ambito di impiego, definisce le metodologie
di verifica e di test e svolge le attivita' di cui al comma
6, lettera a), dettando, se del caso, anche prescrizioni di
utilizzo al committente; a tali fini il CVCN si avvale
anche di laboratori dallo stesso accreditati secondo
criteri stabiliti da un decreto del Presidente del
Consiglio dei ministri, adottato entro dieci mesi dalla
data di entrata in vigore della legge di conversione del
presente decreto, su proposta del CISR, impiegando, per le
esigenze delle amministrazioni centrali dello Stato, quelli
eventualmente istituiti, senza nuovi o maggiori oneri a
carico della finanza pubblica, presso le medesime
amministrazioni. Con lo stesso decreto sono altresi'
stabiliti i raccordi, ivi compresi i contenuti, le
modalita' e i termini delle comunicazioni, tra il CVCN e i
predetti laboratori, nonche' tra il medesimo CVCN e i
Centri di valutazione del Ministero dell'interno e del
Ministero della difesa, di cui al comma 6, lettera a),
anche la fine di assicurare il coordinamento delle
rispettive attivita' e perseguire la convergenza e la non
duplicazione delle valutazioni in presenza di medesimi
condizioni e livelli di rischio;
c) elabora e adotta, previo conforme avviso
dell'organismo tecnico di supporto al CISR, schemi di
certificazione cibernetica, tenendo conto degli standard
definiti a livello internazionale e dell'Unione europea,
laddove, per ragioni di sicurezza nazionale, gli schemi di
certificazione esistenti non siano ritenuti adeguati alle
esigenze di tutela del perimetro di sicurezza nazionale
cibernetica.
8. I soggetti di cui agli articoli 12 e 14 del
decreto legislativo 18 maggio 2018, n. 65, e quelli di cui
all'articolo 16-ter, comma 2, del codice delle
comunicazioni elettroniche di cui al decreto legislativo 1°
agosto 2003, n. 259, inclusi nel perimetro di sicurezza
nazionale cibernetica:
a) osservano le misure di sicurezza previste,
rispettivamente, dai predetti decreti legislativi, ove di
livello almeno equivalente a quelle adottate ai sensi del
comma 3, lettera b), del presente articolo; le eventuali
misure aggiuntive necessarie al fine di assicurare i
livelli di sicurezza previsti dal presente decreto sono
definite dalla Presidenza del Consiglio dei ministri, per i
soggetti pubblici e per quelli di cui all'articolo 29 del
codice di cui al decreto legislativo 7 marzo 2005, n. 82,
di cui al comma 2-bis, e dal Ministero dello sviluppo
economico per i soggetti privati di cui al medesimo comma,
avvalendosi anche del CVCN; il Ministero dello sviluppo
economico e la Presidenza del Consiglio dei ministri si
raccordano, ove necessario, con le autorita' competenti di
cui all'articolo 7 del decreto legislativo 18 maggio 2018,
n. 65;
b) assolvono l'obbligo di notifica di cui al comma
3, lettera a), che costituisce anche adempimento,
rispettivamente, dell'obbligo di notifica di cui agli
articoli 12 e 14 del decreto legislativo 18 maggio 2018, n.
65, e dell'analogo obbligo previsto ai sensi dell'articolo
16-ter del codice di cui al decreto legislativo 1° agosto
2003, n. 259, e delle correlate disposizioni attuative; a
tal fine, oltre a quanto previsto dal comma 3, lettera a),
anche in relazione alle disposizioni di cui all'articolo
16-ter del codice di cui al decreto legislativo 1° agosto
2003, n. 259, il CSIRT italiano inoltra le notifiche
ricevute ai sensi del predetto comma 3, lettera a),
all'autorita' competente di cui all'articolo 7 del decreto
legislativo 18 maggio 2018, n. 65.
9. Salvo che il fatto costituisca reato:
a) il mancato adempimento degli obblighi di
predisposizione, di aggiornamento e di trasmissione
dell'elenco delle reti, dei sistemi informativi e dei
servizi informatici di cui al comma 2, lettera b), e'
punito con la sanzione amministrativa pecuniaria da euro
200.000 a euro 1.200.000;
b) il mancato adempimento dell'obbligo di notifica
di cui al comma 3, lettera a), nei termini prescritti, e'
punito con la sanzione amministrativa pecuniaria da euro
250.000 a euro 1.500.000;
c) l'inosservanza delle misure di sicurezza di cui
al comma 3, lettera b), e' punita con la sanzione
amministrativa pecuniaria da euro 250.000 a euro 1.500.000;
d) la mancata comunicazione di cui al comma 6,
lettera a), nei termini prescritti, e' punita con la
sanzione amministrativa pecuniaria da euro 300.000 a euro
1.800.000;
e) l'impiego di prodotti e servizi sulle reti, sui
sistemi informativi e per l'espletamento dei servizi
informatici di cui al comma 2, lettera b), in violazione
delle condizioni o in assenza del superamento dei test
imposti dal CVCN ovvero dai Centri di valutazione di cui al
comma 6, lettera a), e' punito con la sanzione
amministrativa pecuniaria da euro 300.000 a euro 1.800.000;
f) la mancata collaborazione per l'effettuazione
delle attivita' di test di cui al comma 6, lettera a), da
parte dei soggetti di cui al medesimo comma 6, lettera b),
e' punita con la sanzione amministrativa pecuniaria da euro
250.000 a euro 1.500.000;
g) il mancato adempimento delle prescrizioni
indicate dal Ministero dello sviluppo economico o dalla
Presidenza del Consiglio dei ministri in esito alle
attivita' di ispezione e verifica svolte ai sensi del comma
6, lettera c), e' punito con la sanzione amministrativa
pecuniaria da euro 250.000 a euro 1.500.000;
h) il mancato rispetto delle prescrizioni di cui al
comma 7, lettera b), e' punito con la sanzione
amministrativa pecuniaria da euro 250.000 a euro 1.500.000.
10. L'impiego di prodotti e di servizi sulle reti,
sui sistemi informativi e per l'espletamento dei servizi
informatici di cui al comma 2, lettera b), in assenza della
comunicazione o del superamento dei test o in violazione
delle condizioni di cui al comma 6, lettera a), comporta,
oltre alle sanzioni di cui al comma 9, lettere d) ed e),
l'applicazione della sanzione amministrativa accessoria
della incapacita' ad assumere incarichi di direzione,
amministrazione e controllo nelle persone giuridiche e
nelle imprese, per un periodo di tre anni a decorrere dalla
data di accertamento della violazione.
11. Chiunque, allo scopo di ostacolare o condizionare
l'espletamento dei procedimenti di cui al comma 2, lettera
b), o al comma 6, lettera a), o delle attivita' ispettive e
di vigilanza previste dal comma 6, lettera c), fornisce
informazioni, dati o elementi di fatto non rispondenti al
vero, rilevanti per la predisposizione o l'aggiornamento
degli elenchi di cui al comma 2, lettera b), o ai fini
delle comunicazioni di cui al comma 6, lettera a), o per lo
svolgimento delle attivita' ispettive e di vigilanza di cui
al comma 6), lettera c) od omette di comunicare entro i
termini prescritti i predetti dati, informazioni o elementi
di fatto, e' punito con la reclusione da uno a tre anni.
11-bis. All'articolo 24-bis, comma 3, del decreto
legislativo 8 giugno 2001, n. 231, dopo le parole: «di
altro ente pubblico,» sono inserite le seguenti: «e dei
delitti di cui all'articolo 1, comma 11, del decreto-legge
21 settembre 2019, n. 105,».
12. Le autorita' competenti per l'accertamento delle
violazioni e per l'irrogazione delle sanzioni
amministrative sono la Presidenza del Consiglio dei
ministri, per i soggetti pubblici e per i soggetti di cui
all'articolo 29 del codice di cui al decreto legislativo 7
marzo 2005, n. 82, di cui al comma 2-bis, e il Ministero
dello sviluppo economico, per i soggetti privati di cui al
medesimo comma.
13. Ai fini dell'accertamento e dell'irrogazione
delle sanzioni amministrative di cui al comma 9, si
osservano le disposizioni contenute nel capo I, sezioni I e
II, della legge 24 novembre 1981, n. 689.
14. Per i dipendenti dei soggetti pubblici di cui al
comma 2-bis, la violazione delle disposizioni di cui al
presente articolo puo' costituire causa di responsabilita'
disciplinare e amministrativo-contabile.
15. Le autorita' titolari delle attribuzioni di cui
al presente decreto assicurano gli opportuni raccordi con
il Dipartimento delle informazioni per la sicurezza e con
l'organo del Ministero dell'interno per la sicurezza e la
regolarita' dei servizi di telecomunicazione, quale
autorita' di contrasto nell'esercizio delle attivita' di
cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n.
144, convertito, con modificazioni, dalla legge 31 luglio
2005, n. 155.
16. La Presidenza del Consiglio dei ministri, per lo
svolgimento delle funzioni di cui al presente decreto puo'
avvalersi dell'Agenzia per l'Italia Digitale (AgID) sulla
base di apposite convenzioni, nell'ambito delle risorse
finanziarie e umane disponibili a legislazione vigente,
senza nuovi o maggiori oneri per la finanza pubblica.
17. Al decreto legislativo 18 maggio 2018, n. 65,
sono apportate le seguenti modificazioni:
a) all'articolo 4, comma 5, dopo il primo periodo
e' aggiunto il seguente:
«Il Ministero dello sviluppo economico inoltra
tale elenco al punto di contatto unico e all'organo del
Ministero dell'interno per la sicurezza e la regolarita'
dei servizi di telecomunicazione, di cui all'articolo 7-bis
del decreto-legge 27 luglio 2005, n. 144, convertito, con
modificazioni, dalla legge 31 luglio 2005, n. 155.»;
b) all'articolo 9, comma 3, le parole «e il punto
di contatto unico» sono sostituite dalle seguenti:
«, il punto di contatto unico e l'organo del
Ministero dell'interno per la sicurezza e la regolarita'
dei servizi di telecomunicazione, di cui all'articolo 7-bis
del decreto-legge 27 luglio 2005, n. 144, convertito, con
modificazioni, dalla legge 31 luglio 2005, n. 155,».
18. Gli eventuali adeguamenti alle prescrizioni di
sicurezza definite ai sensi del presente articolo, delle
reti, dei sistemi informativi e dei servizi informatici
delle amministrazioni pubbliche, degli enti e degli
operatori pubblici di cui al comma 2-bis, sono effettuati
con le risorse finanziarie disponibili a legislazione
vigente.
19. Per la realizzazione, l'allestimento e il
funzionamento del CVCN di cui ai commi 6 e 7 e' autorizzata
la spesa di euro 3.200.000 per l'anno 2019 e di euro
2.850.000 per ciascuno degli anni dal 2020 al 2023 e di
euro 750.000 annui a decorrere dall'anno 2024. Per la
realizzazione, l'allestimento e il funzionamento del Centro
di valutazione del Ministero dell'interno, di cui ai commi
6 e 7, e' autorizzata la spesa di euro 200.000 per l'anno
2019 e di euro 1.500.000 per ciascuno degli anni 2020 e
2021.
19-bis. Il Presidente del Consiglio dei ministri
coordina la coerente attuazione delle disposizioni del
presente decreto che disciplinano il perimetro di sicurezza
nazionale cibernetica, anche avvalendosi del Dipartimento
delle informazioni per la sicurezza, che assicura gli
opportuni raccordi con le autorita' titolari delle
attribuzioni di cui al presente decreto e con i soggetti di
cui al comma 1 del presente articolo. Entro sessanta giorni
dalla data di entrata in vigore del regolamento di cui al
comma 6, il Presidente del Consiglio dei ministri trasmette
alle Camere una relazione sulle attivita' svolte.
19-ter. Nei casi in cui sui decreti del Presidente
del Consiglio dei ministri previsti dal presente articolo
e' acquisito, ai fini della loro adozione, il parere del
Consiglio di Stato, i termini ordinatori stabiliti dal
presente articolo sono sospesi per un periodo di
quarantacinque giorni.»
«Art. 3 (Disposizioni in materia di reti di
telecomunicazione elettronica a banda larga con tecnologia
5G). - 1. Le disposizioni di cui al presente decreto, fatta
eccezione per quanto previsto dall'articolo 1, comma 6,
lettera a), si applicano ai soggetti di cui all'articolo 1,
comma 2-bis, anche nei casi in cui sono tenuti alla
notifica di cui all'articolo 1-bis del decreto-legge 15
marzo 2012, n. 21, convertito, con modificazioni, dalla
legge 11 maggio 2012, n. 56.
2. Dalla data di entrata in vigore del regolamento
previsto dall'articolo 1, comma 6, i poteri speciali di cui
all'articolo 1-bis del decreto-legge 15 marzo 2012, n. 21,
convertito, con modificazioni, dalla legge 11 maggio 2012,
n. 56, sono esercitati previa valutazione degli elementi
indicanti la presenza di fattori di vulnerabilita' che
potrebbero compromettere l'integrita' e la sicurezza delle
reti e dei dati che vi transitano, da parte dei centri di
valutazione di cui all'articolo 1, comma 6, lettera a),
sulla base della disciplina prevista in attuazione del
predetto regolamento.
3. Entro sessanta giorni dalla data di entrata in
vigore del regolamento di cui all'articolo 1, comma 6, le
condizioni e le prescrizioni relative ai beni e servizi
acquistati con contratti gia' autorizzati con decreti del
Presidente del Consiglio dei ministri, adottati ai sensi
dell'articolo 1-bis del decreto-legge 15 marzo 2012, n. 21,
convertito, con modificazioni, dalla legge 11 maggio 2012,
n. 56, in data anteriore alla data di entrata in vigore del
medesimo regolamento, qualora attinenti alle reti, ai
sistemi informativi e ai servizi informatici inseriti negli
elenchi di cui all'articolo 1, comma 2, lettera b), del
presente decreto, possono essere modificate o integrate,
con la procedura di cui al comma 2 del presente articolo,
se, a seguito della valutazione svolta da parte dei centri
di valutazione di cui all'articolo 1, comma 6, lettera a),
emergono elementi indicanti la presenza di fattori di
vulnerabilita' che potrebbero compromettere l'integrita' e
la sicurezza delle reti e dei dati che vi transitano, con
misure aggiuntive necessarie al fine di assicurare livelli
di sicurezza equivalenti a quelli previsti dal presente
decreto, anche prescrivendo la sostituzione di apparati o
prodotti, ove indispensabile al fine di risolvere le
vulnerabilita' accertate.»