Avvertenza:
Il testo coordinato qui pubblicato e' stato redatto dal Ministero
della giustizia ai sensi dell'art. 11, comma 1, del testo unico delle
disposizioni sulla promulgazione delle leggi, sull'emanazione dei
decreti del Presidente della Repubblica e sulle pubblicazioni
ufficiali della Repubblica italiana, approvato con D.P.R. 28 dicembre
1985, n. 1092, nonche' dell'art. 10, comma 3, del medesimo testo
unico, al solo fine di facilitare la lettura sia delle disposizioni
del decreto-legge, integrate con le modifiche apportate dalla legge
di conversione, che di quelle richiamate nel decreto, trascritte
nelle note. Restano invariati il valore e l'efficacia degli atti
legislativi qui riportati.
Le modifiche apportate dalla legge di conversione sono stampate
con caratteri corsivi.
Tali modifiche a video sono riportate tra i segni (( ... )).
A norma dell'art. 15, comma 5, della legge 23 agosto 1988, n. 400
(Disciplina dell'attivita' di Governo e ordinamento della Presidenza
del Consiglio dei Ministri), le modifiche apportate dalla legge di
conversione hanno efficacia dal giorno successivo a quello della sua
pubblicazione.
Art. 1
Perimetro di sicurezza nazionale cibernetica
1. Al fine di assicurare un livello elevato di sicurezza delle
reti, dei sistemi informativi e dei servizi informatici delle
amministrazioni pubbliche, degli enti e degli operatori (( pubblici e
privati aventi una sede nel territorio nazionale )), da cui dipende
l'esercizio di una funzione essenziale dello Stato, ovvero la
prestazione di un servizio essenziale per il mantenimento di
attivita' civili, sociali o economiche fondamentali per gli interessi
dello Stato e dal cui malfunzionamento, interruzione, anche parziali,
ovvero utilizzo improprio, possa derivare un pregiudizio per la
sicurezza nazionale, e' istituito il perimetro di sicurezza nazionale
cibernetica.
2. Entro quattro mesi dalla data di entrata in vigore della legge
di conversione del presente decreto, con decreto del Presidente del
Consiglio dei ministri, adottato su proposta del Comitato
interministeriale per la sicurezza della Repubblica (CISR):
a) sono individuati le amministrazioni pubbliche, gli enti e gli
operatori (( pubblici e privati di cui al comma 1 aventi una sede nel
territorio nazionale )), inclusi nel perimetro di sicurezza nazionale
cibernetica e tenuti al rispetto delle misure e degli obblighi
previsti dal presente articolo; alla predetta individuazione, fermo
restando che per gli Organismi di informazione per la sicurezza si
applicano le norme previste dalla legge 3 agosto 2007, n. 124, si
procede sulla base dei seguenti criteri:
1) il soggetto esercita una funzione essenziale dello Stato,
ovvero assicura un servizio essenziale per il mantenimento di
attivita' civili, sociali o economiche fondamentali per gli interessi
dello Stato;
2) l'esercizio di tale funzione o la prestazione di tale
servizio dipende da reti, sistemi informativi e servizi informatici;
(( 2-bis) l'individuazione avviene sulla base di un criterio di
gradualita', tenendo conto dell'entita' del pregiudizio per la
sicurezza nazionale che, in relazione alle specificita' dei diversi
settori di attivita', puo' derivare dal malfunzionamento,
dall'interruzione, anche parziali, ovvero dall'utilizzo improprio
delle reti, dei sistemi informativi e dei servizi informatici
predetti ));
b) sono definiti ((, sulla base di un'analisi del rischio e di un
criterio di gradualita' che tenga conto delle specificita' dei
diversi settori di attivita', i criteri con i quali )) i soggetti di
cui alla precedente lettera a) predispongono e aggiornano con cadenza
almeno annuale un elenco delle reti, dei sistemi informativi e dei
servizi informatici di cui al comma 1, di rispettiva pertinenza,
comprensivo della relativa architettura e componentistica ((, fermo
restando che, per le reti, i sistemi informativi e i servizi
informatici attinenti alla gestione delle informazioni classificate,
si applica quanto previsto dal regolamento adottato ai sensi
dell'articolo 4, comma 3, lettera l), della legge 3 agosto 2007, n.
124 )); all'elaborazione di tali criteri provvede, adottando
opportuni moduli organizzativi, l'organismo tecnico di supporto al
CISR, integrato con un rappresentante della Presidenza del Consiglio
dei ministri; entro sei mesi dalla data di entrata in vigore del
decreto del Presidente del Consiglio dei ministri di cui al presente
comma, i soggetti pubblici e quelli di cui all'articolo 29 del codice
dell'amministrazione digitale, di cui al decreto legislativo 7 marzo
2005, n. 82, nonche' quelli privati, individuati ai sensi della
lettera a) trasmettono tali elenchi, rispettivamente, alla Presidenza
del Consiglio dei ministri e al Ministero dello sviluppo economico;
la Presidenza del Consiglio dei ministri e il Ministero dello
sviluppo economico inoltrano gli elenchi di rispettiva pertinenza al
Dipartimento delle informazioni per la sicurezza, anche per le
attivita' di prevenzione, preparazione e gestione di crisi
cibernetiche affidate al Nucleo per la sicurezza cibernetica, nonche'
all'organo del Ministero dell'interno per la sicurezza e la
regolarita' dei servizi di telecomunicazione di cui all'articolo
7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con
modificazioni, dalla legge 31 luglio 2005, n. 155.
3. Entro dieci mesi dalla data di entrata in vigore della legge di
conversione del presente decreto, con decreto del Presidente del
Consiglio dei ministri, che disciplina altresi' i relativi termini e
modalita' attuative, adottato su proposta del CISR:
a) sono definite le procedure secondo cui i soggetti individuati
ai sensi del comma 2, lettera a), notificano gli incidenti aventi
impatto su reti, sistemi informativi e servizi informatici di cui al
comma 2, lettera b), al Gruppo di intervento per la sicurezza
informatica in caso di incidente (CSIRT) italiano, che inoltra tali
notifiche, tempestivamente, al Dipartimento delle informazioni per la
sicurezza anche per le attivita' demandate al Nucleo per la sicurezza
cibernetica; il Dipartimento delle informazioni per la sicurezza
assicura la trasmissione delle notifiche cosi' ricevute all'organo
del Ministero dell'interno per la sicurezza e la regolarita' dei
servizi di telecomunicazione di cui all'articolo 7-bis del
decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni,
dalla legge 31 luglio 2005, n. 155, nonche' alla Presidenza del
Consiglio dei ministri, se provenienti da un soggetto pubblico o da
un soggetto di cui all'articolo 29 del decreto legislativo 7 marzo
2005, n. 82, ovvero al Ministero dello sviluppo economico, se
effettuate da un soggetto privato;
b) sono stabilite misure volte a garantire elevati livelli di
sicurezza delle reti, dei sistemi informativi e dei servizi
informatici di cui al comma 2, lettera b) (( , tenendo conto degli
standard definiti a livello internazionale e dell'Unione europea )),
relative:
(( 1) alla struttura organizzativa preposta alla gestione della
sicurezza ));
(( 1-bis) alle politiche di sicurezza e alla gestione del
rischio ));
2) alla mitigazione e gestione degli incidenti e alla loro
prevenzione, anche attraverso (( interventi su )) apparati o prodotti
che risultino gravemente inadeguati sul piano della sicurezza;
3) alla protezione fisica e logica e dei dati;
4) all'integrita' delle reti e dei sistemi informativi;
5) alla gestione operativa, ivi compresa la continuita' del
servizio;
6) al monitoraggio, test e controllo;
7) alla formazione e consapevolezza;
8) all'affidamento di forniture di beni, sistemi e servizi di
information and communication technology (ICT), anche mediante
definizione di caratteristiche e requisiti di carattere generale (( ,
di standard e di eventuali limiti )).
4. All'elaborazione delle misure di cui al comma 3, lettera b),
provvedono, secondo gli ambiti di competenza delineati dal presente
decreto, il Ministero dello sviluppo economico e la Presidenza del
Consiglio dei ministri, d'intesa con il Ministero della difesa, il
Ministero dell'interno, il Ministero dell'economia e delle finanze e
il Dipartimento delle informazioni per la sicurezza.
(( 4-bis. Gli schemi dei decreti di cui ai commi 2 e 3 sono
trasmessi alla Camera dei deputati e al Senato della Repubblica per
l'espressione del parere delle Commissioni parlamentari competenti
per materia, che si pronunciano nel termine di trenta giorni, decorso
il quale il decreto puo' essere comunque adottato )).
5. Per l'aggiornamento di quanto previsto dai decreti di cui ai
commi 2 e 3 si procede secondo le medesime modalita' di cui ai commi
(( 2, 3, 4 e 4-bis )) con cadenza almeno biennale.
6. Con regolamento, adottato ai sensi dell'articolo 17, comma 1,
della legge 23 agosto 1988, n. 400, entro dieci mesi dalla data di
entrata in vigore della legge di conversione del presente decreto,
sono disciplinati le procedure, le modalita' e i termini con cui:
(( a) i soggetti di cui al comma 2, lettera a), ovvero le
centrali di committenza alle quali essi fanno ricorso ai sensi
dell'articolo 1, comma 512, della legge 28 dicembre 2015, n. 208, che
intendano procedere all'affidamento di forniture di beni, sistemi e
servizi ICT destinati a essere impiegati sulle reti, sui sistemi
informativi e per l'espletamento dei servizi informatici di cui al
comma 2, lettera b), appartenenti a categorie individuate, sulla base
di criteri di natura tecnica, con decreto del Presidente del
Consiglio dei ministri, da adottare entro dieci mesi dalla data di
entrata in vigore della legge di conversione del presente decreto, ne
danno comunicazione al Centro di valutazione e certificazione
nazionale (CVCN), istituito presso il Ministero dello sviluppo
economico; la comunicazione comprende anche la valutazione del
rischio associato all'oggetto della fornitura, anche in relazione
all'ambito di impiego. Entro quarantacinque giorni dalla ricezione
della comunicazione, prorogabili di quindici giorni, una sola volta,
in caso di particolare complessita', il CVCN puo' effettuare
verifiche preliminari ed imporre condizioni e test di hardware e
software da compiere anche in collaborazione con i soggetti di cui al
comma 2, lettera a), secondo un approccio gradualmente crescente
nelle verifiche di sicurezza. Decorso il termine di cui al precedente
periodo senza che il CVCN si sia pronunciato, i soggetti che hanno
effettuato la comunicazione possono proseguire nella procedura di
affidamento. In caso di imposizione di condizioni e test di hardware
e software, i relativi bandi di gara e contratti sono integrati con
clausole che condizionano, sospensivamente ovvero risolutivamente, il
contratto al rispetto delle condizioni e all'esito favorevole dei
test disposti dal CVCN. I test devono essere conclusi nel termine di
sessanta giorni. Decorso il termine di cui al precedente periodo, i
soggetti che hanno effettuato la comunicazione possono proseguire
nella procedura di affidamento. In relazione alla specificita' delle
forniture di beni, sistemi e servizi ICT da impiegare su reti,
sistemi informativi e servizi informatici del Ministero dell'interno
e del Ministero della difesa, individuati ai sensi del comma 2,
lettera b), i predetti Ministeri, nell'ambito delle risorse umane e
finanziarie disponibili a legislazione vigente e senza nuovi o
maggiori oneri a carico della finanza pubblica, in coerenza con
quanto previsto dal presente decreto, possono procedere, con le
medesime modalita' e i medesimi termini previsti dai periodi
precedenti, attraverso la comunicazione ai propri Centri di
valutazione accreditati per le attivita' di cui al presente decreto,
ai sensi del comma 7, lettera b), che impiegano le metodologie di
verifica e di test definite dal CVCN. Per tali casi i predetti Centri
informano il CVCN con le modalita' stabilite con il decreto del
Presidente del Consiglio dei ministri, di cui al comma 7, lettera b).
Non sono oggetto di comunicazione gli affidamenti delle forniture di
beni, sistemi e servizi ICT destinate alle reti, ai sistemi
informativi e ai servizi informatici per lo svolgimento delle
attivita' di prevenzione, accertamento e repressione dei reati e i
casi di deroga stabiliti dal medesimo regolamento con riguardo alle
forniture di beni, sistemi e servizi ICT per le quali sia
indispensabile procedere in sede estera, fermo restando, in entrambi
i casi, l'utilizzo di beni, sistemi e servizi ICT conformi ai livelli
di sicurezza di cui al comma 3, lettera b), salvo motivate esigenze
connesse agli specifici impieghi cui essi sono destinati ));
b) i soggetti individuati quali fornitori di beni, sistemi e
servizi destinati alle reti, ai sistemi informativi e ai servizi
informatici di cui al comma 2, lettera b), assicurano al CVCN e,
limitatamente agli ambiti di specifica competenza, (( ai Centri di
valutazione operanti presso i Ministeri dell'interno e della difesa,
di cui alla lettera a) del presente comma )), la propria
collaborazione per l'effettuazione delle attivita' di test di cui
alla lettera a) del presente comma, sostenendone gli oneri; il CVCN
segnala la mancata collaborazione al Ministero dello sviluppo
economico, in caso di fornitura destinata a soggetti privati, o alla
Presidenza del Consiglio dei ministri, in caso di fornitura destinata
a soggetti pubblici ovvero a quelli di cui all'articolo 29 del codice
di cui al decreto legislativo 7 marzo 2005, n. 82; sono inoltrate
altresi' alla Presidenza del Consiglio dei ministri le analoghe
segnalazioni (( dei Centri di valutazione dei Ministeri dell'interno
e della difesa, di cui alla lettera a) ));
c) la Presidenza del Consiglio dei ministri, per i profili di
pertinenza dei soggetti pubblici e di quelli di cui all'articolo 29
del codice dell'Amministrazione digitale di cui al decreto
legislativo 7 marzo 2005, n. 82, individuati ai sensi del comma 2,
lettera a), e il Ministero dello sviluppo economico, per i soggetti
privati di cui alla medesima lettera, svolgono attivita' di ispezione
e verifica in relazione a quanto previsto dal comma 2, lettera b),
dal comma 3 e dalla lettera a) del presente comma e senza che cio'
comporti accesso a dati o metadati personali e amministrativi,
impartendo, se necessario, specifiche prescrizioni; per le reti, i
sistemi informativi e i servizi informatici di cui al comma 2,
lettera b), connessi alla funzione di prevenzione e repressione dei
reati, alla tutela dell'ordine e della sicurezza pubblica (( , alla
difesa civile )) e alla difesa e sicurezza militare dello Stato, le
attivita' di ispezione e verifica sono svolte, nell'ambito delle
risorse umane e finanziarie disponibili a legislazione vigente e
senza nuovi o maggiori oneri a carico della finanza pubblica, dalle
strutture specializzate in tema di protezione di reti e sistemi,
nonche' (( , nei casi in cui siano espressamente previste dalla
legge, )) in tema di prevenzione e di contrasto del crimine
informatico, delle amministrazioni da cui dipendono le Forze di
polizia e le Forze armate, che ne comunicano gli esiti alla
Presidenza del Consiglio dei ministri per i profili di competenza.
7. Nell'ambito dell'approvvigionamento di prodotti, processi,
servizi ICT e associate infrastrutture destinati alle reti, ai
sistemi informativi e per l'espletamento dei servizi informatici di
cui al comma 2, lettera b), il CVCN assume i seguenti compiti:
a) contribuisce all'elaborazione delle misure di sicurezza di cui
al comma 3, lettera b), per cio' che concerne l'affidamento di
forniture di beni, sistemi e servizi ICT;
b) ai fini della verifica delle condizioni di sicurezza e
dell'assenza di vulnerabilita' note, anche in relazione all'ambito di
impiego, (( definisce le metodologie di verifica e di test e ))
svolge le attivita' di cui al comma 6, lettera a), dettando, se del
caso, anche prescrizioni di utilizzo al committente; a tali fini il
CVCN si avvale anche di laboratori dallo stesso accreditati secondo
criteri stabiliti da un decreto del Presidente del Consiglio dei
ministri, adottato entro dieci mesi dalla data di entrata in vigore
della legge di conversione del presente decreto, su proposta del
CISR, impiegando, per le esigenze delle amministrazioni centrali
dello Stato, quelli eventualmente istituiti, senza nuovi o maggiori
oneri a carico della finanza pubblica, presso le medesime
amministrazioni (( . Con lo stesso decreto sono altresi' stabiliti i
raccordi, ivi compresi i contenuti, le modalita' e i termini delle
comunicazioni, tra il CVCN e i predetti laboratori, nonche' tra il
medesimo CVCN e i Centri di valutazione del Ministero dell'interno e
del Ministero della difesa, di cui al comma 6, lettera a), anche al
fine di assicurare il coordinamento delle rispettive attivita' e
perseguire la convergenza e la non duplicazione delle valutazioni in
presenza di medesimi condizioni e livelli di rischio ));
c) elabora e adotta, previo conforme avviso dell'organismo
tecnico di supporto al CISR, schemi di certificazione cibernetica ((
, tenendo conto degli standard definiti a livello internazionale e
dell'Unione europea )), laddove, per ragioni di sicurezza nazionale,
gli schemi di certificazione esistenti non siano ritenuti adeguati
alle esigenze di tutela del perimetro di sicurezza nazionale
cibernetica.
8. I soggetti di cui agli articoli 12 e 14 del decreto legislativo
18 maggio 2018, n. 65, e quelli di cui all'articolo 16-ter, comma 2,
del codice delle comunicazioni elettroniche di cui al decreto
legislativo 1° agosto 2003, n. 259, inclusi nel perimetro di
sicurezza nazionale cibernetica:
a) osservano le misure di sicurezza previste, rispettivamente,
dai predetti decreti legislativi, ove di livello almeno equivalente a
quelle adottate ai sensi del comma 3, lettera b), del presente
articolo; le eventuali misure aggiuntive necessarie al fine di
assicurare i livelli di sicurezza previsti dal presente decreto sono
definite dalla Presidenza del Consiglio dei ministri, per i soggetti
pubblici e per quelli di cui all'articolo 29 del codice di cui al
decreto legislativo 7 marzo 2005, n. 82, individuati ai sensi del
comma 2, lettera a), del presente articolo, e dal Ministero dello
sviluppo economico per i soggetti privati di cui alla medesima
lettera, avvalendosi anche del CVCN; il Ministero dello sviluppo
economico e la Presidenza del Consiglio dei ministri si raccordano,
ove necessario, con le autorita' competenti di cui all'articolo 7 del
decreto legislativo 18 maggio 2018, n. 65;
b) assolvono l'obbligo di notifica di cui al comma 3, lettera a),
che costituisce anche adempimento, rispettivamente, dell'obbligo di
notifica di cui agli articoli 12 e 14 del decreto legislativo 18
maggio 2018, n. 65, e dell'analogo obbligo previsto ai sensi
dell'articolo 16-ter del codice di cui al decreto legislativo 1°
agosto 2003, n. 259, e delle correlate disposizioni attuative; a tal
fine, oltre a quanto previsto dal comma 3, lettera a), anche in
relazione alle disposizioni di cui all'articolo 16-ter del codice di
cui al decreto legislativo 1° agosto 2003, n. 259, il CSIRT italiano
inoltra le notifiche ricevute ai sensi del predetto comma 3, lettera
a), all'autorita' competente di cui all'articolo 7 del decreto
legislativo 18 maggio 2018, n. 65.
9. Salvo che il fatto costituisca reato:
a) il mancato adempimento degli obblighi di predisposizione e di
aggiornamento dell'elenco delle reti, dei sistemi informativi e dei
servizi informatici di cui al comma 2, lettera b), e' punito con la
sanzione amministrativa pecuniaria da euro 200.000 a euro 1.200.000;
b) il mancato adempimento dell'obbligo di notifica di cui al
comma 3, lettera a), nei termini prescritti, e' punito con la
sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000;
c) l'inosservanza delle misure di sicurezza di cui al comma 3,
lettera b), e' punita con la sanzione amministrativa pecuniaria da
euro 250.000 a euro 1.500.000;
d) la mancata comunicazione di cui al comma 6, lettera a), nei
termini prescritti, e' punita con la sanzione amministrativa
pecuniaria da euro 300.000 a euro 1.800.000;
e) l'impiego di prodotti e servizi sulle reti, sui sistemi
informativi (( e per l'espletamento )) dei servizi informatici di cui
al comma 2, lettera b), in violazione delle condizioni o in assenza
del superamento dei test (( imposti dal CVCN ovvero dai Centri di
valutazione )) di cui al comma 6, lettera a), e' punito con la
sanzione amministrativa pecuniaria da euro 300.000 a euro 1.800.000;
f) la mancata collaborazione per l'effettuazione delle attivita'
di test di cui al comma 6, lettera a), da parte dei soggetti di cui
al medesimo comma 6, lettera b), e' punita con la sanzione
amministrativa pecuniaria da euro 250.000 a euro 1.500.000;
g) il mancato adempimento delle prescrizioni indicate dal
Ministero dello sviluppo economico o dalla Presidenza del Consiglio
dei ministri in esito alle attivita' di ispezione e verifica svolte
ai sensi del comma 6, lettera c), e' punito con la sanzione
amministrativa pecuniaria da euro 250.000 a euro 1.500.000;
h) il mancato rispetto delle prescrizioni di cui al comma 7,
lettera b), e' punito con la sanzione amministrativa pecuniaria da
euro 250.000 a euro 1.500.000.
10. (( L'impiego di prodotti e di servizi sulle reti, sui sistemi
informativi e per l'espletamento dei servizi informatici di cui al
comma 2, lettera b), in assenza della comunicazione o del superamento
dei test o in violazione delle condizioni di cui al comma 6, lettera
a), comporta, oltre alle sanzioni di cui al comma 9, lettere d) ed
e), l'applicazione della )) sanzione amministrativa accessoria della
incapacita' ad assumere incarichi di direzione, amministrazione e
controllo nelle persone giuridiche e nelle imprese, per un periodo di
tre anni a decorrere dalla data di accertamento della violazione.
11. Chiunque, allo scopo di ostacolare o condizionare
l'espletamento dei procedimenti di cui al comma 2, lettera b), o al
comma 6, lettera a), o delle attivita' ispettive e di vigilanza
previste dal comma 6, lettera c), fornisce informazioni, dati o
elementi di fatto non rispondenti al vero, rilevanti per la
predisposizione o l'aggiornamento degli elenchi di cui al comma 2,
lettera b), o ai fini delle comunicazioni di cui al comma 6, lettera
a), o per lo svolgimento delle attivita' ispettive e di vigilanza di
cui al comma 6), lettera c) od omette di comunicare entro i termini
prescritti i predetti dati, informazioni o elementi di fatto, e'
punito con la reclusione da uno a (( tre )) anni.
(( 11-bis. All'articolo 24-bis, comma 3, del decreto legislativo 8
giugno 2001, n. 231, dopo le parole: «di altro ente pubblico,» sono
inserite le seguenti: «e dei delitti di cui all'articolo 1, comma 11,
del decreto-legge 21 settembre 2019, n. 105,» )).
12. Le autorita' competenti per l'accertamento delle violazioni e
per l'irrogazione delle sanzioni (( amministrative )) sono la
Presidenza del Consiglio dei ministri, per i soggetti pubblici e per
i soggetti di cui all'articolo 29 del codice di cui al decreto
legislativo 7 marzo 2005, n. 82, individuati ai sensi del comma 2,
lettera a), del presente articolo, e il Ministero dello sviluppo
economico, per i soggetti privati di cui alla medesima lettera.
13. Ai fini dell'accertamento e dell'irrogazione delle sanzioni
amministrative di cui al comma 9, si osservano le disposizioni
contenute nel capo I, sezioni I e II, della legge 24 novembre 1981,
n. 689.
14. Per i dipendenti dei soggetti pubblici individuati ai sensi del
comma 2, lettera a), la violazione delle disposizioni di cui al
presente articolo puo' costituire causa di responsabilita'
disciplinare e amministrativo-contabile.
15. Le autorita' titolari delle attribuzioni di cui al presente
decreto assicurano gli opportuni raccordi con il Dipartimento delle
informazioni per la sicurezza e con l'organo del Ministero
dell'interno per la sicurezza e la regolarita' dei servizi di
telecomunicazione, quale autorita' di contrasto nell'esercizio delle
attivita' di cui all'articolo 7-bis del decreto-legge 27 luglio 2005,
n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n.
155.
16. La Presidenza del Consiglio dei Ministri, per lo svolgimento
delle funzioni di cui al presente decreto puo' avvalersi dell'Agenzia
per l'Italia Digitale (AgID) sulla base di apposite convenzioni,
nell'ambito delle risorse finanziarie e umane disponibili a
legislazione vigente, senza nuovi o maggiori oneri per la finanza
pubblica.
17. Al decreto legislativo 18 maggio 2018, n. 65, sono apportate le
seguenti modificazioni:
a) all'articolo 4, comma 5, dopo il primo periodo e' aggiunto il
seguente:
«Il Ministero dello sviluppo economico inoltra tale elenco al
punto di contatto unico e all'organo del Ministero dell'interno per
la sicurezza e la regolarita' dei servizi di telecomunicazione, di
cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144,
convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155.»;
b) all'articolo 9, comma 3, le parole «e il punto di contatto
unico» sono sostituite dalle seguenti:
«, il punto di contatto unico e l'organo del Ministero
dell'interno per la sicurezza e la regolarita' dei servizi di
telecomunicazione, di cui all'articolo 7-bis del decreto-legge 27
luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31
luglio 2005, n. 155,».
18. Gli eventuali adeguamenti alle prescrizioni di sicurezza
definite ai sensi del presente articolo, delle reti, dei sistemi
informativi e dei servizi informatici delle amministrazioni
pubbliche, degli enti e degli operatori pubblici di cui al comma 2,
lettera a), sono effettuati con le risorse finanziarie disponibili a
legislazione vigente.
19. Per la realizzazione, l'allestimento e il funzionamento del
CVCN di cui ai commi 6 e 7 e' autorizzata la spesa di euro 3.200.000
per l'anno 2019 e di euro 2.850.000 per ciascuno degli anni dal 2020
al 2023 e di euro 750.000 annui a decorrere dall'anno 2024. (( Per la
realizzazione, l'allestimento e il funzionamento del Centro di
valutazione del Ministero dell'interno, di cui ai commi 6 e 7, e'
autorizzata la spesa di euro 200.000 per l'anno 2019 e di euro
1.500.000 per ciascuno degli anni 2020 e 2021 )).
(( 19-bis. Il Presidente del Consiglio dei ministri coordina la
coerente attuazione delle disposizioni del presente decreto che
disciplinano il perimetro di sicurezza nazionale cibernetica, anche
avvalendosi del Dipartimento delle informazioni per la sicurezza, che
assicura gli opportuni raccordi con le autorita' titolari delle
attribuzioni di cui al presente decreto e con i soggetti di cui al
comma 1 del presente articolo. Entro sessanta giorni dalla data di
entrata in vigore del regolamento di cui al comma 6, il Presidente
del Consiglio dei ministri trasmette alle Camere una relazione sulle
attivita' svolte )).
Riferimenti normativi
- Si riporta il testo dell'articolo 4, comma 3, della
legge 3 agosto 2007, n. 124, pubblicata nella Gazzetta
Ufficiale 13 agosto 2007, n. 187:
«Art. 4 (Dipartimento delle informazioni per la
sicurezza). - (Omissis).
3. Il DIS svolge i seguenti compiti:
a) coordina l'intera attivita' di informazione per la
sicurezza, verificando altresi' i risultati delle attivita'
svolte dall'AISE e dall'AISI, ferma restando la competenza
dei predetti servizi relativamente alle attivita' di
ricerca informativa e di collaborazione con i servizi di
sicurezza degli Stati esteri;
b) e' costantemente informato delle operazioni di
competenza dei servizi di informazione per la sicurezza e
trasmette al Presidente del Consiglio dei ministri le
informative e le analisi prodotte dal Sistema di
informazione per la sicurezza;
c) raccoglie le informazioni, le analisi e i rapporti
provenienti dai servizi di informazione per la sicurezza,
dalle Forze armate e di polizia, dalle amministrazioni
dello Stato e da enti di ricerca anche privati; ferma
l'esclusiva competenza dell'AISE e dell'AISI per
l'elaborazione dei rispettivi piani di ricerca operativa,
elabora analisi strategiche o relative a particolari
situazioni; formula valutazioni e previsioni, sulla scorta
dei contributi analitici settoriali dell'AISE e dell'AISI;
d) elabora, anche sulla base delle informazioni e dei
rapporti di cui alla lettera c), analisi globali da
sottoporre al CISR, nonche' progetti di ricerca
informativa, sui quali decide il Presidente del Consiglio
dei ministri, dopo avere acquisito il parere del CISR;
d-bis) sulla base delle direttive di cui all'articolo
1, comma 3-bis, nonche' delle informazioni e dei rapporti
di cui alla lettera c) del presente comma, coordina le
attivita' di ricerca informativa finalizzate a rafforzare
la protezione cibernetica e la sicurezza informatica
nazionali;
e) promuove e garantisce, anche attraverso riunioni
periodiche, lo scambio informativo tra l'AISE, l'AISI e le
Forze di polizia; comunica al Presidente del Consiglio dei
ministri le acquisizioni provenienti dallo scambio
informativo e i risultati delle riunioni periodiche;
f) trasmette, su disposizione del Presidente del
Consiglio dei ministri, sentito il CISR, informazioni e
analisi ad amministrazioni pubbliche o enti, anche ad
ordinamento autonomo, interessati all'acquisizione di
informazioni per la sicurezza;
g) elabora, d'intesa con l'AISE e l'AISI, il piano di
acquisizione delle risorse umane e materiali e di ogni
altra risorsa comunque strumentale all'attivita' dei
servizi di informazione per la sicurezza, da sottoporre
all'approvazione del Presidente del Consiglio dei ministri;
h) sentite l'AISE e l'AISI, elabora e sottopone
all'approvazione del Presidente del Consiglio dei ministri
lo schema del regolamento di cui all'articolo 21, comma 1;
i) esercita il controllo sull'AISE e sull'AISI,
verificando la conformita' delle attivita' di informazione
per la sicurezza alle leggi e ai regolamenti, nonche' alle
direttive e alle disposizioni del Presidente del Consiglio
dei ministri. Per tale finalita', presso il DIS e'
istituito un ufficio ispettivo le cui modalita' di
organizzazione e di funzionamento sono definite con il
regolamento di cui al comma 7. Con le modalita' previste da
tale regolamento e' approvato annualmente, previo parere
del Comitato parlamentare di cui all'articolo 30, il piano
annuale delle attivita' dell'ufficio ispettivo. L'ufficio
ispettivo, nell'ambito delle competenze definite con il
predetto regolamento, puo' svolgere, anche a richiesta del
direttore generale del DIS, autorizzato dal Presidente del
Consiglio dei ministri, inchieste interne su specifici
episodi e comportamenti verificatisi nell'ambito dei
servizi di informazione per la sicurezza;
l) assicura l'attuazione delle disposizioni impartite
dal Presidente del Consiglio dei Ministri con apposito
regolamento adottato ai sensi dell'articolo 1, comma 2, ai
fini della tutela amministrativa del segreto di Stato e
delle classifiche di segretezza, vigilando altresi' sulla
loro corretta applicazione;
m) cura le attivita' di promozione e diffusione della
cultura della sicurezza e la comunicazione istituzionale;
n) impartisce gli indirizzi per la gestione unitaria
del personale di cui all'articolo 21, secondo le modalita'
definite dal regolamento di cui al comma 1 del medesimo
articolo;
n-bis) gestisce unitariamente, ferme restando le
competenze operative dell'AISE e dell'AISI, gli
approvvigionamenti e i servizi logistici comuni.
(Omissis).».
- Si riporta il testo dell'articolo 29 del codice
dell'amministrazione digitale, di cui al decreto
legislativo 7 marzo 2005, n. 82:
«Art. 29 (Qualificazione e accreditamento). - 1. I
soggetti che intendono fornire servizi fiduciari
qualificati o svolgere l'attivita' di gestore di posta
elettronica certificata o di gestore dell'identita'
digitale di cui all'articolo 64 presentano all'AgID domanda
di qualificazione, secondo le modalita' fissate dalle Linee
guida. I soggetti che intendono svolgere l'attivita' di
conservatore di documenti informatici presentano all'AgID
domanda di accreditamento, secondo le modalita' fissate
dalle Linee guida.
2. Il richiedente deve trovarsi nelle condizioni
previste dall'articolo 24 del Regolamento eIDAS, deve avere
natura giuridica di societa' di capitali e deve disporre
dei requisiti di onorabilita', tecnologici e organizzativi,
nonche' delle garanzie assicurative e di eventuali
certificazioni, adeguate rispetto al volume dell'attivita'
svolta e alla responsabilita' assunta nei confronti dei
propri utenti e dei terzi. I predetti requisiti sono
individuati, nel rispetto della disciplina europea, con
decreto del Presidente del Consiglio dei ministri, sentita
l'AgID. Il predetto decreto determina altresi' i criteri
per la fissazione delle tariffe dovute all'AgID per lo
svolgimento delle predette attivita', nonche' i requisiti e
le condizioni per lo svolgimento delle attivita' di cui al
comma 1 da parte di amministrazioni pubbliche.
3.
4. La domanda di qualificazione o di accreditamento si
considera accolta qualora non venga comunicato
all'interessato il provvedimento di diniego entro novanta
giorni dalla data di presentazione della stessa.
5. Il termine di cui al comma 4, puo' essere sospeso
una sola volta entro trenta giorni dalla data di
presentazione della domanda, esclusivamente per la motivata
richiesta di documenti che integrino o completino la
documentazione presentata e che non siano gia' nella
disponibilita' di AgID (259) o che questo non possa
acquisire autonomamente. In tale caso, il termine riprende
a decorrere dalla data di ricezione della documentazione
integrativa.
6. A seguito dell'accoglimento della domanda, AgID
dispone l'iscrizione del richiedente in un apposito elenco
di fiducia pubblico, tenuto da AgID stesso e consultabile
anche in via telematica, ai fini dell'applicazione della
disciplina in questione.
7.
8.
9. Alle attivita' previste dal presente articolo si fa
fronte nell'ambito delle risorse di AgID, senza nuovi o
maggiori oneri per la finanza pubblica.».
- Si riporta l'articolo 7-bis del decreto-legge 27
luglio 2005, n. 144, convertito, con modificazioni, dalla
legge 31 luglio 2005, n. 155:
«Art. 7-bis (Sicurezza telematica). - 1. Ferme restando
le competenze dei Servizi informativi e di sicurezza, di
cui agli articoli 4 e 6 della legge 24 ottobre 1977, n.
801, l'organo del Ministero dell'interno per la sicurezza e
per la regolarita' dei servizi di telecomunicazione
assicura i servizi di protezione informatica delle
infrastrutture critiche informatizzate di interesse
nazionale individuate con decreto del Ministro
dell'interno, operando mediante collegamenti telematici
definiti con apposite convenzioni con i responsabili delle
strutture interessate.
2. Per le finalita' di cui al comma 1 e per la
prevenzione e repressione delle attivita' terroristiche o
di agevolazione del terrorismo condotte con i mezzi
informatici, gli ufficiali di polizia giudiziaria
appartenenti all'organo di cui al comma 1 possono svolgere
le attivita' di cui all'articolo 4, commi 1 e 2, del
decreto-legge 18 ottobre 2001, n. 374, convertito, con
modificazioni, dalla legge 15 dicembre 2001, n. 438, e
quelle di cui all' articolo 226 delle norme di attuazione,
di coordinamento e transitorie del codice di procedura
penale, di cui al decreto legislativo 28 luglio 1989, n.
271, anche a richiesta o in collaborazione con gli organi
di polizia giudiziaria ivi indicati».
- Si riporta l'articolo 17 della legge 23 agosto 1988,
n. 400:
«Art. 17 (Regolamenti). - 1. Con decreto del Presidente
della Repubblica, previa deliberazione del Consiglio dei
ministri, sentito il parere del Consiglio di Stato che deve
pronunziarsi entro novanta giorni dalla richiesta, possono
essere emanati regolamenti per disciplinare:
a) l'esecuzione delle leggi e dei decreti
legislativi, nonche' dei regolamenti comunitari;
b) l'attuazione e l'integrazione delle leggi e dei
decreti legislativi recanti norme di principio, esclusi
quelli relativi a materie riservate alla competenza
regionale;
c) le materie in cui manchi la disciplina da parte di
leggi o di atti aventi forza di legge, sempre che non si
tratti di materie comunque riservate alla legge;
d) l'organizzazione ed il funzionamento delle
amministrazioni pubbliche secondo le disposizioni dettate
dalla legge;
e).
(Omissis).».
- Si riporta l'articolo 1, comma 512, della legge 28
dicembre 2015, n. 208:
«512. - Al fine di garantire l'ottimizzazione e la
razionalizzazione degli acquisti di beni e servizi
informatici e di connettivita', fermi restando gli obblighi
di acquisizione centralizzata previsti per i beni e servizi
dalla normativa vigente, le amministrazioni pubbliche e le
societa' inserite nel conto economico consolidato della
pubblica amministrazione, come individuate dall'Istituto
nazionale di statistica (ISTAT) ai sensi dell'articolo 1
della legge 31 dicembre 2009, n. 196, provvedono ai propri
approvvigionamenti esclusivamente tramite gli strumenti di
acquisto e di negoziazione di Consip Spa o dei soggetti
aggregatori, ivi comprese le centrali di committenza
regionali, per i beni e i servizi disponibili presso gli
stessi soggetti. Le regioni sono autorizzate ad assumere
personale strettamente necessario ad assicurare la piena
funzionalita' dei soggetti aggregatori di cui all'articolo
9 del decreto-legge 24 aprile 2014, n. 66, convertito, con
modificazioni, dalla legge 23 giugno 2014, n. 89, in deroga
ai vincoli assunzionali previsti dalla normativa vigente,
nei limiti del finanziamento derivante dal Fondo di cui al
comma 9 del medesimo articolo 9 del decreto-legge n. 66 del
2014.».
- Si riportano gli articoli 12 e 14 del decreto
legislativo 18 maggio 2018, n. 65:
«Capo IV - Sicurezza della rete e dei sistemi
informativi degli operatori di servizi essenziali
Art. 12 (Obblighi in materia di sicurezza e notifica
degli incidenti). - 1. Gli operatori di servizi essenziali
adottano misure tecniche e organizzative adeguate e
proporzionate alla gestione dei rischi posti alla sicurezza
della rete e dei sistemi informativi che utilizzano nelle
loro operazioni. Tenuto conto delle conoscenze piu'
aggiornate in materia, dette misure assicurano un livello
di sicurezza della rete e dei sistemi informativi adeguato
al rischio esistente.
2. Gli operatori di servizi essenziali adottano misure
adeguate per prevenire e minimizzare l'impatto di incidenti
a carico della sicurezza della rete e dei sistemi
informativi utilizzati per la fornitura dei servizi
essenziali, al fine di assicurare la continuita' di tali
servizi.
3. Nell'adozione delle misure di cui ai commi 1 e 2,
gli operatori di servizi essenziali tengono conto delle
linee guida predisposte dal gruppo di cooperazione di cui
all'articolo 10, nonche' delle linee guida di cui al comma
7.
4. Fatto salvo quanto previsto dai commi 1, 2 e 3, le
autorita' competenti NIS possono, se necessario, definire
specifiche misure, sentiti gli operatori di servizi
essenziali.
5. Gli operatori di servizi essenziali notificano al
CSIRT italiano e, per conoscenza, all'autorita' competente
NIS, senza ingiustificato ritardo, gli incidenti aventi un
impatto rilevante sulla continuita' dei servizi essenziali
forniti.
6. Il CSIRT italiano inoltra tempestivamente le
notifiche all'organo istituito presso il Dipartimento
informazioni per la sicurezza incaricato, ai sensi delle
direttive del Presidente del Consiglio dei ministri
adottate sentito il Comitato interministeriale per la
sicurezza della Repubblica (CISR), delle attivita' di
prevenzione e preparazione ad eventuali situazioni di crisi
e di attivazione delle procedure di allertamento.
7. Le notifiche includono le informazioni che
consentono al CSIRT italiano di determinare un eventuale
impatto transfrontaliero dell'incidente. La notifica non
espone la parte che la effettua a una maggiore
responsabilita' rispetto a quella derivante dall'incidente.
Le autorita' competenti NIS possono predisporre linee guida
per la notifica degli incidenti.
8. Per determinare la rilevanza dell'impatto di un
incidente si tiene conto in particolare dei seguenti
parametri:
a) il numero di utenti interessati dalla
perturbazione del servizio essenziale;
b) la durata dell'incidente;
c) la diffusione geografica relativamente all'area
interessata dall'incidente.
9. Sulla base delle informazioni fornite nella notifica
da parte dell'operatore di servizi essenziali, il CSIRT
italiano informa gli eventuali altri Stati membri
interessati in cui l'incidente ha un impatto rilevante
sulla continuita' dei servizi essenziali.
10 Ai fini del comma 9, il CSIRT italiano preserva,
conformemente al diritto dell'Unione europea e alla
legislazione nazionale, la sicurezza e gli interessi
commerciali dell'operatore di servizi essenziali, nonche'
la riservatezza delle informazioni fornite nella notifica
secondo quanto previsto dall'articolo 1, comma 5.
11. Ove le circostanze lo consentano, il CSIRT italiano
fornisce all'operatore di servizi essenziali, che effettua
la notifica, le pertinenti informazioni relative al seguito
della notifica stessa, nonche' le informazioni che possono
facilitare un trattamento efficace dell'incidente.
12. Su richiesta dell'autorita' competente NIS o del
CSIRT italiano, il punto di contatto unico trasmette,
previa verifica dei presupposti, le notifiche ai punti di
contatto unici degli altri Stati membri interessati.
13. Previa valutazione da parte dell'organo di cui al
comma 6, l'autorita' competente NIS, d'intesa con il CSIRT
italiano, dopo aver consultato l'operatore dei servizi
essenziali notificante, puo' informare il pubblico in
merito ai singoli incidenti, qualora ne sia necessaria la
sensibilizzazione per evitare un incidente o gestire un
incidente in corso.
14. Dall'attuazione del presente articolo non devono
derivare nuovi o maggiori oneri a carico della finanza
pubblica. Gli operatori di servizi essenziali provvedono
agli adempimenti previsti dal presente articolo a valere
sulle risorse finanziarie disponibili sui propri bilanci.»
«Capo V - Sicurezza della rete e dei sistemi
informativi dei fornitori di servizi digitali
Art. 14 (Obblighi in materia di sicurezza e notifica
degli incidenti). - 1. I fornitori di servizi digitali
identificano e adottano misure tecniche e organizzative
adeguate e proporzionate alla gestione dei rischi relativi
alla sicurezza della rete e dei sistemi informativi che
utilizzano nel contesto dell'offerta di servizi di cui
all'allegato III all'interno dell'Unione europea.
2. Tenuto conto delle conoscenze piu' aggiornate in
materia, tali misure assicurano un livello di sicurezza
della rete e dei sistemi informativi adeguato al rischio
esistente e tengono conto dei seguenti elementi:
a) la sicurezza dei sistemi e degli impianti;
b) trattamento degli incidenti;
c) gestione della continuita' operativa;
d) monitoraggio, audit e test;
e) conformita' con le norme internazionali.
3. I fornitori di servizi digitali adottano misure per
prevenire e minimizzare l'impatto di incidenti a carico
della sicurezza della rete e dei sistemi informativi del
fornitore di servizi digitali sui servizi di cui
all'allegato III offerti all'interno dell'Unione europea,
al fine di assicurare la continuita' di tali servizi.
4. I fornitori di servizi digitali notificano al CSIRT
italiano e, per conoscenza, all'autorita' competente NIS,
senza ingiustificato ritardo, gli incidenti aventi un
impatto rilevante sulla fornitura di un servizio di cui
all'allegato III che essi offrono all'interno dell'Unione
europea.
5. Le notifiche includono le informazioni che
consentono al CSIRT italiano di determinare la rilevanza di
un eventuale impatto transfrontaliero. La notifica non
espone la parte che la effettua a una maggiore
responsabilita' rispetto a quella derivante dall'incidente.
6. Il CSIRT italiano inoltra tempestivamente le
notifiche all'organo di cui all'articolo 12, comma 6.
7. Al fine di determinare la rilevanza dell'impatto di
un incidente, sono tenuti in considerazione, in
particolare, i seguenti parametri:
a) il numero di utenti interessati dall'incidente, in
particolare gli utenti che dipendono dal servizio digitale
per la fornitura dei propri servizi;
b) la durata dell'incidente;
c) la diffusione geografica relativamente all'area
interessata dall'incidente;
d) la portata della perturbazione del funzionamento
del servizio;
e) la portata dell'impatto sulle attivita' economiche
e sociali.
8. L'obbligo di notificare un incidente si applica
soltanto qualora il fornitore di servizi digitali abbia
accesso alle informazioni necessarie per valutare l'impatto
di un incidente con riferimento ai parametri di cui al
comma 7.
9. Qualora un operatore di servizi essenziali dipenda
da una terza parte fornitrice di servizi digitali per la
fornitura di un servizio che e' indispensabile per il
mantenimento di attivita' economiche e sociali
fondamentali, l'operatore stesso notifica qualsiasi impatto
rilevante per la continuita' di servizi essenziali dovuto
ad un incidente a carico di tale operatore.
10. Qualora l'incidente di cui al comma 4 riguardi due
o piu' Stati membri, il CSIRT italiano informa gli altri
Stati membri coinvolti.
11. Ai fini del comma 9, il CSIRT italiano tutela, nel
rispetto del diritto dell'Unione europea e della
legislazione nazionale, la sicurezza e gli interessi
commerciali del fornitore del servizio digitale nonche' la
riservatezza delle informazioni fornite.
12. Previa valutazione da parte dell'organo di cui
all'articolo 12, comma 6, l'autorita' competente NIS,
d'intesa con il CSIRT italiano, dopo aver consultato il
fornitore di servizi digitali interessato e, se del caso,
le autorita' competenti o i CSIRT degli altri Stati membri
interessati, puo' informare il pubblico riguardo ai singoli
incidenti o chiedere al fornitore di servizi digitali di
provvedervi, qualora ne sia necessaria la sensibilizzazione
per evitare un incidente o gestirne uno in corso, o qualora
sussista comunque un interesse pubblico alla divulgazione
dell'incidente.
13. I fornitori di servizi digitali applicano le
disposizioni di attuazione degli atti di esecuzione della
Commissione europea che specificano ulteriormente le misure
tecnico-organizzative di cui al comma 1 e i parametri, ivi
compresi formati e procedure, relativi agli obblighi di
notifica di cui al comma 4.
14. Fatto salvo quanto previsto dall'articolo 1, comma
7, non sono imposti ulteriori obblighi in materia di
sicurezza o di notifica ai fornitori di servizi digitali.
15. Il presente capo non si applica alle microimprese e
alle piccole imprese quali definite nella raccomandazione
della Commissione europea del 6 maggio 2003, n.
2003/361/CE.».
- Si riporta l'articolo 16-ter del Codice delle
comunicazioni elettroniche di cui al decreto legislativo 1°
agosto 2003, n. 259:
«Art. 16-ter (Attuazione e controllo). - 1. Le misure
adottate ai fini dell'attuazione del presente articolo e
dell'articolo 16-bis sono approvate con decreto del
Ministro dello sviluppo economico.
2. Ai fini del controllo del rispetto dell'articolo
16-bis le imprese che forniscono reti pubbliche di
comunicazioni o servizi di comunicazione elettronica
accessibili al pubblico sono tenute a:
a) fornire al Ministero, e se necessario
all'Autorita', le informazioni necessarie per valutare la
sicurezza e l'integrita' dei loro servizi e delle loro
reti, in particolare i documenti relativi alle politiche di
sicurezza; nonche';
b) sottostare a una verifica della sicurezza
effettuata dal Ministero, anche su impulso dell'Autorita',
in collaborazione con gli Ispettorati territoriali del
Ministero dello sviluppo economico, o da un organismo
qualificato indipendente designato dal Ministero. L'impresa
si assume l'onere finanziario della verifica.
3. Il Ministero e l'Autorita' hanno la facolta' di
indagare i casi di mancata conformita' nonche' i loro
effetti sulla sicurezza e l'integrita' delle reti.
4. Nel caso in cui il Ministero riscontri, anche su
indicazione dell'Autorita', il mancato rispetto degli
articoli 16-bis o 16-ter ovvero delle disposizioni
attuative previste dal comma 1 da parte delle imprese che
forniscono reti pubbliche di comunicazioni o servizi di
comunicazione elettronica accessibili al pubblico, si
applicano le sanzioni di cui all'articolo 98, commi da 4 a
12.».
- Si riporta l'articolo 7 del decreto legislativo 18
maggio 2018, n. 65:
«Art. 7 (Autorita' nazionali competenti e punto di
contatto unico). - 1. Sono designate quali Autorita'
competenti NIS per i settori e sottosettori di cui
all'allegato II e per i servizi di cui all'allegato III:
a) il Ministero dello sviluppo economico per il
settore energia, sottosettori energia elettrica, gas e
petrolio e per il settore infrastrutture digitali,
sottosettori IXP, DNS, TLD, nonche' per i servizi digitali;
b) il Ministero delle infrastrutture e dei trasporti
per il settore trasporti, sottosettori aereo, ferroviario,
per vie d'acqua e su strada;
c) il Ministero dell'economia e delle finanze per il
settore bancario e per il settore infrastrutture dei
mercati finanziari, in collaborazione con le autorita' di
vigilanza di settore, Banca d'Italia e Consob, secondo
modalita' di collaborazione e di scambio di informazioni
stabilite con decreto del Ministro dell'economia e delle
finanze;
d) il Ministero della salute per l'attivita' di
assistenza sanitaria, come definita dall'articolo 3, comma
1, lettera a), del decreto legislativo 4 marzo 2014, n. 38,
prestata dagli operatori dipendenti o incaricati dal
medesimo Ministero o convenzionati con lo stesso e le
Regioni e le Province autonome di Trento e di Bolzano,
direttamente o per il tramite delle Autorita' sanitarie
territorialmente competenti, per le attivita' di assistenza
sanitaria prestata dagli operatori autorizzati e
accreditati delle Regioni o dalle Province autonome negli
ambiti territoriali di rispettiva competenza;
e) il Ministero dell'ambiente e della tutela del
territorio e del mare e le Regioni e le Province autonome
di Trento e di Bolzano, direttamente o per il tramite delle
Autorita' territorialmente competenti, in merito al settore
fornitura e distribuzione di acqua potabile.
2. Le Autorita' competenti NIS sono responsabili
dell'attuazione del presente decreto con riguardo ai
settori di cui all'allegato II e ai servizi di cui
all'allegato III e vigilano sull'applicazione del presente
decreto a livello nazionale esercitando altresi' le
relative potesta' ispettive e sanzionatorie.
3. Il Dipartimento delle informazioni per la sicurezza
(DIS) e' designato quale punto di contatto unico in materia
di sicurezza delle reti e dei sistemi informativi.
4. Il punto di contatto unico svolge una funzione di
collegamento per garantire la cooperazione transfrontaliera
delle autorita' competenti NIS con le autorita' competenti
degli altri Stati membri, nonche' con il gruppo di
cooperazione di cui all'articolo 10 e la rete di CSIRT di
cui all'articolo 11.
5. Il punto di contatto unico collabora nel gruppo di
cooperazione in modo effettivo, efficiente e sicuro con i
rappresentanti designati dagli altri Stati.
6. Le autorita' competenti NIS e il punto di contatto
unico consultano, conformemente alla normativa vigente,
l'autorita' di contrasto ed il Garante per la protezione
dei dati personali e collaborano con essi.
7. La Presidenza del Consiglio dei ministri comunica
tempestivamente alla Commissione europea la designazione
del punto di contatto unico e quella delle autorita'
competenti NIS, i relativi compiti e qualsiasi ulteriore
modifica. Alle designazioni sono assicurate idonee forme di
pubblicita'.
8. Agli oneri derivanti dal presente articolo pari a
1.300.000 euro a decorrere dal 2018, si provvede ai sensi
dell'articolo 22.».
- Si riporta l'articolo 24-bis del decreto legislativo
8 giugno 2001, n. 231, come modificato dalla presente legge
di conversione:
«Art. 24-bis (Delitti informatici e trattamento
illecito di dati). - (Omissis).
3. In relazione alla commissione dei delitti di cui
agli articoli 491-bis e 640-quinquies del codice penale,
salvo quanto previsto dall'articolo 24 del presente decreto
per i casi di frode informatica in danno dello Stato o di
altro ente pubblico, e dei delitti di cui all'articolo 1,
comma 11, del decreto-legge 21 settembre 2019, n. 105, si
applica all'ente la sanzione pecuniaria sino a quattrocento
quote.
(omissis)».
- La legge 24 novembre 1981, n. 689, e' pubblicata
nella Gazzetta Ufficiale 30 novembre 1981, n. 329, S.O.
- Si riportano gli articoli 4 e 9 del decreto
legislativo 18 maggio 2018, n. 65:
«Art. 4 (Identificazione degli operatori di servizi
essenziali). - (Omissis).
5. E' istituito presso il Ministero dello sviluppo
economico un elenco nazionale degli operatori di servizi
essenziali. Il Ministero dello sviluppo economico inoltra
tale elenco al punto di contatto unico e all'organo del
Ministero dell'interno per la sicurezza e la regolarita'
dei servizi di telecomunicazione, di cui all'articolo 7-bis
del decreto-legge 27 luglio 2005, n. 144, convertito, con
modificazioni, dalla legge 31 luglio 2005, n. 155.
(Omissis).»
«Art. 9 (Cooperazione a livello nazionale). -
(Omissis).
3. Il CSIRT italiano informa le autorita' competenti
NIS, il punto di contatto unico e l'organo del Ministero
dell'interno per la sicurezza e la regolarita' dei servizi
di telecomunicazione, di cui all'articolo 7-bis del
decreto-legge 27 luglio 2005, n. 144, convertito, con
modificazioni, dalla legge 31 luglio 2005, n. 155, in
merito alle notifiche di incidenti trasmesse ai sensi del
presente decreto.».