Art. 16 Altre modificazioni 1. All'articolo 3, comma 1-bis, della legge n. 124 del 2007, dopo le parole: «della presente legge» sono aggiunte le seguenti: «e in materia di cybersicurezza». 2. All'articolo 38 della legge n. 124 del 2007, il comma 1-bis e' abrogato. 3. La denominazione: «CSIRT Italia» sostituisce, ad ogni effetto e ovunque presente in provvedimenti legislativi e regolamentari, la denominazione: «CSIRT Italiano». 4. Nel decreto-legge perimetro le parole: «Comitato interministeriale per la sicurezza della Repubblica (CISR)» e «CISR», ovunque ricorrano, sono rispettivamente sostituite dalle seguenti: «Comitato interministeriale per la cybersicurezza (CIC)» e «CIC», fatta eccezione per le disposizioni di cui all'articolo 5 del medesimo decreto-legge. 5. Nel decreto-legge perimetro ogni riferimento al Dipartimento delle informazioni per la sicurezza, o al DIS, ovunque ricorra, e' da intendersi riferito all'Agenzia per la cybersicurezza nazionale e ogni riferimento al Nucleo per la sicurezza cibernetica e' da intendersi riferito al Nucleo per la cybersicurezza. 6. Nel decreto-legge perimetro: a) ogni riferimento al Ministero dello sviluppo economico e alla Presidenza del Consiglio dei ministri, ovunque ricorra, e' da intendersi riferito all'Agenzia per la cybersicurezza nazionale; b) all'articolo 1, comma 8, lettera a), le parole da: «definite dalla Presidenza del Consiglio dei ministri» a: «decreto legislativo 18 maggio 2018, n. 65» sono sostituite dalle seguenti: «definite dall'Agenzia per la cybersicurezza nazionale»; c) all'articolo 1, comma 8, lettera b), le parole: «all'autorita' competente» sono sostituite dalle seguenti: «autorita' nazionale competente NIS». 7. Nei provvedimenti di natura regolamentare e amministrativa la cui adozione e' prevista dall'articolo 1 del decreto-legge perimetro, ogni riferimento al CISR e al DIS deve intendersi rispettivamente riferito al CIC e all'Agenzia per la cybersicurezza nazionale. 8. Nei provvedimenti di natura regolamentare e amministrativa la cui adozione e' prevista dall'articolo 1 del decreto-legge perimetro, ogni riferimento al Ministero dello sviluppo economico e alla struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale, fatta eccezione per le disposizioni di cui agli articoli 3 del decreto del Presidente del Consiglio dei ministri n. 131 del 2020. 9. Al decreto-legge perimetro sono apportate le seguenti modificazioni: a) all'articolo 1, comma 6, lettera a), dopo il primo periodo e' inserito il seguente: «L'obbligo di comunicazione di cui alla presente lettera e' efficace a decorrere dal trentesimo giorno successivo alla pubblicazione nella Gazzetta Ufficiale della Repubblica italiana del decreto del Presidente del Consiglio dei ministri che, sentita l'Agenzia per la cybersicurezza nazionale, attesta l'operativita' del CVCN e comunque dal 30 giugno 2022.»; b) all'articolo 3, il comma 2 e' abrogato; c) a decorrere dalla data in cui diviene efficace l'obbligo di comunicazione disciplinato dalla lettera a), all'articolo 3: 1) il comma 1 e' sostituito dal seguente: «1. I soggetti che intendono procedere all'acquisizione, a qualsiasi titolo, di beni, servizi e componenti di cui all'articolo 1-bis, comma 2, del decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, sono obbligati ad effettuare la comunicazione di cui all'articolo 1, comma 6, lettera a), per lo svolgimento delle verifiche di sicurezza da parte del CVCN sulla base delle procedure, modalita' e termini previsti dal regolamento di attuazione. Ai fornitori di predetti beni, servizi e componenti si applica l'articolo 1, comma 6, lettera b).»; 2) il comma 3 e' abrogato; 10. A decorrere dalla data in cui diviene efficace l'obbligo di comunicazione disciplinato dal comma 9, lettera a), al decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, il comma 3-bis dell'articolo 1-bis e' sostituito dal seguente: «3-bis. Entro dieci giorni dalla conclusione di un contratto o accordo di cui al comma 2, l'impresa che ha acquisito, a qualsiasi titolo, i beni o i servizi di cui allo stesso comma notifica alla Presidenza del Consiglio dei ministri un'informativa completa, contenente anche la comunicazione del Centro di valutazione e certificazione nazionale (CVCN), relativa all'esito della valutazione e alle eventuali prescrizioni, in modo da consentire l'eventuale esercizio del potere di veto o l'imposizione di specifiche prescrizioni o condizioni. Qualora il contratto sia stato stipulato antecedentemente alla conclusione dei test imposti dal CVCN, il termine di cui al primo periodo decorre dalla comunicazione di esito positivo della valutazione effettuata dal CVCN. Entro trenta giorni dalla notifica, il Presidente del Consiglio dei ministri comunica l'eventuale veto ovvero l'imposizione di specifiche prescrizioni o condizioni. I poteri speciali sono esercitati nella forma dell'imposizione di specifiche prescrizioni o condizioni ogniqualvolta cio' sia sufficiente ad assicurare la tutela degli interessi essenziali della difesa e della sicurezza nazionale. Decorsi i predetti termini, i poteri speciali si intendono non esercitati. Qualora si renda necessario richiedere informazioni all'acquirente, tale termine e' sospeso, per una sola volta, fino al ricevimento delle informazioni richieste, che sono rese entro il termine di dieci giorni. Qualora si renda necessario formulare richieste istruttorie a soggetti terzi, il predetto termine di trenta giorni e' sospeso, per una sola volta, fino al ricevimento delle informazioni richieste, che sono rese entro il termine di venti giorni. Le richieste di informazioni e le richieste istruttorie a soggetti terzi successive alla prima non sospendono i termini. In caso di incompletezza della notifica, il termine di trenta giorni previsto dal presente comma decorre dal ricevimento delle informazioni o degli elementi che la integrano. Fermo restando quanto previsto in materia di sanzioni al presente comma, nel caso in cui l'impresa notificante abbia iniziato l'esecuzione del contratto o dell'accordo oggetto della notifica prima che sia decorso il termine per l'esercizio dei poteri speciali, ovvero abbia eseguito il contratto o accordo in violazione del decreto di esercizio dei poteri speciali, il Governo puo' ingiungere all'impresa di ripristinare a proprie spese la situazione anteriore. Salvo che il fatto costituisca reato, chiunque non osservi gli obblighi di notifica di cui al presente articolo ovvero le disposizioni contenute nel provvedimento di esercizio dei poteri speciali e' soggetto alla sanzione amministrativa pecuniaria fino al 150 per cento del valore dell'operazione e comunque non inferiore al 25 per cento del medesimo valore. Nei casi di violazione degli obblighi di notifica di cui al presente articolo, anche in assenza della notifica, la Presidenza del Consiglio dei ministri puo' avviare il procedimento ai fini dell'eventuale esercizio dei poteri speciali. A tale scopo, trovano applicazione i termini e le norme procedurali previsti dal presente comma. Il termine di trenta giorni di cui al presente comma decorre dalla conclusione del procedimento di accertamento della violazione dell'obbligo di notifica». 11. All'articolo 135 del decreto legislativo 2 luglio 2010, n. 104, dopo la lettera h), e' aggiunta la seguente: «h-bis) le controversie aventi ad oggetto i provvedimenti dell'Agenzia per la cybersicurezza nazionale;». 12. Alla legge 22 aprile 2021, n. 53, sono apportate le seguenti modificazioni: a) all'articolo 4, comma 1, lettera b), dopo le parole: «Ministero dello sviluppo economico» sono aggiunte le seguenti: «e l'Agenzia per la cybersicurezza nazionale»; b) all'articolo 18, ogni riferimento al Ministero dello sviluppo economico, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale. 13. All'articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, le parole: «L'AgID» sono sostituite dalle seguenti: «L'Agenzia per la cybersicurezza nazionale». 14. Al decreto legislativo 1° agosto 2003, n. 259, sono apportate le seguenti modificazioni: a) agli articoli 16-bis e 16-ter, ogni riferimento al Ministero dello sviluppo economico, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale; b) all'articolo 16-ter, comma 1, le parole: «Ministro dello sviluppo economico» sono sostituite dalle seguenti: «Presidente del Consiglio dei ministri»; c) all'articolo 16-ter, comma 2, lettera b), le parole: «, in collaborazione con gli Ispettorati territoriali del Ministero dello sviluppo economico,» sono soppresse.