Art. 16
Altre modificazioni
1. All'articolo 3, comma 1-bis, della legge n. 124 del 2007, dopo
le parole: «della presente legge» sono aggiunte le seguenti: «e in
materia di cybersicurezza».
2. All'articolo 38 della legge n. 124 del 2007, il comma 1-bis e'
abrogato.
3. La denominazione: «CSIRT Italia» sostituisce, ad ogni effetto e
ovunque presente in provvedimenti legislativi e regolamentari, la
denominazione: «CSIRT Italiano».
4. Nel decreto-legge perimetro le parole: «Comitato
interministeriale per la sicurezza della Repubblica (CISR)» e «CISR»,
ovunque ricorrano, sono rispettivamente sostituite dalle seguenti:
«Comitato interministeriale per la cybersicurezza (CIC)» e «CIC»,
fatta eccezione per le disposizioni di cui all'articolo 5 del
medesimo decreto-legge.
5. Nel decreto-legge perimetro ogni riferimento al Dipartimento
delle informazioni per la sicurezza, o al DIS, ovunque ricorra, e' da
intendersi riferito all'Agenzia per la cybersicurezza nazionale e
ogni riferimento al Nucleo per la sicurezza cibernetica e' da
intendersi riferito al Nucleo per la cybersicurezza.
6. Nel decreto-legge perimetro:
a) ogni riferimento al Ministero dello sviluppo economico e alla
Presidenza del Consiglio dei ministri, ovunque ricorra, e' da
intendersi riferito all'Agenzia per la cybersicurezza nazionale;
b) all'articolo 1, comma 8, lettera a), le parole da: «definite
dalla Presidenza del Consiglio dei ministri» a: «decreto legislativo
18 maggio 2018, n. 65» sono sostituite dalle seguenti: «definite
dall'Agenzia per la cybersicurezza nazionale»;
c) all'articolo 1, comma 8, lettera b), le parole: «all'autorita'
competente» sono sostituite dalle seguenti: «autorita' nazionale
competente NIS».
7. Nei provvedimenti di natura regolamentare e amministrativa la
cui adozione e' prevista dall'articolo 1 del decreto-legge perimetro,
ogni riferimento al CISR e al DIS deve intendersi rispettivamente
riferito al CIC e all'Agenzia per la cybersicurezza nazionale.
8. Nei provvedimenti di natura regolamentare e amministrativa la
cui adozione e' prevista dall'articolo 1 del decreto-legge perimetro,
ogni riferimento al Ministero dello sviluppo economico e alla
struttura della Presidenza del Consiglio dei ministri competente per
la innovazione tecnologica e la digitalizzazione, ovunque ricorra,
deve intendersi riferito all'Agenzia per la cybersicurezza nazionale,
fatta eccezione per le disposizioni di cui agli articoli 3 del
decreto del Presidente del Consiglio dei ministri n. 131 del 2020.
9. Al decreto-legge perimetro sono apportate le seguenti
modificazioni:
a) all'articolo 1, comma 6, lettera a), dopo il primo periodo e'
inserito il seguente: «L'obbligo di comunicazione di cui alla
presente lettera e' efficace a decorrere dal trentesimo giorno
successivo alla pubblicazione nella Gazzetta Ufficiale della
Repubblica italiana del decreto del Presidente del Consiglio dei
ministri che, sentita l'Agenzia per la cybersicurezza nazionale,
attesta l'operativita' del CVCN e comunque dal 30 giugno 2022.»;
b) all'articolo 3, il comma 2 e' abrogato;
c) a decorrere dalla data in cui diviene efficace l'obbligo di
comunicazione disciplinato dalla lettera a), all'articolo 3:
1) il comma 1 e' sostituito dal seguente: «1. I soggetti che
intendono procedere all'acquisizione, a qualsiasi titolo, di beni,
servizi e componenti di cui all'articolo 1-bis, comma 2, del
decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni,
dalla legge 11 maggio 2012, n. 56, sono obbligati ad effettuare la
comunicazione di cui all'articolo 1, comma 6, lettera a), per lo
svolgimento delle verifiche di sicurezza da parte del CVCN sulla base
delle procedure, modalita' e termini previsti dal regolamento di
attuazione. Ai fornitori di predetti beni, servizi e componenti si
applica l'articolo 1, comma 6, lettera b).»;
2) il comma 3 e' abrogato;
10. A decorrere dalla data in cui diviene efficace l'obbligo di
comunicazione disciplinato dal comma 9, lettera a), al decreto-legge
15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11
maggio 2012, n. 56, il comma 3-bis dell'articolo 1-bis e' sostituito
dal seguente: «3-bis. Entro dieci giorni dalla conclusione di un
contratto o accordo di cui al comma 2, l'impresa che ha acquisito, a
qualsiasi titolo, i beni o i servizi di cui allo stesso comma
notifica alla Presidenza del Consiglio dei ministri un'informativa
completa, contenente anche la comunicazione del Centro di valutazione
e certificazione nazionale (CVCN), relativa all'esito della
valutazione e alle eventuali prescrizioni, in modo da consentire
l'eventuale esercizio del potere di veto o l'imposizione di
specifiche prescrizioni o condizioni. Qualora il contratto sia stato
stipulato antecedentemente alla conclusione dei test imposti dal
CVCN, il termine di cui al primo periodo decorre dalla comunicazione
di esito positivo della valutazione effettuata dal CVCN. Entro trenta
giorni dalla notifica, il Presidente del Consiglio dei ministri
comunica l'eventuale veto ovvero l'imposizione di specifiche
prescrizioni o condizioni. I poteri speciali sono esercitati nella
forma dell'imposizione di specifiche prescrizioni o condizioni
ogniqualvolta cio' sia sufficiente ad assicurare la tutela degli
interessi essenziali della difesa e della sicurezza nazionale.
Decorsi i predetti termini, i poteri speciali si intendono non
esercitati. Qualora si renda necessario richiedere informazioni
all'acquirente, tale termine e' sospeso, per una sola volta, fino al
ricevimento delle informazioni richieste, che sono rese entro il
termine di dieci giorni. Qualora si renda necessario formulare
richieste istruttorie a soggetti terzi, il predetto termine di trenta
giorni e' sospeso, per una sola volta, fino al ricevimento delle
informazioni richieste, che sono rese entro il termine di venti
giorni. Le richieste di informazioni e le richieste istruttorie a
soggetti terzi successive alla prima non sospendono i termini. In
caso di incompletezza della notifica, il termine di trenta giorni
previsto dal presente comma decorre dal ricevimento delle
informazioni o degli elementi che la integrano. Fermo restando quanto
previsto in materia di sanzioni al presente comma, nel caso in cui
l'impresa notificante abbia iniziato l'esecuzione del contratto o
dell'accordo oggetto della notifica prima che sia decorso il termine
per l'esercizio dei poteri speciali, ovvero abbia eseguito il
contratto o accordo in violazione del decreto di esercizio dei poteri
speciali, il Governo puo' ingiungere all'impresa di ripristinare a
proprie spese la situazione anteriore. Salvo che il fatto costituisca
reato, chiunque non osservi gli obblighi di notifica di cui al
presente articolo ovvero le disposizioni contenute nel provvedimento
di esercizio dei poteri speciali e' soggetto alla sanzione
amministrativa pecuniaria fino al 150 per cento del valore
dell'operazione e comunque non inferiore al 25 per cento del medesimo
valore. Nei casi di violazione degli obblighi di notifica di cui al
presente articolo, anche in assenza della notifica, la Presidenza del
Consiglio dei ministri puo' avviare il procedimento ai fini
dell'eventuale esercizio dei poteri speciali. A tale scopo, trovano
applicazione i termini e le norme procedurali previsti dal presente
comma. Il termine di trenta giorni di cui al presente comma decorre
dalla conclusione del procedimento di accertamento della violazione
dell'obbligo di notifica».
11. All'articolo 135 del decreto legislativo 2 luglio 2010, n. 104,
dopo la lettera h), e' aggiunta la seguente: «h-bis) le controversie
aventi ad oggetto i provvedimenti dell'Agenzia per la cybersicurezza
nazionale;».
12. Alla legge 22 aprile 2021, n. 53, sono apportate le seguenti
modificazioni:
a) all'articolo 4, comma 1, lettera b), dopo le parole:
«Ministero dello sviluppo economico» sono aggiunte le seguenti: «e
l'Agenzia per la cybersicurezza nazionale»;
b) all'articolo 18, ogni riferimento al Ministero dello sviluppo
economico, ovunque ricorra, deve intendersi riferito all'Agenzia per
la cybersicurezza nazionale.
13. All'articolo 33-septies, comma 4, del decreto-legge 18 ottobre
2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre
2012, n. 221, le parole: «L'AgID» sono sostituite dalle seguenti:
«L'Agenzia per la cybersicurezza nazionale».
14. Al decreto legislativo 1° agosto 2003, n. 259, sono apportate
le seguenti modificazioni:
a) agli articoli 16-bis e 16-ter, ogni riferimento al Ministero
dello sviluppo economico, ovunque ricorra, deve intendersi riferito
all'Agenzia per la cybersicurezza nazionale;
b) all'articolo 16-ter, comma 1, le parole: «Ministro dello
sviluppo economico» sono sostituite dalle seguenti: «Presidente del
Consiglio dei ministri»;
c) all'articolo 16-ter, comma 2, lettera b), le parole: «, in
collaborazione con gli Ispettorati territoriali del Ministero dello
sviluppo economico,» sono soppresse.