Art. 7
Funzioni dell'Agenzia per la cybersicurezza nazionale
1. L'Agenzia:
a) e' Autorita' nazionale per la cybersicurezza e, in relazione a
tale ruolo, assicura, nel rispetto delle competenze attribuite dalla
normativa vigente ad altre amministrazioni, ferme restando le
attribuzioni del Ministro dell'interno in qualita' di autorita'
nazionale di pubblica sicurezza, ai sensi della legge 1° aprile 1981,
n. 121, il coordinamento tra i soggetti pubblici coinvolti in materia
di cybersicurezza a livello nazionale e promuove la realizzazione di
azioni comuni dirette ad assicurare la sicurezza e la resilienza
cibernetiche per lo sviluppo della digitalizzazione del Paese, del
sistema produttivo e delle pubbliche amministrazioni, nonche' per il
conseguimento dell'autonomia, nazionale ed europea, riguardo a
prodotti e processi informatici di rilevanza strategica a tutela
degli interessi nazionali nel settore. Per le reti, i sistemi
informativi e i servizi informatici attinenti alla gestione delle
informazioni classificate restano fermi sia quanto previsto dal
regolamento adottato ai sensi dell'articolo 4, comma 3, lettera l),
della legge n. 124 del 2007, sia le competenze dell'Ufficio centrale
per la segretezza di cui all'articolo 9 della medesima legge n. 124
del 2007;
b) predispone la strategia nazionale di cybersicurezza;
c) svolge ogni necessaria attivita' di supporto al funzionamento
del Nucleo per la cybersicurezza, di cui all'articolo 8;
d) e' Autorita' nazionale competente e punto di contatto unico in
materia di sicurezza delle reti e dei sistemi informativi, per le
finalita' di cui al decreto legislativo NIS, a tutela dell'unita'
giuridica dell'ordinamento, ed e' competente all'accertamento delle
violazioni e all'irrogazione delle sanzioni amministrative previste
dal medesimo decreto;
e) e' Autorita' nazionale di certificazione della cybersicurezza
ai sensi dell'articolo 58 del regolamento (UE) 2019/881 del
Parlamento europeo e del Consiglio, del 17 aprile 2019, e assume
tutte le funzioni in materia di certificazione di sicurezza
cibernetica gia' attribuite al Ministero dello sviluppo economico
dall'ordinamento vigente, comprese quelle relative all'accertamento
delle violazioni e all'irrogazione delle sanzioni; nello svolgimento
dei compiti di cui alla presente lettera:
1) accredita, ai sensi dell'articolo 60, comma 1, del
regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, le
strutture specializzate del Ministero della difesa e del Ministero
dell'interno quali organismi di valutazione della conformita' per i
sistemi di rispettiva competenza;
2) delega, ai sensi dell'articolo 56, comma 6, lettera b), del
regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, il
Ministero della difesa e il Ministero dell'interno, attraverso le
rispettive strutture accreditate di cui al punto 1), al rilascio del
certificato europeo di sicurezza cibernetica;
f) assume tutte le funzioni in materia di cybersicurezza gia'
attribuite dalle disposizioni vigenti al Ministero dello sviluppo
economico, ivi comprese quelle relative:
1) al perimetro di sicurezza nazionale cibernetica, di cui al
decreto-legge perimetro e ai relativi provvedimenti attuativi, ivi
incluse le funzioni attribuite al Centro di valutazione e
certificazione nazionale ai sensi del decreto-legge perimetro, le
attivita' di ispezione e verifica di cui all'articolo 1, comma 6,
lettera c), del decreto-legge perimetro e quelle relative
all'accertamento delle violazioni e all'irrogazione delle sanzioni
amministrative previste dal medesimo decreto, fatte salve quelle di
cui all'articolo 3 del regolamento adottato con decreto del
Presidente del Consiglio dei ministri 30 luglio 2020, n. 131;
2) alla sicurezza e all'integrita' delle comunicazioni
elettroniche, di cui agli articoli 16-bis e 16-ter del decreto
legislativo 1° agosto 2003, n. 259, e relative disposizioni
attuative;
3) alla sicurezza delle reti e dei sistemi informativi, di cui
al decreto legislativo NIS;
g) partecipa, per gli ambiti di competenza, al gruppo di
coordinamento istituito ai sensi dei regolamenti di cui all'articolo
1, comma 8, del decreto-legge 15 marzo 2012, n. 21, convertito, con
modificazioni, dalla legge 11 maggio 2012, n. 56;
h) assume tutte le funzioni attribuite alla Presidenza del
Consiglio dei ministri in materia di perimetro di sicurezza nazionale
cibernetica, di cui al decreto-legge perimetro e ai relativi
provvedimenti attuativi, ivi incluse le attivita' di ispezione e
verifica di cui all'articolo 1, comma 6, lettera c), del
decreto-legge perimetro e quelle relative all'accertamento delle
violazioni e all'irrogazione delle sanzioni amministrative previste
dal medesimo decreto, fatte salve quelle di cui all'articolo 3 del
regolamento adottato con decreto del Presidente del Consiglio dei
ministri n. 131 del 2020;
i) assume tutte le funzioni gia' attribuite al DIS dal
decreto-legge perimetro e dai relativi provvedimenti attuativi e
supporta il Presidente del Consiglio dei ministri ai fini
dell'articolo 1, comma 19-bis, del decreto-legge perimetro;
l) provvede, sulla base delle attivita' di competenza del Nucleo
per la cybersicurezza di cui all'articolo 8, alle attivita'
necessarie per l'attuazione e il controllo dell'esecuzione dei
provvedimenti assunti dal Presidente del Consiglio dei ministri ai
sensi dell'articolo 5 del decreto-legge perimetro;
m) assume tutte le funzioni in materia di cybersicurezza gia'
attribuite all'Agenzia per l'Italia digitale dalle disposizioni
vigenti e, in particolare, quelle di cui all'articolo 51 del decreto
legislativo 7 marzo 2005, n. 82, nonche' in materia di adozione di
linee guida contenenti regole tecniche di cybersicurezza ai sensi
dell'articolo 71 del medesimo decreto legislativo. L'Agenzia assume,
altresi', i compiti di cui all'articolo 33-septies, comma 4, del
decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni,
dalla legge 17 dicembre 2012, n. 221, gia' attribuiti all'Agenzia per
l'Italia digitale;
n) sviluppa capacita' nazionali di prevenzione, monitoraggio,
rilevamento, analisi e risposta, per prevenire e gestire gli
incidenti di sicurezza informatica e gli attacchi informatici, anche
attraverso il CSIRT Italia di cui all'articolo 8 del decreto
legislativo NIS;
o) partecipa alle esercitazioni nazionali e internazionali che
riguardano la simulazione di eventi di natura cibernetica al fine di
innalzare la resilienza del Paese;
p) cura e promuove la definizione ed il mantenimento di un quadro
giuridico nazionale aggiornato e coerente nel dominio della
cybersicurezza, tenendo anche conto degli orientamenti e degli
sviluppi in ambito internazionale. A tal fine, l'Agenzia esprime
pareri non vincolanti sulle iniziative legislative o regolamentari
concernenti la cybersicurezza;
q) coordina, in raccordo con il Ministero degli affari esteri e
della cooperazione internazionale, la cooperazione internazionale
nella materia della cybersicurezza. Nell'ambito dell'Unione europea e
a livello internazionale, l'Agenzia cura i rapporti con i competenti
organismi, istituzioni, ed enti, nonche' segue nelle competenti sedi
istituzionali le tematiche di cybersicurezza, fatta eccezione per gli
ambiti in cui la legge attribuisce specifiche competenze ad altre
amministrazioni. In tali casi, e' comunque assicurato il raccordo con
l'Agenzia al fine di garantire posizioni nazionali unitarie e
coerenti con le politiche di cybersicurezza definite dal Presidente
del Consiglio dei ministri;
r) perseguendo obiettivi di eccellenza, supporta negli ambiti di
competenza, mediante il coinvolgimento del sistema dell'universita' e
della ricerca nonche' del sistema produttivo nazionali, lo sviluppo
di competenze e capacita' industriali, tecnologiche e scientifiche. A
tali fini, l'Agenzia puo' promuovere, sviluppare e finanziare
specifici progetti ed iniziative, volti anche a favorire il
trasferimento tecnologico dei risultati della ricerca nel settore.
L'Agenzia assicura il necessario raccordo con le altre
amministrazioni a cui la legge attribuisce competenze in materia di
cybersicurezza;
s) stipula accordi bilaterali e multilaterali, anche mediante il
coinvolgimento del settore privato e industriale, con istituzioni,
enti e organismi di altri Paesi per la partecipazione dell'Italia a
programmi di cybersicurezza, assicurando il necessario raccordo con
le altre amministrazioni a cui la legge attribuisce competenze in
materia di cybersicurezza, ferme restando le competenze del Ministero
degli esteri e della cooperazione internazionale;
t) promuove, sostiene e coordina la partecipazione italiana a
progetti e iniziative dell'Unione europea e internazionali, anche
mediante il coinvolgimento di soggetti pubblici e privati nazionali,
nel campo della cybersicurezza e dei correlati servizi applicativi,
ferme restando le competenze del Ministero degli esteri e della
cooperazione internazionale. L'Agenzia assicura il necessario
raccordo con le altre amministrazioni a cui la legge attribuisce
competenze in materia di cybersicurezza;
u) svolge attivita' di comunicazione e promozione della
consapevolezza in materia di cybersicurezza, al fine di contribuire
allo sviluppo di una cultura nazionale in materia;
v) promuove la formazione, la crescita tecnico-professionale e la
qualificazione delle risorse umane nel campo della cybersicurezza,
anche attraverso l'assegnazione di borse di studio, di dottorato e
assegni di ricerca, sulla base di apposite convenzioni con soggetti
pubblici e privati;
z) per le finalita' di cui al presente articolo, puo' costituire
e partecipare a partenariati pubblico-privato sul territorio
nazionale, nonche', previa autorizzazione del Presidente del
Consiglio dei ministri, a consorzi, fondazioni o societa' con
soggetti pubblici e privati, italiani e stranieri;
aa) e' designata quale Centro nazionale di coordinamento ai sensi
dell'articolo 6 del regolamento (UE) 2021/887 del Parlamento europeo
e del Consiglio del 20 maggio 2021, che istituisce il Centro europeo
di competenza per la cybersicurezza nell'ambito industriale,
tecnologico e della ricerca e la rete dei centri nazionali di
coordinamento.
2. Nell'ambito dell'Agenzia sono nominati, con decreto del
Presidente del Consiglio dei ministri, il rappresentante nazionale, e
il suo sostituto, nel Consiglio di direzione del Centro europeo di
competenza per la cybersicurezza nell'ambito industriale, tecnologico
e della ricerca, ai sensi dell'articolo 12 del regolamento (UE)
2021/887.
3. Il CSIRT italiano di cui all'articolo 8 del decreto legislativo
NIS e' trasferito presso l'Agenzia e assume la denominazione di:
«CSIRT Italia».
4. Il Centro di valutazione e certificazione nazionale, istituito
presso il Ministero dello sviluppo economico, e' trasferito presso
l'Agenzia.
5. Nel rispetto delle competenze del Garante per la protezione dei
dati personali, l'Agenzia, per le finalita' di cui al presente
decreto, consulta il Garante e collabora con esso, anche in relazione
agli incidenti che comportano violazioni di dati personali. L'Agenzia
e il Garante possono stipulare appositi protocolli d'intenti che
definiscono altresi' le modalita' della loro collaborazione
nell'ambito delle risorse disponibili a legislazione vigente e senza
nuovi o maggiori oneri per la finanza pubblica.