Art. 8 Rafforzamento della resilienza delle pubbliche amministrazioni e referente per la cybersicurezza 1. I soggetti di cui all'articolo 1, comma 1, individuano, ove non sia gia' presente, una struttura, anche tra quelle esistenti, nell'ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente, che provvede: a) allo sviluppo delle politiche e delle procedure di sicurezza delle informazioni; b) alla produzione e all'aggiornamento di sistemi di analisi preventiva di rilevamento e di un piano per la gestione del rischio informatico; c) alla produzione e all'aggiornamento di un documento che definisca i ruoli e l'organizzazione del sistema per la sicurezza delle informazioni dell'amministrazione; d) alla produzione e all'aggiornamento di un piano programmatico per la sicurezza di dati, sistemi e infrastrutture dell'amministrazione; e) alla pianificazione e all'attuazione di interventi di potenziamento delle capacita' per la gestione dei rischi informatici, in coerenza con i piani di cui alle lettere b) e d); f) alla pianificazione e all'attuazione dell'adozione delle misure previste dalle linee guida per la cybersicurezza emanate dall'Agenzia per la cybersicurezza nazionale; g) al monitoraggio e alla valutazione continua delle minacce alla sicurezza e delle vulnerabilita' dei sistemi per il loro pronto aggiornamento di sicurezza. 2. Presso le strutture di cui al comma 1 opera il referente per la cybersicurezza, individuato in ragione di specifiche e comprovate professionalita' e competenze in materia di cybersicurezza. Qualora i soggetti di cui all'articolo 1, comma 1, non dispongano di personale dipendente fornito di tali requisiti, possono conferire l'incarico di referente per la cybersicurezza a un dipendente di una pubblica amministrazione, previa autorizzazione di quest'ultima ai sensi dell'articolo 53 del decreto legislativo 30 marzo 2001, n. 165, nell'ambito delle risorse disponibili a legislazione vigente. Il referente per la cybersicurezza svolge anche la funzione di punto di contatto unico dell'amministrazione con l'Agenzia per la cybersicurezza nazionale in relazione a quanto previsto dalla presente legge e dalle normative settoriali in materia di cybersicurezza cui e' soggetta la medesima amministrazione. A tale fine, il nominativo del referente per la cybersicurezza e' comunicato all'Agenzia per la cybersicurezza nazionale. 3. La struttura e il referente di cui ai commi 1 e 2 possono essere individuati, rispettivamente, nell'ufficio e nel responsabile per la transizione al digitale previsti dall'articolo 17 del codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82. 4. I compiti di cui ai commi 1 e 2 possono essere esercitati in forma associata secondo quanto previsto dall'articolo 17, commi 1-sexies e 1-septies, del codice di cui al decreto legislativo 7 marzo 2005, n. 82. 5. L'Agenzia per la cybersicurezza nazionale puo' individuare modalita' e processi di coordinamento e di collaborazione tra le amministrazioni di cui all'articolo 1, comma 1, e tra i referenti per la cybersicurezza di cui al comma 2 del presente articolo, al fine di facilitare la resilienza delle amministrazioni pubbliche. 6. Le disposizioni del presente articolo non si applicano: a) ai soggetti di cui all'articolo 1, comma 2-bis, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, ai quali continuano ad applicarsi gli obblighi previsti dalle disposizioni di cui alla richiamata disciplina; b) agli organi dello Stato preposti alla prevenzione, all'accertamento e alla repressione dei reati, alla tutela dell'ordine e della sicurezza pubblica e alla difesa e sicurezza militare dello Stato e agli organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124.
Note all'art. 8: - Si riporta l'articolo 53 del decreto legislativo 30 marzo 2001, n. 165 (Norme generali sull'ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche): «Art. 53 (Incompatibilita', cumulo di impieghi e incarichi). - 1. Resta ferma per tutti i dipendenti pubblici la disciplina delle incompatibilita' dettata dagli articoli 60 e seguenti del testo unico approvato con decreto del Presidente della Repubblica 10 gennaio 1957, n. 3, salva la deroga prevista dall'articolo 23-bis del presente decreto, nonche', per i rapporti di lavoro a tempo parziale, dall'articolo 6, comma 2, del decreto del Presidente del Consiglio dei ministri 17 marzo 1989, n. 117 e dall'articolo 1, commi 57 e seguenti della legge 23 dicembre 1996, n. 662. Restano ferme altresi' le disposizioni di cui agli articoli 267, comma 1, 273, 274, 508 nonche' 676 del decreto legislativo 16 aprile 1994, n. 297, all'articolo 9, commi 1 e 2, della legge 23 dicembre 1992, n. 498, all'articolo 4, comma 7, della legge 30 dicembre 1991, n. 412, ed ogni altra successiva modificazione ed integrazione della relativa disciplina. 1-bis. Non possono essere conferiti incarichi di direzione di strutture deputate alla gestione del personale a soggetti che rivestano o abbiano rivestito negli ultimi due anni cariche in partiti politici o in organizzazioni sindacali o che abbiano avuto negli ultimi due anni rapporti continuativi di collaborazione o di consulenza con le predette organizzazioni. 2. Le pubbliche amministrazioni non possono conferire ai dipendenti incarichi, non compresi nei compiti e doveri di ufficio, che non siano espressamente previsti o disciplinati da legge o altre fonti normative, o che non siano espressamente autorizzati. 3. Ai fini previsti dal comma 2, con appositi regolamenti, da emanarsi ai sensi dell'articolo 17, comma 2, della legge 23 agosto 1988, n. 400, sono individuati gli incarichi consentiti e quelli vietati ai magistrati ordinari, amministrativi, contabili e militari, nonche' agli avvocati e procuratori dello Stato, sentiti, per le diverse magistrature, i rispettivi istituti. 3-bis. Ai fini previsti dal comma 2, con appositi regolamenti emanati su proposta del Ministro per la pubblica amministrazione e la semplificazione, di concerto con i Ministri interessati, ai sensi dell'articolo 17, comma 2, della legge 23 agosto 1988, n. 400, e successive modificazioni, sono individuati, secondo criteri differenziati in rapporto alle diverse qualifiche e ruoli professionali, gli incarichi vietati ai dipendenti delle amministrazioni pubbliche di cui all'articolo 1, comma 2. 4. Nel caso in cui i regolamenti di cui al comma 3 non siano emanati, l'attribuzione degli incarichi e' consentita nei soli casi espressamente previsti dalla legge o da altre fonti normative. 5. In ogni caso, il conferimento operato direttamente dall'amministrazione, nonche' l'autorizzazione all'esercizio di incarichi che provengano da amministrazione pubblica diversa da quella di appartenenza, ovvero da societa' o persone fisiche, che svolgano attivita' d'impresa o commerciale, sono disposti dai rispettivi organi competenti secondo criteri oggettivi e predeterminati, che tengano conto della specifica professionalita', tali da escludere casi di incompatibilita', sia di diritto che di fatto, nell'interesse del buon andamento della pubblica amministrazione o situazioni di conflitto, anche potenziale, di interessi, che pregiudichino l'esercizio imparziale delle funzioni attribuite al dipendente. 6. I commi da 7 a 13 del presente articolo si applicano ai dipendenti delle amministrazioni pubbliche di cui all'articolo 1, comma 2, compresi quelli di cui all'articolo 3, con esclusione dei dipendenti con rapporto di lavoro a tempo parziale con prestazione lavorativa non superiore al cinquanta per cento di quella a tempo pieno, dei docenti universitari a tempo definito e delle altre categorie di dipendenti pubblici ai quali e' consentito da disposizioni speciali lo svolgimento di attivita' libero-professionali. Sono nulli tutti gli atti e provvedimenti comunque denominati, regolamentari e amministrativi, adottati dalle amministrazioni di appartenenza in contrasto con il presente comma. Gli incarichi retribuiti, di cui ai commi seguenti, sono tutti gli incarichi, anche occasionali, non compresi nei compiti e doveri di ufficio, per i quali e' previsto, sotto qualsiasi forma, un compenso. Sono esclusi i compensi e le prestazioni derivanti: a) dalla collaborazione a giornali, riviste, enciclopedie e simili; b) dalla utilizzazione economica da parte dell'autore o inventore di opere dell'ingegno e di invenzioni industriali; c) dalla partecipazione a convegni e seminari; d) da incarichi per i quali e' corrisposto solo il rimborso delle spese documentate; e) da incarichi per lo svolgimento dei quali il dipendente e' posto in posizione di aspettativa, di comando o di fuori ruolo; f) da incarichi conferiti dalle organizzazioni sindacali a dipendenti presso le stesse distaccati o in aspettativa non retribuita; f-bis) da attivita' di formazione diretta ai dipendenti della pubblica amministrazione nonche' di docenza e di ricerca scientifica. 7. I dipendenti pubblici non possono svolgere incarichi retribuiti che non siano stati conferiti o previamente autorizzati dall'amministrazione di appartenenza. Ai fini dell'autorizzazione, l'amministrazione verifica l'insussistenza di situazioni, anche potenziali, di conflitto di interessi. Con riferimento ai professori universitari a tempo pieno, gli statuti o i regolamenti degli atenei disciplinano i criteri e le procedure per il rilascio dell'autorizzazione nei casi previsti dal presente decreto. In caso di inosservanza del divieto, salve le piu' gravi sanzioni e ferma restando la responsabilita' disciplinare, il compenso dovuto per le prestazioni eventualmente svolte deve essere versato, a cura dell'erogante o, in difetto, del percettore, nel conto dell'entrata del bilancio dell'amministrazione di appartenenza del dipendente per essere destinato ad incremento del fondo di produttivita' o di fondi equivalenti. 7-bis. L'omissione del versamento del compenso da parte del dipendente pubblico indebito percettore costituisce ipotesi di responsabilita' erariale soggetta alla giurisdizione della Corte dei conti. 8. Le pubbliche amministrazioni non possono conferire incarichi retribuiti a dipendenti di altre amministrazioni pubbliche senza la previa autorizzazione dell'amministrazione di appartenenza dei dipendenti stessi. Salve le piu' gravi sanzioni, il conferimento dei predetti incarichi, senza la previa autorizzazione, costituisce in ogni caso infrazione disciplinare per il funzionario responsabile del procedimento; il relativo provvedimento e' nullo di diritto. In tal caso l'importo previsto come corrispettivo dell'incarico, ove gravi su fondi in disponibilita' dell'amministrazione conferente, e' trasferito all'amministrazione di appartenenza del dipendente ad incremento del fondo di produttivita' o di fondi equivalenti. 9. Gli enti pubblici economici e i soggetti privati non possono conferire incarichi retribuiti a dipendenti pubblici senza la previa autorizzazione dell'amministrazione di appartenenza dei dipendenti stessi. Ai fini dell'autorizzazione, l'amministrazione verifica l'insussistenza di situazioni, anche potenziali, di conflitto di interessi. In caso di inosservanza si applica la disposizione dell'articolo 6, comma 1, del decreto legge 28 marzo 1997, n. 79, convertito, con modificazioni, dalla legge 28 maggio 1997, n. 140, e successive modificazioni ed integrazioni. All'accertamento delle violazioni e all'irrogazione delle sanzioni provvede il Ministero delle finanze, avvalendosi della Guardia di finanza, secondo le disposizioni della legge 24 novembre 1981, n. 689, e successive modificazioni ed integrazioni. Le somme riscosse sono acquisite alle entrate del Ministero delle finanze. 10. L'autorizzazione, di cui ai commi precedenti, deve essere richiesta all'amministrazione di appartenenza del dipendente dai soggetti pubblici o privati, che intendono conferire l'incarico; puo', altresi', essere richiesta dal dipendente interessato. L'amministrazione di appartenenza deve pronunciarsi sulla richiesta di autorizzazione entro trenta giorni dalla ricezione della richiesta stessa. Per il personale che presta comunque servizio presso amministrazioni pubbliche diverse da quelle di appartenenza, l'autorizzazione e' subordinata all'intesa tra le due amministrazioni. In tal caso il termine per provvedere e' per l'amministrazione di appartenenza di 45 giorni e si prescinde dall'intesa se l'amministrazione presso la quale il dipendente presta servizio non si pronunzia entro 10 giorni dalla ricezione della richiesta di intesa da parte dell'amministrazione di appartenenza. Decorso il termine per provvedere, l'autorizzazione, se richiesta per incarichi da conferirsi da amministrazioni pubbliche, si intende accordata; in ogni altro caso, si intende definitivamente negata. 11. Entro quindici giorni dall'erogazione del compenso per gli incarichi di cui al comma 6, i soggetti pubblici o privati comunicano all'amministrazione di appartenenza l'ammontare dei compensi erogati ai dipendenti pubblici. 12. Le amministrazioni pubbliche che conferiscono o autorizzano incarichi, anche a titolo gratuito, ai propri dipendenti comunicano in via telematica, nel termine di quindici giorni, al Dipartimento della funzione pubblica gli incarichi conferiti o autorizzati ai dipendenti stessi, con l'indicazione dell'oggetto dell'incarico e del compenso lordo, ove previsto. 13. Le amministrazioni di appartenenza sono tenute a comunicare tempestivamente al Dipartimento della funzione pubblica, in via telematica, per ciascuno dei propri dipendenti e distintamente per ogni incarico conferito o autorizzato, i compensi da esse erogati o della cui erogazione abbiano avuto comunicazione dai soggetti di cui al comma 11. 14. Al fine della verifica dell'applicazione delle norme di cui all'articolo 1, commi 123 e 127, della legge 23 dicembre 1996, n. 662, e successive modificazioni e integrazioni, le amministrazioni pubbliche sono tenute a comunicare al Dipartimento della funzione pubblica, in via telematica , tempestivamente e comunque nei termini previsti dal decreto legislativo 14 marzo 2013, n. 33, i dati di cui agli articoli 15 e 18 del medesimo decreto legislativo n. 33 del 2013, relativi a tutti gli incarichi conferiti o autorizzati a qualsiasi titolo. Le amministrazioni rendono noti, mediante inserimento nelle proprie banche dati accessibili al pubblico per via telematica, gli elenchi dei propri consulenti indicando l'oggetto, la durata e il compenso dell'incarico nonche' l'attestazione dell'avvenuta verifica dell'insussistenza di situazioni, anche potenziali, di conflitto di interessi. Le informazioni relative a consulenze e incarichi comunicate dalle amministrazioni al Dipartimento della funzione pubblica, nonche' le informazioni pubblicate dalle stesse nelle proprie banche dati accessibili al pubblico per via telematica ai sensi del presente articolo, sono trasmesse e pubblicate in tabelle riassuntive rese liberamente scaricabili in un formato digitale standard aperto che consenta di analizzare e rielaborare, anche a fini statistici, i dati informatici. Entro il 31 dicembre di ciascun anno il Dipartimento della funzione pubblica trasmette alla Corte dei conti l'elenco delle amministrazioni che hanno omesso di trasmettere e pubblicare, in tutto o in parte, le informazioni di cui al terzo periodo del presente comma in formato digitale standard aperto. Entro il 31 dicembre di ciascun anno il Dipartimento della funzione pubblica trasmette alla Corte dei conti l'elenco delle amministrazioni che hanno omesso di effettuare la comunicazione, avente ad oggetto l'elenco dei collaboratori esterni e dei soggetti cui sono stati affidati incarichi di consulenza. 15. Le amministrazioni che omettono gli adempimenti di cui ai commi da 11 a 14 non possono conferire nuovi incarichi fino a quando non adempiono. I soggetti di cui al comma 9 che omettono le comunicazioni di cui al comma 11 incorrono nella sanzione di cui allo stesso comma 9. 16. Il Dipartimento della funzione pubblica, entro il 31 dicembre di ciascun anno, riferisce al Parlamento sui dati raccolti, adotta le relative misure di pubblicita' e trasparenza e formula proposte per il contenimento della spesa per gli incarichi e per la razionalizzazione dei criteri di attribuzione degli incarichi stessi. 16-bis. La Presidenza del Consiglio dei Ministri - Dipartimento della funzione pubblica puo' disporre verifiche del rispetto delle disposizioni del presente articolo e dell'articolo 1, commi 56 e seguenti, della legge 23 dicembre 1996, n. 662, per il tramite dell'Ispettorato per la funzione pubblica. A tale fine quest'ultimo opera d'intesa con i Servizi ispettivi di finanza pubblica del Dipartimento della Ragioneria generale dello Stato. 16-ter. I dipendenti che, negli ultimi tre anni di servizio, hanno esercitato poteri autoritativi o negoziali per conto delle pubbliche amministrazioni di cui all'articolo 1, comma 2, non possono svolgere, nei tre anni successivi alla cessazione del rapporto di pubblico impiego, attivita' lavorativa o professionale presso i soggetti privati destinatari dell'attivita' della pubblica amministrazione svolta attraverso i medesimi poteri. I contratti conclusi e gli incarichi conferiti in violazione di quanto previsto dal presente comma sono nulli ed e' fatto divieto ai soggetti privati che li hanno conclusi o conferiti di contrattare con le pubbliche amministrazioni per i successivi tre anni con obbligo di restituzione dei compensi eventualmente percepiti e accertati ad essi riferiti.». - Si riporta l'articolo 17 del decreto legislativo 7 marzo 2005, n. 82 (Codice dell'amministrazione digitale): «Art. 17 (Responsabile per la transizione digitale e difensore civico digitale). - 1. Le pubbliche amministrazioni garantiscono l'attuazione delle linee strategiche per la riorganizzazione e la digitalizzazione dell'amministrazione definite dal Governo in coerenza con le Linee guida. A tal fine, ciascuna pubblica amministrazione affida a un unico ufficio dirigenziale generale, fermo restando il numero complessivo di tali uffici, la transizione alla modalita' operativa digitale e i conseguenti processi di riorganizzazione finalizzati alla realizzazione di un'amministrazione digitale e aperta, di servizi facilmente utilizzabili e di qualita', attraverso una maggiore efficienza ed economicita'. Al suddetto ufficio sono inoltre attribuiti i compiti relativi a: a) coordinamento strategico dello sviluppo dei sistemi informativi, di telecomunicazione e fonia, in modo da assicurare anche la coerenza con gli standard tecnici e organizzativi comuni; b) indirizzo e coordinamento dello sviluppo dei servizi, sia interni che esterni, forniti dai sistemi informativi di telecomunicazione e fonia dell'amministrazione; c) indirizzo, pianificazione, coordinamento e monitoraggio della sicurezza informatica relativamente ai dati, ai sistemi e alle infrastrutture anche in relazione al sistema pubblico di connettivita', nel rispetto delle regole tecniche di cui all'articolo 51, comma 1; d) accesso dei soggetti disabili agli strumenti informatici e promozione dell'accessibilita' anche in attuazione di quanto previsto dalla legge 9 gennaio 2004, n. 4; e) analisi periodica della coerenza tra l'organizzazione dell'amministrazione e l'utilizzo delle tecnologie dell'informazione e della comunicazione, al fine di migliorare la soddisfazione dell'utenza e la qualita' dei servizi nonche' di ridurre i tempi e i costi dell'azione amministrativa; f) cooperazione alla revisione della riorganizzazione dell'amministrazione ai fini di cui alla lettera e); g) indirizzo, coordinamento e monitoraggio della pianificazione prevista per lo sviluppo e la gestione dei sistemi informativi di telecomunicazione e fonia; h) progettazione e coordinamento delle iniziative rilevanti ai fini di una piu' efficace erogazione di servizi in rete a cittadini e imprese mediante gli strumenti della cooperazione applicativa tra pubbliche amministrazioni, ivi inclusa la predisposizione e l'attuazione di accordi di servizio tra amministrazioni per la realizzazione e compartecipazione dei sistemi informativi cooperativi; i) promozione delle iniziative attinenti l'attuazione delle direttive impartite dal Presidente del Consiglio dei Ministri o dal Ministro delegato per l'innovazione e le tecnologie; j) pianificazione e coordinamento del processo di diffusione, all'interno dell'amministrazione, dei sistemi di identita' e domicilio digitale, posta elettronica, protocollo informatico, firma digitale o firma elettronica qualificata e mandato informatico, e delle norme in materia di accessibilita' e fruibilita' nonche' del processo di integrazione e interoperabilita' tra i sistemi e servizi dell'amministrazione e quello di cui all'articolo 64-bis; j-bis) pianificazione e coordinamento degli acquisti di soluzioni e sistemi informatici, telematici e di telecomunicazione al fine di garantirne la compatibilita' con gli obiettivi di attuazione dell'agenda digitale e, in particolare, con quelli stabiliti nel piano triennale di cui all'articolo 16, comma 1, lettera b). 1-bis. Per lo svolgimento dei compiti di cui al comma 1, le Agenzie, le Forze armate, compresa l'Arma dei carabinieri e il Corpo delle capitanerie di porto, nonche' i Corpi di polizia hanno facolta' di individuare propri uffici senza incrementare il numero complessivo di quelli gia' previsti nei rispettivi assetti organizzativi. 1-ter. Il responsabile dell'ufficio di cui al comma 1 e' dotato di adeguate competenze tecnologiche, di informatica giuridica e manageriali e risponde, con riferimento ai compiti relativi alla transizione, alla modalita' digitale direttamente all'organo di vertice politico. 1-quater. E' istituito presso l'AgID l'ufficio del difensore civico per il digitale, a cui e' preposto un soggetto in possesso di adeguati requisiti di terzieta', autonomia e imparzialita'. Chiunque puo' presentare al difensore civico per il digitale, attraverso apposita area presente sul sito istituzionale dell'AgID, segnalazioni relative a presunte violazioni del presente Codice e di ogni altra norma in materia di digitalizzazione ed innovazione della pubblica amministrazione da parte dei soggetti di cui all'articolo 2, comma 2. Il difensore civico, accertata la non manifesta infondatezza della segnalazione, la trasmette al Direttore generale dell'AgID per l'esercizio dei poteri di cui all'articolo 18-bis. 1-quinquies. AgID pubblica sul proprio sito una guida di riepilogo dei diritti di cittadinanza digitali previsti dal presente Codice. 1-sexies. Nel rispetto della propria autonomia organizzativa, le pubbliche amministrazioni diverse dalle amministrazioni dello Stato individuano l'ufficio per il digitale di cui al comma 1 tra quelli di livello dirigenziale oppure, ove ne siano privi, individuano un responsabile per il digitale tra le proprie posizioni apicali. In assenza del vertice politico, il responsabile dell'ufficio per il digitale di cui al comma 1 risponde direttamente a quello amministrativo dell'ente. 1-septies. I soggetti di cui al comma 1-sexies possono esercitare le funzioni di cui al medesimo comma anche in forma associata. E' fatta salva la facolta' di avvalersi, mediante apposite convenzioni e senza nuovi o maggiori oneri a carico della finanza pubblica, del supporto di societa' in house.». - Per l'articolo 1, comma 2-bis, del citato decreto-legge 21 settembre 2019, n.105, si veda nelle note all'articolo 1. - Per gli articoli 4, 6 e 7 della citata legge 3 agosto 2007, n.124, si veda nelle note all'articolo 1.