IL PRESIDENTE DELLA REPUBBLICA
Visti gli articoli 76 e 87, quinto comma, della Costituzione;
Vista la legge 23 agosto 1988, n. 400, recante «Disciplina
dell'attivita' di Governo e ordinamento della Presidenza del
Consiglio dei Ministri» e, in particolare, l'articolo 14;
Vista la legge 24 dicembre 2012, n. 234, recante «Norme generali
sulla partecipazione dell'Italia alla formazione e all'attuazione
della normativa e delle politiche dell'Unione europea» e, in
particolare, gli articoli 31 e 32;
Vista la legge 21 febbraio 2024, n. 15, recante «Delega al Governo
per il recepimento delle direttive europee e l'attuazione di altri
atti normativi dell'Unione europea - Legge di delegazione europea
2022-2023» e, in particolare, l'articolo 3;
Vista la direttiva (UE) 2022/2555 del Parlamento europeo e del
Consiglio, del 14 dicembre 2022, relativa a misure per un livello
comune elevato di cibersicurezza nell'Unione, recante modifica del
regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che
abroga la direttiva (UE) 2016/1148;
Vista la comunicazione della Commissione, del 13 settembre 2023,
relativa all'applicazione dell'articolo 4, paragrafi 1 e 2, della
direttiva (UE) 2022/2555;
Vista la direttiva 2002/58/CE del Parlamento europeo e del
Consiglio, del 12 luglio 2002, relativa al trattamento dei dati
personali e alla tutela della vita privata nel settore delle
comunicazioni elettroniche (direttiva relativa alla vita privata e
alle comunicazioni elettroniche);
Visto il regolamento (UE) n. 910/2014 del Parlamento europeo e del
Consiglio, del 23 luglio 2014, in materia di identificazione
elettronica e servizi fiduciari per le transazioni elettroniche nel
mercato interno e che abroga la direttiva 1999/93/CE;
Visto il regolamento (UE) 2024/1183 del Parlamento europeo e del
Consiglio, dell'11 aprile 2024, che modifica il regolamento (UE) n.
910/2014 per quanto riguarda l'istituzione del quadro europeo
relativo a un'identita' digitale;
Visto il regolamento (UE) 2019/881 del Parlamento europeo e del
Consiglio, del 17 aprile 2019, relativo all'ENISA, l'Agenzia
dell'Unione europea per la cibersicurezza, e alla certificazione
della cibersicurezza per le tecnologie dell'informazione e della
comunicazione, e che abroga il regolamento (UE) n. 526/2013
(«regolamento sulla cibersicurezza»);
Vista la raccomandazione 2003/361/CE della Commissione, del 6
maggio 2003, relativa alla definizione delle microimprese, piccole e
medie imprese;
Vista la direttiva 2013/40/UE del Parlamento europeo e del
Consiglio, del 12 agosto 2013, relativa agli attacchi contro i
sistemi di informazione e che sostituisce la decisione quadro
2005/222/GAI del Consiglio;
Visto il regolamento (UE) 2022/2554 del Parlamento europeo e del
Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa
digitale per il settore finanziario e che modifica i regolamenti (CE)
n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e
(UE) 2016/1011;
Vista la direttiva (UE) 2022/2556 del Parlamento europeo e del
Consiglio, del 14 dicembre 2022, che modifica le direttive
2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE,
2014/65/UE, (UE) 2015/2366 e (UE) 2016/2341 per quanto riguarda la
resilienza operativa digitale per il settore finanziario;
Vista la direttiva (UE) 2022/2557 del Parlamento europeo e del
Consiglio, del 14 dicembre 2022, relativa alla resilienza dei
soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante
«Codice in materia di protezione dei dati personali, recante
disposizioni per l'adeguamento dell'ordinamento nazionale al
regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio,
del 27 aprile 2016, relativo alla protezione delle persone fisiche
con riguardo al trattamento dei dati personali, nonche' alla libera
circolazione di tali dati e che abroga la direttiva 95/46/CE»;
Visto il decreto legislativo 1° agosto 2003, n. 259, recante
«Codice delle comunicazioni elettroniche»;
Visto il decreto legislativo 7 marzo 2005, n. 82, recante «Codice
dell'amministrazione digitale» e, in particolare, le disposizioni in
materia di funzioni dell'AgID e di sicurezza informatica;
Visto il decreto-legge 27 luglio 2005, n. 144, convertito, con
modificazioni, dalla legge 31 luglio 2005, n. 155, recante «Misure
urgenti per il contrasto del terrorismo internazionale»;
Vista la legge 3 agosto 2007, n. 124, recante «Sistema di
informazione per la sicurezza della Repubblica e nuova disciplina del
segreto»;
Visto il decreto legislativo 23 giugno 2011, n. 118, recante
«Disposizioni in materia di armonizzazione dei sistemi contabili e
degli schemi di bilancio delle Regioni, degli enti locali e dei loro
organismi, a norma degli articoli 1 e 2 della legge 5 maggio 2009, n.
42»;
Visto il decreto-legge 22 giugno 2012, n. 83, convertito, con
modificazioni, dalla legge 7 agosto 2012, n. 134, recante «Misure
urgenti per la crescita del Paese» e, in particolare, l'articolo 19,
che ha istituito l'Agenzia per l'Italia digitale (AgID);
Visto il decreto legislativo 4 marzo 2014, n. 39, recante
«Attuazione della direttiva 2011/93/UE relativa alla lotta contro
l'abuso e lo sfruttamento sessuale dei minori e la pornografia
minorile, che sostituisce la decisione quadro 2004/68/GAI»;
Visto il decreto-legge 30 ottobre 2015, n. 174, convertito, con
modificazioni, dalla legge 11 dicembre 2015, n. 198, recante «Proroga
delle missioni internazionali delle Forze armate e di polizia,
iniziative di cooperazione allo sviluppo e sostegno ai processi di
ricostruzione e partecipazione alle iniziative delle organizzazioni
internazionali per il consolidamento dei processi di pace e di
stabilizzazione»;
Visto il decreto legislativo 18 maggio 2018, n. 65, recante
«Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e
del Consiglio, del 6 luglio 2016, recante misure per un livello
comune elevato di sicurezza delle reti e dei sistemi informativi
nell'Unione»;
Visto il decreto-legge 21 settembre 2019, n. 105, convertito, con
modificazioni, dalla legge 18 novembre 2019, n. 133, recante
«Disposizioni urgenti in materia di perimetro di sicurezza nazionale
cibernetica»;
Visto il decreto-legge 14 giugno 2021, n. 82, convertito, con
modificazioni, dalla legge 4 agosto 2021, n. 109, recante
«Disposizioni urgenti in materia di cybersicurezza, definizione
dell'architettura nazionale di cybersicurezza e istituzione
dell'Agenzia per la cybersicurezza nazionale»;
Vista la legge 28 giugno 2024, n. 90, recante «Disposizioni in
materia di rafforzamento della cybersicurezza nazionale e di reati
informatici»;
Visto il decreto legislativo adottato ai sensi dell'articolo 5
della legge n. 15 del 2024 per il recepimento della direttiva (UE)
2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre
2022, relativa alla resilienza dei soggetti critici e che abroga la
direttiva 2008/114/CE del Consiglio;
Visto il decreto del Presidente del Consiglio dei ministri n. 5 del
6 novembre 2015, recante «Disposizioni per la tutela amministrativa
del segreto di Stato e delle informazioni classificate e a diffusione
esclusiva», pubblicato nella Gazzetta Ufficiale n. 284 del 5 dicembre
2015;
Visto il decreto del Presidente del Consiglio dei ministri del 17
febbraio 2017, concernente «Direttiva recante indirizzi per la
protezione cibernetica e la sicurezza informatica nazionali»,
pubblicato nella Gazzetta Ufficiale n. 87 del 13 aprile 2017;
Sentita l'Agenzia per la cybersicurezza nazionale, ai sensi
dell'articolo 3 della legge n. 15 del 2024;
Vista la preliminare deliberazione del Consiglio dei ministri,
adottata nella riunione del 10 giugno 2024;
Acquisito il parere della Conferenza unificata di cui all'articolo
8 del decreto legislativo 28 agosto 1997, n. 281, reso nella seduta
dell'11 luglio 2024
Acquisiti i pareri delle competenti Commissioni della Camera dei
deputati e del Senato della Repubblica;
Vista la deliberazione del Consiglio dei ministri, adottata nella
riunione del 7 agosto 2024;
Sulla proposta del Presidente del Consiglio dei ministri e del
Ministro per gli affari europei, il Sud, le politiche di coesione e
il PNRR, di concerto con i Ministri per la pubblica amministrazione,
degli affari esteri e della cooperazione internazionale,
dell'interno, della giustizia, della difesa, dell'economia e delle
finanze, delle imprese e del made in Italy, dell'agricoltura, della
sovranita' alimentare e delle foreste, dell'ambiente e della
sicurezza energetica, delle infrastrutture e dei trasporti,
dell'universita' e della ricerca, della cultura e della salute;
Emana
il seguente decreto legislativo:
Art. 1
Oggetto
1. Il presente decreto stabilisce misure volte a garantire un
livello elevato di sicurezza informatica in ambito nazionale,
contribuendo ad incrementare il livello comune di sicurezza
nell'Unione europea in modo da migliorare il funzionamento del
mercato interno.
2. Ai fini del comma 1, il presente decreto prevede:
a) la Strategia nazionale di cybersicurezza, recante previsioni
volte a garantire un livello elevato di sicurezza informatica;
b) l'integrazione del quadro di gestione delle crisi
informatiche, nel contesto dell'organizzazione nazionale per la
gestione delle crisi che coinvolgono aspetti di cybersicurezza, di
cui all'articolo 10 del decreto-legge 4 giugno 2021, n. 82,
convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109;
c) la conferma dell'Agenzia per la cybersicurezza nazionale
quale:
1) Autorita' nazionale competente NIS, disciplinandone i poteri
inerenti all'implementazione e all'attuazione del presente decreto;
2) Punto di contatto unico NIS, assicurando il raccordo
nazionale e transfrontaliero;
3) Gruppo di intervento nazionale per la sicurezza informatica
in caso di incidente in ambito nazionale (CSIRT Italia);
d) la designazione dell'Agenzia per la cybersicurezza nazionale,
con funzioni di coordinatore ai sensi dell'articolo 9, paragrafo 2,
della direttiva (UE) 2022/2555, e del Ministero della difesa,
ciascuno per gli ambiti di competenza indicati all'articolo 2, comma
1, lettera g), quali Autorita' nazionali di gestione delle crisi
informatiche su vasta scala, assicurando la coerenza con il quadro
nazionale esistente in materia di gestione generale delle crisi
informatiche, fermi restando i compiti del Nucleo per la
cybersicurezza di cui all'articolo 9 del decreto-legge 14 giugno
2021, n. 82;
e) l'individuazione di Autorita' di settore NIS che collaborano
con l'Agenzia per la cybersicurezza nazionale, supportandone le
funzioni svolte quale Autorita' nazionale competente NIS e Punto di
contatto unico NIS;
f) l'indicazione dei criteri per l'individuazione dei soggetti a
cui si applica il presente decreto e la definizione dei relativi
obblighi in materia di misure di gestione dei rischi per la sicurezza
informatica e di notifica di incidente;
g) l'adozione di misure in materia di cooperazione e di
condivisione delle informazioni ai fini dell'applicazione del
presente decreto, in particolare, attraverso la partecipazione
nazionale a livello dell'Unione europea:
1) al Gruppo di cooperazione NIS tra autorita' competenti NIS e
tra punti di contatto unici degli Stati membri dell'Unione europea,
nell'ottica di incrementare la fiducia e la collaborazione a livello
unionale;
2) alla Rete delle organizzazioni di collegamento per le crisi
informatiche (EU-CyCLONe) al fine di sostenere la gestione coordinata
a livello operativo degli incidenti e delle crisi cibernetiche su
vasta scala e di garantire il regolare scambio di informazioni
pertinenti tra gli Stati membri e le istituzioni, gli organi e gli
organismi dell'Unione europea;
3) alla Rete di CSIRT nazionali nell'ottica di assicurare una
cooperazione, sul piano tecnico, rapida ed efficace.
NOTE
Avvertenza:
Il testo delle note qui pubblicato e' stato redatto
dall'amministrazione competente per materia, ai sensi
dell'art. 10, commi 2 e 3, del testo unico delle
disposizioni sulla promulgazione delle leggi,
sull'emanazione dei decreti del Presidente della Repubblica
e sulle pubblicazioni ufficiali della Repubblica italiana,
approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo
fine di facilitare la lettura delle disposizioni di legge,
modificate o alle quali e' operato il rinvio. Restano
invariati il valore e l'efficacia degli atti legislativi
qui trascritti.
Per le direttive CEE vengono forniti gli estremi di
pubblicazione nella Gazzetta Ufficiale delle Comunita'
europee (GUUE).
Note alle premesse:
L'art. 76 della Costituzione stabilisce che l'esercizio
della funzione legislativa non puo' essere delegato al
Governo se non con determinazione di principi e criteri
direttivi e soltanto per tempo limitato e per oggetti
definiti.
L'art. 87, quinto comma, della Costituzione conferisce
al Presidente della Repubblica il potere di promulgare le
leggi ed emanare i decreti aventi valore di legge e i
regolamenti.
- Si riporta l'articolo 14 della legge 23 agosto 1988,
n. 400 (Disciplina dell'attivita' di Governo e ordinamento
della Presidenza del Consiglio dei Ministri), pubblicata
nella Gazzetta Ufficiale 12 settembre 1988, n. 214, S.O. :
«Art. 14 (Decreti legislativi). - 1. I decreti
legislativi adottati dal Governo ai sensi dell'articolo 76
della Costituzione sono emanati dal Presidente della
Repubblica con la denominazione di "decreto legislativo" e
con l'indicazione, nel preambolo, della legge di
delegazione, della deliberazione del Consiglio dei ministri
e degli altri adempimenti del procedimento prescritti dalla
legge di delegazione.
2. L'emanazione del decreto legislativo deve avvenire
entro il termine fissato dalla legge di delegazione; il
testo del decreto legislativo adottato dal Governo e'
trasmesso al Presidente della Repubblica, per la
emanazione, almeno venti giorni prima della scadenza.
3. Se la delega legislativa si riferisce ad una
pluralita' di oggetti distinti suscettibili di separata
disciplina, il Governo puo' esercitarla mediante piu' atti
successivi per uno o piu' degli oggetti predetti. In
relazione al termine finale stabilito dalla legge di
delegazione, il Governo informa periodicamente le Camere
sui criteri che segue nell'organizzazione dell'esercizio
della delega.
4. In ogni caso, qualora il termine previsto per
l'esercizio della delega ecceda in due anni, il Governo e'
tenuto a richiedere il parere delle Camere sugli schemi dei
decreti delegati. Il parere e' espresso dalle Commissioni
permanenti delle due Camere competenti per materia entro
sessanta giorni, indicando specificamente le eventuali
disposizioni non ritenute corrispondenti alle direttive
della legge di delegazione. Il Governo, nei trenta giorni
successivi, esaminato il parere, ritrasmette, con le sue
osservazioni e con eventuali modificazioni, i testi alle
Commissioni per il parere definitivo che deve essere
espresso entro trenta giorni.».
- Si riportano gli articoli 31 e 32 della legge 24
dicembre 2012, n. 234 (Norme generali sulla partecipazione
dell'Italia alla formazione e all'attuazione della
normativa e delle politiche dell'Unione europea),
pubblicata nella Gazzetta Ufficiale 4 gennaio 2013, n. 3:
«Art. 31 (Procedure per l'esercizio delle deleghe
legislative conferite al Governo con la legge di
delegazione europea). - 1. In relazione alle deleghe
legislative conferite con la legge di delegazione europea
per il recepimento delle direttive, il Governo adotta i
decreti legislativi entro il termine di quattro mesi
antecedenti a quello di recepimento indicato in ciascuna
delle direttive; per le direttive il cui termine cosi'
determinato sia gia' scaduto alla data di entrata in vigore
della legge di delegazione europea, ovvero scada nei tre
mesi successivi, il Governo adotta i decreti legislativi di
recepimento entro tre mesi dalla data di entrata in vigore
della medesima legge; per le direttive che non prevedono un
termine di recepimento, il Governo adotta i relativi
decreti legislativi entro dodici mesi dalla data di entrata
in vigore della legge di delegazione europea.
2. I decreti legislativi sono adottati, nel rispetto
dell'articolo 14 della legge 23 agosto 1988, n. 400, su
proposta del Presidente del Consiglio dei Ministri o del
Ministro per gli affari europei e del Ministro con
competenza prevalente nella materia, di concerto con i
Ministri degli affari esteri, della giustizia,
dell'economia e delle finanze e con gli altri Ministri
interessati in relazione all'oggetto della direttiva. I
decreti legislativi sono accompagnati da una tabella di
concordanza tra le disposizioni in essi previste e quelle
della direttiva da recepire, predisposta
dall'amministrazione con competenza istituzionale
prevalente nella materia.
3. La legge di delegazione europea indica le
direttive in relazione alle quali sugli schemi dei decreti
legislativi di recepimento e' acquisito il parere delle
competenti Commissioni parlamentari della Camera dei
deputati e del Senato della Repubblica. In tal caso gli
schemi dei decreti legislativi sono trasmessi, dopo
l'acquisizione degli altri pareri previsti dalla legge,
alla Camera dei deputati e al Senato della Repubblica
affinche' su di essi sia espresso il parere delle
competenti Commissioni parlamentari. Decorsi quaranta
giorni dalla data di trasmissione, i decreti sono emanati
anche in mancanza del parere. Qualora il termine per
l'espressione del parere parlamentare di cui al presente
comma ovvero i diversi termini previsti dai commi 4 e 9
scadano nei trenta giorni che precedono la scadenza dei
termini di delega previsti ai commi 1 o 5 o
successivamente, questi ultimi sono prorogati di tre mesi.
4. Gli schemi dei decreti legislativi recanti
recepimento delle direttive che comportino conseguenze
finanziarie sono corredati della relazione tecnica di cui
all'articolo 17, comma 3, della legge 31 dicembre 2009, n.
196. Su di essi e' richiesto anche il parere delle
Commissioni parlamentari competenti per i profili
finanziari. Il Governo, ove non intenda conformarsi alle
condizioni formulate con riferimento all'esigenza di
garantire il rispetto dell'articolo 81, quarto comma, della
Costituzione, ritrasmette alle Camere i testi, corredati
dei necessari elementi integrativi d'informazione, per i
pareri definitivi delle Commissioni parlamentari competenti
per i profili finanziari, che devono essere espressi entro
venti giorni.
5. Entro ventiquattro mesi dalla data di entrata in
vigore di ciascuno dei decreti legislativi di cui al comma
1, nel rispetto dei principi e criteri direttivi fissati
dalla legge di delegazione europea, il Governo puo'
adottare, con la procedura indicata nei commi 2, 3 e 4,
disposizioni integrative e correttive dei decreti
legislativi emanati ai sensi del citato comma 1, fatto
salvo il diverso termine previsto dal comma 6.
6. Con la procedura di cui ai commi 2, 3 e 4 il
Governo puo' adottare disposizioni integrative e correttive
di decreti legislativi emanati ai sensi del comma 1, al
fine di recepire atti delegati dell'Unione europea di cui
all'articolo 290 del Trattato sul funzionamento dell'Unione
europea, che modificano o integrano direttive recepite con
tali decreti legislativi. Le disposizioni integrative e
correttive di cui al primo periodo sono adottate nel
termine di cui al comma 5 o nel diverso termine fissato
dalla legge di delegazione europea. Resta ferma la
disciplina di cui all'articolo 36 per il recepimento degli
atti delegati dell'Unione europea che recano meri
adeguamenti tecnici.
7. I decreti legislativi di recepimento delle
direttive previste dalla legge di delegazione europea,
adottati, ai sensi dell'articolo 117, quinto comma, della
Costituzione, nelle materie di competenza legislativa delle
regioni e delle province autonome, si applicano alle
condizioni e secondo le procedure di cui all'articolo 41,
comma 1.
8. I decreti legislativi adottati ai sensi
dell'articolo 33 e attinenti a materie di competenza
legislativa delle regioni e delle province autonome sono
emanati alle condizioni e secondo le procedure di cui
all'articolo 41, comma 1.
9. Il Governo, quando non intende conformarsi ai
pareri parlamentari di cui al comma 3, relativi a sanzioni
penali contenute negli schemi di decreti legislativi
recanti attuazione delle direttive, ritrasmette i testi,
con le sue osservazioni e con eventuali modificazioni, alla
Camera dei deputati e al Senato della Repubblica. Decorsi
venti giorni dalla data di ritrasmissione, i decreti sono
emanati anche in mancanza di nuovo parere.»
«Art. 32 (Principi e criteri direttivi generali di
delega per l'attuazione del diritto dell'Unione europea). -
1. Salvi gli specifici principi e criteri direttivi
stabiliti dalla legge di delegazione europea e in aggiunta
a quelli contenuti nelle direttive da attuare, i decreti
legislativi di cui all'articolo 31 sono informati ai
seguenti principi e criteri direttivi generali:
a) le amministrazioni direttamente interessate
provvedono all'attuazione dei decreti legislativi con le
ordinarie strutture amministrative, secondo il principio
della massima semplificazione dei procedimenti e delle
modalita' di organizzazione e di esercizio delle funzioni e
dei servizi;
b) ai fini di un migliore coordinamento con le
discipline vigenti per i singoli settori interessati dalla
normativa da attuare, sono introdotte le occorrenti
modificazioni alle discipline stesse, anche attraverso il
riassetto e la semplificazione normativi con l'indicazione
esplicita delle norme abrogate, fatti salvi i procedimenti
oggetto di semplificazione amministrativa ovvero le materie
oggetto di delegificazione;
c) gli atti di recepimento di direttive dell'Unione
europea non possono prevedere l'introduzione o il
mantenimento di livelli di regolazione superiori a quelli
minimi richiesti dalle direttive stesse, ai sensi
dell'articolo 14, commi 24-bis, 24-ter e 24-quater, della
legge 28 novembre 2005, n. 246;
d) al di fuori dei casi previsti dalle norme penali
vigenti, ove necessario per assicurare l'osservanza delle
disposizioni contenute nei decreti legislativi, sono
previste sanzioni amministrative e penali per le infrazioni
alle disposizioni dei decreti stessi. Le sanzioni penali,
nei limiti, rispettivamente, dell'ammenda fino a 150.000
euro e dell'arresto fino a tre anni, sono previste, in via
alternativa o congiunta, solo nei casi in cui le infrazioni
ledano o espongano a pericolo interessi costituzionalmente
protetti. In tali casi sono previste: la pena dell'ammenda
alternativa all'arresto per le infrazioni che espongano a
pericolo o danneggino l'interesse protetto; la pena
dell'arresto congiunta a quella dell'ammenda per le
infrazioni che rechino un danno di particolare gravita'.
Nelle predette ipotesi, in luogo dell'arresto e
dell'ammenda, possono essere previste anche le sanzioni
alternative di cui agli articoli 53 e seguenti del decreto
legislativo 28 agosto 2000, n. 274, e la relativa
competenza del giudice di pace. La sanzione amministrativa
del pagamento di una somma non inferiore a 150 euro e non
superiore a 150.000 euro e' prevista per le infrazioni che
ledono o espongono a pericolo interessi diversi da quelli
indicati dalla presente lettera. Nell'ambito dei limiti
minimi e massimi previsti, le sanzioni indicate dalla
presente lettera sono determinate nella loro entita',
tenendo conto della diversa potenzialita' lesiva
dell'interesse protetto che ciascuna infrazione presenta in
astratto, di specifiche qualita' personali del colpevole,
comprese quelle che impongono particolari doveri di
prevenzione, controllo o vigilanza, nonche' del vantaggio
patrimoniale che l'infrazione puo' recare al colpevole
ovvero alla persona o all'ente nel cui interesse egli
agisce. Ove necessario per assicurare l'osservanza delle
disposizioni contenute nei decreti legislativi, sono
previste inoltre le sanzioni amministrative accessorie
della sospensione fino a sei mesi e, nei casi piu' gravi,
della privazione definitiva di facolta' e diritti derivanti
da provvedimenti dell'amministrazione, nonche' sanzioni
penali accessorie nei limiti stabiliti dal codice penale.
Al medesimo fine e' prevista la confisca obbligatoria delle
cose che servirono o furono destinate a commettere
l'illecito amministrativo o il reato previsti dai medesimi
decreti legislativi, nel rispetto dei limiti stabiliti
dall'articolo 240, terzo e quarto comma, del codice penale
e dall'articolo 20 della legge 24 novembre 1981, n. 689, e
successive modificazioni. Entro i limiti di pena indicati
nella presente lettera sono previste sanzioni anche
accessorie identiche a quelle eventualmente gia' comminate
dalle leggi vigenti per violazioni omogenee e di pari
offensivita' rispetto alle infrazioni alle disposizioni dei
decreti legislativi. Nelle materie di cui all'articolo 117,
quarto comma, della Costituzione, le sanzioni
amministrative sono determinate dalle regioni;
e) al recepimento di direttive o all'attuazione di
altri atti dell'Unione europea che modificano precedenti
direttive o atti gia' attuati con legge o con decreto
legislativo si procede, se la modificazione non comporta
ampliamento della materia regolata, apportando le
corrispondenti modificazioni alla legge o al decreto
legislativo di attuazione della direttiva o di altro atto
modificato;
f) nella redazione dei decreti legislativi di cui
all'articolo 31 si tiene conto delle eventuali
modificazioni delle direttive dell'Unione europea comunque
intervenute fino al momento dell'esercizio della delega;
g) quando si verifichino sovrapposizioni di
competenze tra amministrazioni diverse o comunque siano
coinvolte le competenze di piu' amministrazioni statali, i
decreti legislativi individuano, attraverso le piu'
opportune forme di coordinamento, rispettando i principi di
sussidiarieta', differenziazione, adeguatezza e leale
collaborazione e le competenze delle regioni e degli altri
enti territoriali, le procedure per salvaguardare
l'unitarieta' dei processi decisionali, la trasparenza, la
celerita', l'efficacia e l'economicita' nell'azione
amministrativa e la chiara individuazione dei soggetti
responsabili;
h) qualora non siano di ostacolo i diversi termini
di recepimento, vengono attuate con un unico decreto
legislativo le direttive che riguardano le stesse materie o
che comunque comportano modifiche degli stessi atti
normativi;
i) e' assicurata la parita' di trattamento dei
cittadini italiani rispetto ai cittadini degli altri Stati
membri dell'Unione europea e non puo' essere previsto in
ogni caso un trattamento sfavorevole dei cittadini
italiani.»
- Si riporta l'articolo 3 della legge 21 febbraio 2024,
n. 15 (Delega al Governo per il recepimento delle direttive
europee e l'attuazione di altri atti normativi dell'Unione
europea - Legge di delegazione europea 2022-2023),
pubblicata nella Gazzetta Ufficiale 24 febbraio 2024, n.
46:
«Art. 3. (Principi e criteri direttivi per
l'esercizio della delega per il recepimento della direttiva
(UE) 2022/2555, relativa a misure per un livello comune
elevato di cibersicurezza nell'Unione, recante modifica del
regolamento (UE) n. 910/2014 e della direttiva (UE)
2018/1972 e che abroga la direttiva (UE) 2016/1148
(direttiva NIS2)). - 1. Nell'esercizio della delega per il
recepimento della direttiva (UE) 2022/2555 del Parlamento
europeo e del Consiglio, del 14 dicembre 2022, il Governo,
sentita l'Agenzia per la cybersicurezza nazionale, osserva,
oltre ai principi e criteri direttivi generali di cui
all'articolo 32 della legge 24 dicembre 2012, n. 234, anche
i seguenti principi e criteri direttivi specifici:
a) individuare i criteri in base ai quali un ente
pubblico puo' essere considerato pubblica amministrazione
ai fini dell'applicazione delle disposizioni della
direttiva (UE) 2022/2555, anche considerando la
possibilita' di applicazione della direttiva medesima ai
comuni e alle province secondo principi di gradualita',
proporzionalita' e adeguatezza;
b) escludere dall'ambito di applicazione delle
disposizioni della direttiva (UE) 2022/2555 gli enti della
pubblica amministrazione operanti nei settori di cui
all'articolo 2, paragrafo 7, della direttiva medesima,
compresi gli organismi di informazione per la sicurezza ai
quali si applicano le disposizioni della legge 3 agosto
2007, n. 124;
c) avvalersi della facolta' di cui all'articolo 2,
paragrafo 8, della direttiva (UE) 2022/2555, prevedendo che
con uno o piu' decreti del Presidente del Consiglio dei
ministri, adottati su proposta delle competenti
amministrazioni, siano esentati soggetti specifici che
svolgono attivita' nei settori ivi indicati o che
forniscono servizi esclusivamente agli enti della pubblica
amministrazione di cui all'articolo 2, paragrafo 7, della
medesima direttiva;
d) confermare la distinzione tra l'Agenzia per la
cybersicurezza nazionale, quale autorita' nazionale
competente e punto di contatto, ai sensi dell'articolo 8
della direttiva (UE) 2022/2555, e le autorita' di settore
operanti negli ambiti di cui agli allegati I e II alla
medesima direttiva;
e) in relazione all'istituzione del team di
risposta agli incidenti di sicurezza informatica (CSIRT),
di cui all'articolo 10 della direttiva (UE) 2022/2555,
confermare le disposizioni dell'articolo 8 del decreto
legislativo 18 maggio 2018, n. 65, in materia di
istituzione del CSIRT Italia, nonche' ampliare quanto
previsto dal medesimo decreto legislativo prevedendo la
collaborazione tra tutte le strutture pubbliche con
funzioni di Computer Emergency Response Team (CERT)
coinvolte in caso di eventi malevoli per la sicurezza
informatica;
f) prevedere un regime transitorio per i soggetti
gia' sottoposti alla disciplina del decreto legislativo 18
maggio 2018, n. 65, recante attuazione della direttiva (UE)
2016/1148 del Parlamento europeo e del Consiglio, del 6
luglio 2016, garantendo termini congrui di adeguamento, ai
fini della migliore applicazione delle disposizioni
previste dalla direttiva (UE) 2022/2555;
g) prevedere meccanismi che consentano la
registrazione dei soggetti essenziali e importanti, di cui
all'articolo 3 della direttiva (UE) 2022/2555, per la
comunicazione dei dati previsti dal paragrafo 4 del
medesimo articolo 3, compresi i soggetti che gestiscono
servizi connessi o strumentali alle attivita' oggetto delle
disposizioni della direttiva medesima relative al settore
della cultura;
h) in relazione alle misure di cui all'articolo 21,
paragrafo 2, della direttiva (UE) 2022/2555, prevedere
l'individuazione, attraverso l'utilizzo di strumenti
flessibili atti a corrispondere al rapido sviluppo
tecnologico, delle tecnologie necessarie ad assicurare
l'effettiva attivazione delle misure stesse. L'autorita'
amministrativa individuata come responsabile di tale
procedimento provvede altresi' all'aggiornamento degli
strumenti adottati;
i) introdurre nella legislazione vigente, anche in
materia penale, le modifiche necessarie al fine di
assicurare il corretto recepimento nell'ordinamento
nazionale delle disposizioni della direttiva (UE) 2022/2555
in materia di divulgazione coordinata delle vulnerabilita';
l) definire le competenze dell'Agenzia per l'Italia
digitale e dell'Agenzia per la cybersicurezza nazionale in
relazione alle attivita' previste dal regolamento (UE) n.
910/2014 del Parlamento europeo e del Consiglio, del 23
luglio 2014;
m) individuare criteri oggettivi e proporzionati ai
fini dell'applicazione degli obblighi informativi di cui
all'articolo 23, paragrafo 2, della direttiva (UE)
2022/2555;
n) rivedere il sistema sanzionatorio e il sistema
di vigilanza ed esecuzione, in particolare:
1) prevedendo sanzioni effettive, proporzionate e
dissuasive rispetto alla gravita' della violazione degli
obblighi derivanti dalla direttiva (UE) 2022/2555, anche in
deroga ai criteri e ai limiti previsti dall'articolo 32,
comma 1, lettera d), della legge 24 dicembre 2012, n. 234,
e alla legge 24 novembre 1981, n. 689, introducendo
strumenti deflativi del contenzioso, quali la diffida ad
adempiere;
2) prevedendo che gli introiti derivanti
dall'irrogazione delle sanzioni siano versati all'entrata
del bilancio dello Stato per essere riassegnati
all'apposito capitolo dello stato di previsione della spesa
del Ministero dell'economia e delle finanze, di cui
all'articolo 18 del decreto-legge 14 giugno 2021, n. 82,
convertito, con modificazioni, dalla legge 4 agosto 2021,
n. 109, per incrementare la dotazione del bilancio
dell'Agenzia per la cybersicurezza nazionale;
o) assicurare il migliore coordinamento tra le
disposizioni adottate ai sensi del presente articolo per il
recepimento della direttiva (UE) 2022/2555, le disposizioni
adottate ai sensi dell'articolo 5 della presente legge per
il recepimento della direttiva (UE) 2022/2557 del
Parlamento europeo e del Consiglio, del 14 dicembre 2022,
nonche' le disposizioni del regolamento (UE) 2022/2554 del
Parlamento europeo e del Consiglio, del 14 dicembre 2022, e
quelle adottate ai sensi dell'articolo 16 della presente
legge per l'adeguamento a quest'ultimo e per il recepimento
della direttiva (UE) 2022/2556 del Parlamento europeo e del
Consiglio, del 14 dicembre 2022;
p) apportare alla normativa vigente tutte le
modificazioni e le integrazioni occorrenti ad assicurare il
coordinamento con le disposizioni emanate in attuazione del
presente articolo.».
- La direttiva (UE) 2022/2555 del Parlamento europeo e
del Consiglio, del 14 dicembre 2022, relativa a misure per
un livello comune elevato di cibersicurezza nell'Unione,
recante modifica del regolamento (UE) n. 910/2014 e della
direttiva (UE) 2018/1972 e che abroga la direttiva (UE)
2016/1148 e' pubblicata nella GUUE n. 17 del 27 dicembre
2022, serie L.
- La comunicazione della Commissione, del 13 settembre
2023, relativa all'applicazione dell'articolo 4, paragrafi
1 e 2, della direttiva (UE) 2022/2555 e' pubblicata nella
GUUE n. 328 del 18 settembre 2023, serie C;
- La direttiva 2002/58/CE del Parlamento europeo e del
Consiglio, del 12 luglio 2002, relativa al trattamento dei
dati personali e alla tutela della vita privata nel settore
delle comunicazioni elettroniche (direttiva relativa alla
vita privata e alle comunicazioni elettroniche) e'
pubblicata nella G.U.C.E. 31 luglio 2002, n. 201, serie L;
- Il regolamento (UE) n. 910/2014 del Parlamento
europeo e del Consiglio, del 23 luglio 2014, in materia di
identificazione elettronica e servizi fiduciari per le
transazioni elettroniche nel mercato interno e che abroga
la direttiva 1999/93/CE e' pubblicato nella GUUE del 28
agosto 2014 n. 257, serie L;
- Il regolamento (UE) 2024/1183 del Parlamento europeo
e del Consiglio, dell'11 aprile 2024, che modifica il
regolamento (UE) n. 910/2014 per quanto riguarda
l'istituzione del quadro europeo relativo a un'identita'
digitale e' pubblicato nella GUUE del 30 aprile 2024 serie
L;
- Il regolamento (UE) 2019/881 del Parlamento europeo e
del Consiglio, del 17 aprile 2019, relativo all'ENISA,
l'Agenzia dell'Unione europea per la cibersicurezza, e alla
certificazione della cibersicurezza per le tecnologie
dell'informazione e della comunicazione, e che abroga il
regolamento (UE) n. 526/2013 («regolamento sulla
cibersicurezza») e' pubblicato nella GUUE del 7 giugno 2019
151 serie L;
- La raccomandazione 2003/361/CE della Commissione, del
6 maggio 2003, relativa alla definizione delle
microimprese, piccole e medie imprese e' pubblicata nella
Gazzetta Ufficiale dell'Unione Europea del 20 maggio 2003,
n. 124, serie L.
- La direttiva 2013/40/UE del Parlamento europeo e del
Consiglio, del 12 agosto 2013, relativa agli attacchi
contro i sistemi di informazione e che sostituisce la
decisione quadro 2005/222/GAI del Consiglio e' pubblicata
nella Gazzetta Ufficiale dell'Unione Europea del 14 agosto
2013;
- Il regolamento (UE) 2022/2554 del Parlamento europeo
e del Consiglio, del 14 dicembre 2022, relativo alla
resilienza operativa digitale per il settore finanziario e
che modifica i regolamenti (CE) n. 1060/2009, (UE) n.
648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE)
2016/1011 e' pubblicato nella GUUE del 27 dicembre 2022 n.
133 serie L;
- La direttiva (UE) 2022/2556 del Parlamento europeo e
del Consiglio, del 14 dicembre 2022, che modifica le
direttive 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE,
2014/59/UE, 2014/65/UE, (UE) 2015/2366 e (UE) 2016/2341 per
quanto riguarda la resilienza operativa digitale per il
settore finanziario e' pubblicata nella GUUE del 27
dicembre 2022 n. 333;
- La direttiva (UE) 2022/2557 del Parlamento europeo e
del Consiglio, del 14 dicembre 2022, relativa alla
resilienza dei soggetti critici e che abroga la direttiva
2008/114/CE del Consiglio e' pubblicata nella GUUE del 27
dicembre 2022 n. 333, serie L;
- Si riportano gli articoli 1 e 2 del decreto
legislativo 23 giugno 2011, n. 118 (Disposizioni in materia
di armonizzazione dei sistemi contabili e degli schemi di
bilancio delle Regioni, degli enti locali e dei loro
organismi, a norma degli articoli 1 e 2 della legge 5
maggio 2009, n. 42), pubblicato nella Gazzetta Ufficiale 26
luglio 2011, n. 172:
«Art. 1 (Oggetto e ambito di applicazione). - 1. Ai
sensi dell'art. 117, secondo comma, lettera e), della
Costituzione, il presente titolo e il titolo III
disciplinano l'armonizzazione dei sistemi contabili e degli
schemi di bilancio delle Regioni, ad eccezione dei casi in
cui il Titolo II disponga diversamente, con particolare
riferimento alla fattispecie di cui all'art. 19, comma 2,
lettera b), degli enti locali di cui all'art. 2 del decreto
legislativo 18 agosto 2000, n. 267, e dei loro enti e
organismi strumentali, esclusi gli enti di cui al titolo II
del presente decreto. A decorrere dal 1° gennaio 2015
cessano di avere efficacia le disposizioni legislative
regionali incompatibili con il presente decreto.
2. Ai fini del presente decreto:
a) per enti strumentali si intendono gli enti di
cui all'art. 11-ter, distinti nelle tipologie definite in
corrispondenza delle missioni del bilancio;
b) per organismi strumentali delle regioni e degli
enti locali si intendono le loro articolazioni
organizzative, anche a livello territoriale, dotate di
autonomia gestionale e contabile, prive di personalita'
giuridica. Le gestioni fuori bilancio autorizzate da legge
e le istituzioni di cui all'art. 114, comma 2, del decreto
legislativo 18 agosto 2000, n. 267, sono organismi
strumentali. Gli organismi strumentali sono distinti nelle
tipologie definite in corrispondenza delle missioni del
bilancio.
3.
4.
5. Per gli enti coinvolti nella gestione della
spesa sanitaria finanziata con le risorse destinate al
Servizio sanitario nazionale, come individuati all'articolo
19, si applicano le disposizioni recate dal Titolo II.»
«Art. 2 (Adozione di sistemi contabili omogenei). -
1. Le Regioni e gli enti locali di cui all'articolo 2 del
decreto legislativo 18 agosto 2000, n. 267 adottano la
contabilita' finanziaria cui affiancano, ai fini
conoscitivi, un sistema di contabilita'
economico-patrimoniale, garantendo la rilevazione unitaria
dei fatti gestionali sia sotto il profilo finanziario che
sotto il profilo economico-patrimoniale.
2. Gli enti strumentali delle amministrazioni di cui
al comma 1 che adottano la contabilita' finanziaria
affiancano alla stessa, ai fini conoscitivi, un sistema di
contabilita' economico-patrimoniale, garantendo la
rilevazione unitaria dei fatti gestionali, sia sotto il
profilo finanziario che sotto il profilo
economico-patrimoniale.
3. Le istituzioni degli enti locali di cui
all'articolo 114 del decreto legislativo 18 agosto 2000, n.
267 e gli altri organismi strumentali delle amministrazioni
pubbliche di cui al comma 1 adottano il medesimo sistema
contabile dell'amministrazione di cui fanno parte.
4.»
- Si riporta l'articolo 19 del decreto-legge 22 giugno
2012, n. 83 (Misure urgenti per la crescita del Paese),
convertito, con modificazioni, dalla legge 7 agosto 2012,
n. 134, pubblicato nella Gazzetta Ufficiale 26 giugno 2012,
n. 147, S.O.:
«Art. 19 (Istituzione dell'Agenzia per l'Italia
digitale). - 1. E' istituita l'Agenzia per l'Italia
Digitale, sottoposta alla vigilanza del Presidente del
Consiglio dei Ministri o del Ministro da lui delegato.
2. L'Agenzia opera sulla base di principi di
autonomia organizzativa, tecnico-operativa, gestionale, di
trasparenza e di economicita' e persegue gli obiettivi di
efficacia, efficienza, imparzialita', semplificazione e
partecipazione dei cittadini e delle imprese. Per quanto
non previsto dal presente decreto all'Agenzia si applicano
gli articoli 8 e 9 del decreto legislativo 30 luglio 1999,
n. 300.».
- Si riporta l'articolo 3 della legge L. 21 febbraio
2024, n. 15 (Delega al Governo per il recepimento delle
direttive europee e l'attuazione di altri atti dell'Unione
europea - Legge di delegazione europea 2022-2023),
pubblicata nella Gazzetta Ufficiale 24 febbraio 2024, n.
46:
«Art. 3 (Principi e criteri direttivi per l'esercizio
della delega per il recepimento della direttiva (UE)
2022/2555, relativa a misure per un livello comune elevato
di cibersicurezza nell'Unione, recante modifica del
regolamento (UE) n. 910/2014 e della direttiva (UE)
2018/1972 e che abroga la direttiva (UE) 2016/1148
(direttiva NIS2)). - 1. Nell'esercizio della delega per il
recepimento della direttiva (UE) 2022/2555 del Parlamento
europeo e del Consiglio, del 14 dicembre 2022, il Governo,
sentita l'Agenzia per la cybersicurezza nazionale, osserva,
oltre ai principi e criteri direttivi generali di cui
all'articolo 32 della legge 24 dicembre 2012, n. 234, anche
i seguenti principi e criteri direttivi specifici:
a) individuare i criteri in base ai quali un ente
pubblico puo' essere considerato pubblica amministrazione
ai fini dell'applicazione delle disposizioni della
direttiva (UE) 2022/2555, anche considerando la
possibilita' di applicazione della direttiva medesima ai
comuni e alle province secondo principi di gradualita',
proporzionalita' e adeguatezza;
b) escludere dall'ambito di applicazione delle
disposizioni della direttiva (UE) 2022/2555 gli enti della
pubblica amministrazione operanti nei settori di cui
all'articolo 2, paragrafo 7, della direttiva medesima,
compresi gli organismi di informazione per la sicurezza ai
quali si applicano le disposizioni della legge 3 agosto
2007, n. 124;
c) avvalersi della facolta' di cui all'articolo 2,
paragrafo 8, della direttiva (UE) 2022/2555, prevedendo che
con uno o piu' decreti del Presidente del Consiglio dei
ministri, adottati su proposta delle competenti
amministrazioni, siano esentati soggetti specifici che
svolgono attivita' nei settori ivi indicati o che
forniscono servizi esclusivamente agli enti della pubblica
amministrazione di cui all'articolo 2, paragrafo 7, della
medesima direttiva;
d) confermare la distinzione tra l'Agenzia per la
cybersicurezza nazionale, quale autorita' nazionale
competente e punto di contatto, ai sensi dell'articolo 8
della direttiva (UE) 2022/2555, e le autorita' di settore
operanti negli ambiti di cui agli allegati I e II alla
medesima direttiva;
e) in relazione all'istituzione del team di
risposta agli incidenti di sicurezza informatica (CSIRT),
di cui all'articolo 10 della direttiva (UE) 2022/2555,
confermare le disposizioni dell'articolo 8 del decreto
legislativo 18 maggio 2018, n. 65, in materia di
istituzione del CSIRT Italia, nonche' ampliare quanto
previsto dal medesimo decreto legislativo prevedendo la
collaborazione tra tutte le strutture pubbliche con
funzioni di Computer Emergency Response Team (CERT)
coinvolte in caso di eventi malevoli per la sicurezza
informatica;
f) prevedere un regime transitorio per i soggetti
gia' sottoposti alla disciplina del decreto legislativo 18
maggio 2018, n. 65, recante attuazione della direttiva (UE)
2016/1148 del Parlamento europeo e del Consiglio, del 6
luglio 2016, garantendo termini congrui di adeguamento, ai
fini della migliore applicazione delle disposizioni
previste dalla direttiva (UE) 2022/2555;
g) prevedere meccanismi che consentano la
registrazione dei soggetti essenziali e importanti, di cui
all'articolo 3 della direttiva (UE) 2022/2555, per la
comunicazione dei dati previsti dal paragrafo 4 del
medesimo articolo 3, compresi i soggetti che gestiscono
servizi connessi o strumentali alle attivita' oggetto delle
disposizioni della direttiva medesima relative al settore
della cultura;
h) in relazione alle misure di cui all'articolo 21,
paragrafo 2, della direttiva (UE) 2022/2555, prevedere
l'individuazione, attraverso l'utilizzo di strumenti
flessibili atti a corrispondere al rapido sviluppo
tecnologico, delle tecnologie necessarie ad assicurare
l'effettiva attivazione delle misure stesse. L'autorita'
amministrativa individuata come responsabile di tale
procedimento provvede altresi' all'aggiornamento degli
strumenti adottati;
i) introdurre nella legislazione vigente, anche in
materia penale, le modifiche necessarie al fine di
assicurare il corretto recepimento nell'ordinamento
nazionale delle disposizioni della direttiva (UE) 2022/2555
in materia di divulgazione coordinata delle vulnerabilita';
l) definire le competenze dell'Agenzia per l'Italia
digitale e dell'Agenzia per la cybersicurezza nazionale in
relazione alle attivita' previste dal regolamento (UE) n.
910/2014 del Parlamento europeo e del Consiglio, del 23
luglio 2014;
m) individuare criteri oggettivi e proporzionati ai
fini dell'applicazione degli obblighi informativi di cui
all'articolo 23, paragrafo 2, della direttiva (UE)
2022/2555;
n) rivedere il sistema sanzionatorio e il sistema
di vigilanza ed esecuzione, in particolare:
1) prevedendo sanzioni effettive, proporzionate e
dissuasive rispetto alla gravita' della violazione degli
obblighi derivanti dalla direttiva (UE) 2022/2555, anche in
deroga ai criteri e ai limiti previsti dall'articolo 32,
comma 1, lettera d), della legge 24 dicembre 2012, n. 234,
e alla legge 24 novembre 1981, n. 689, introducendo
strumenti deflativi del contenzioso, quali la diffida ad
adempiere;
2) prevedendo che gli introiti derivanti
dall'irrogazione delle sanzioni siano versati all'entrata
del bilancio dello Stato per essere riassegnati
all'apposito capitolo dello stato di previsione della spesa
del Ministero dell'economia e delle finanze, di cui
all'articolo 18 del decreto-legge 14 giugno 2021, n. 82,
convertito, con modificazioni, dalla legge 4 agosto 2021,
n. 109, per incrementare la dotazione del bilancio
dell'Agenzia per la cybersicurezza nazionale;
o) assicurare il migliore coordinamento tra le
disposizioni adottate ai sensi del presente articolo per il
recepimento della direttiva (UE) 2022/2555, le disposizioni
adottate ai sensi dell'articolo 5 della presente legge per
il recepimento della direttiva (UE) 2022/2557 del
Parlamento europeo e del Consiglio, del 14 dicembre 2022,
nonche' le disposizioni del regolamento (UE) 2022/2554 del
Parlamento europeo e del Consiglio, del 14 dicembre 2022, e
quelle adottate ai sensi dell'articolo 16 della presente
legge per l'adeguamento a quest'ultimo e per il recepimento
della direttiva (UE) 2022/2556 del Parlamento europeo e del
Consiglio, del 14 dicembre 2022;
p) apportare alla normativa vigente tutte le
modificazioni e le integrazioni occorrenti ad assicurare il
coordinamento con le disposizioni emanate in attuazione del
presente articolo.».
- Si riporta il testo dell'articolo 8 del decreto
legislativo 28 agosto 1997, n. 281 (Definizione ed
ampliamento delle attribuzioni della Conferenza permanente
per i rapporti tra lo Stato, le regioni e le province
autonome di Trento e Bolzano ed unificazione, per le
materie ed i compiti di interesse comune delle regioni,
delle province e dei comuni, con la Conferenza Stato-citta'
ed autonomie locali) pubblicato nella Gazzetta Ufficiale 30
agosto 1997, n. 202:
«Art. 8. (Conferenza Stato-citta' ed autonomie locali
e Conferenza unificata). - 1. La Conferenza Stato-citta' ed
autonomie locali e' unificata per le materie ed i compiti
di interesse comune delle regioni, delle province, dei
comuni e delle comunita' montane, con la Conferenza
Stato-regioni.
2. La Conferenza Stato-citta' ed autonomie locali e'
presieduta dal Presidente del Consiglio dei Ministri o, per
sua delega, dal Ministro dell'interno o dal Ministro per
gli affari regionali nella materia di rispettiva
competenza; ne fanno parte altresi' il Ministro del tesoro
e del bilancio e della programmazione economica, il
Ministro delle finanze, il Ministro dei lavori pubblici, il
Ministro della sanita', il presidente dell'Associazione
nazionale dei comuni d'Italia - ANCI, il presidente
dell'Unione province d'Italia - UPI ed il presidente
dell'Unione nazionale comuni, comunita' ed enti montani -
UNCEM. Ne fanno parte inoltre quattordici sindaci designati
dall'ANCI e sei presidenti di provincia designati dall'UPI.
Dei quattordici sindaci designati dall'ANCI cinque
rappresentano le citta' individuate dall'articolo 17 della
legge 8 giugno 1990, n. 142. Alle riunioni possono essere
invitati altri membri del Governo, nonche' rappresentanti
di amministrazioni statali, locali o di enti pubblici.
3. La Conferenza Stato-citta' ed autonomie locali e'
convocata almeno ogni tre mesi, e comunque in tutti i casi
il presidente ne ravvisi la necessita' o qualora ne faccia
richiesta il presidente dell'ANCI, dell'UPI o dell'UNCEM.
4. La Conferenza unificata di cui al comma 1 e'
convocata dal Presidente del Consiglio dei Ministri. Le
sedute sono presiedute dal Presidente del Consiglio dei
Ministri o, su sua delega, dal Ministro per gli affari
regionali o, se tale incarico non e' conferito, dal
Ministro dell'interno.».
Note all'art. 1:
- Si riportano gli articoli 9 e 10 del decreto-legge 14
giugno 2021, n. 82 (Disposizioni urgenti in materia di
cybersicurezza, definizione dell'architettura nazionale di
cybersicurezza e istituzione dell'Agenzia per la
cybersicurezza nazionale), pubblicato nella Gazzetta
ufficiale 14 giugno 2021, n. 140, convertito, con
modificazioni, dalla legge 4 agosto 2021, n. 109
(pubblicato nella Gazzetta Ufficiale del 4 agosto 2021, n.
185):
«Art. 9 (Compiti del Nucleo per la cybersicurezza). -
1. Per le finalita' di cui all'articolo 8, il Nucleo per la
cybersicurezza svolge i seguenti compiti:
a) puo' formulare proposte di iniziative in materia
di cybersicurezza del Paese, anche nel quadro del contesto
internazionale in materia;
b) promuove, sulla base delle direttive di cui
all'articolo 2, comma 2, la programmazione e la
pianificazione operativa della risposta a situazioni di
crisi cibernetica da parte delle amministrazioni e degli
operatori privati interessati e l'elaborazione delle
necessarie procedure di coordinamento interministeriale, in
raccordo con le pianificazioni di difesa civile e di
protezione civile, anche nel quadro di quanto previsto
dall'articolo 7-bis, comma 5, del decreto-legge 30 ottobre
2015, n. 174, convertito, con modificazioni, dalla legge 11
dicembre 2015, n. 198;
c) promuove e coordina lo svolgimento di
esercitazioni interministeriali, ovvero la partecipazione
nazionale a esercitazioni internazionali che riguardano la
simulazione di eventi di natura cibernetica al fine di
innalzare la resilienza del Paese;
d) valuta e promuove, in raccordo con le
amministrazioni competenti per specifici profili della
cybersicurezza, procedure di condivisione delle
informazioni, anche con gli operatori privati interessati,
ai fini della diffusione di allarmi relativi ad eventi
cibernetici e per la gestione delle crisi;
e) acquisisce, anche per il tramite del CSIRT
Italia, le comunicazioni circa i casi di violazioni o
tentativi di violazione della sicurezza o di perdita
dell'integrita' significativi ai fini del corretto
funzionamento delle reti e dei servizi dagli organismi di
informazione di cui agli articoli 4, 6 e 7 della legge 3
agosto 2007, n. 124, dalle Forze di polizia e, in
particolare, dall'organo del Ministero dell'interno di cui
all'articolo 7-bis del decreto-legge 27 luglio 2005, n.
144, convertito, con modificazioni, dalla legge 31 luglio
2005, n. 155, dalle strutture del Ministero della difesa,
nonche' dalle altre amministrazioni che compongono il
Nucleo e dai gruppi di intervento per le emergenze
informatiche (Computer Emergency Response Team - CERT)
istituiti ai sensi della normativa vigente;
f) riceve dal CSIRT Italia le notifiche di
incidente ai sensi delle disposizioni vigenti;
g) valuta se gli eventi di cui alle lettere e) e f)
assumono dimensioni, intensita' o natura tali da non poter
essere fronteggiati dalle singole amministrazioni
competenti in via ordinaria, ma richiedono l'assunzione di
decisioni coordinate in sede interministeriale, provvedendo
in tal caso a informare tempestivamente il Presidente del
Consiglio dei ministri, ovvero l'Autorita' delegata, ove
istituita, sulla situazione in atto e allo svolgimento
delle attivita' di raccordo e coordinamento di cui
all'articolo 10, nella composizione ivi prevista.».
«Art. 10 (Gestione delle crisi che coinvolgono
aspetti di cybersicurezza). - 1. Nelle situazioni di crisi
che coinvolgono aspetti di cybersicurezza, nei casi in cui
il Presidente del Consiglio dei ministri convochi il CISR
in materia di gestione delle predette situazioni di crisi,
alle sedute del Comitato sono chiamati a partecipare il
Ministro delegato per l'innovazione tecnologica e la
transizione digitale e il direttore generale dell'Agenzia.
2.
3. In situazioni di crisi di natura cibernetica il
Nucleo e' integrato, in ragione della necessita', con un
rappresentante, rispettivamente, del Ministero della salute
e del Ministero dell'interno-Dipartimento dei Vigili del
fuoco, del soccorso pubblico e della difesa civile, in
rappresentanza anche della Commissione interministeriale
tecnica di difesa civile, autorizzati ad assumere decisioni
che impegnano la propria amministrazione. Alle riunioni i
componenti possono farsi accompagnare da altri funzionari
della propria amministrazione. Alle stesse riunioni possono
essere chiamati a partecipare rappresentanti di altre
amministrazioni, anche locali, ed enti, anche essi
autorizzati ad assumere decisioni, e di altri soggetti
pubblici o privati eventualmente interessati. Per la
partecipazione non sono previsti compensi, gettoni di
presenza, rimborsi di spese o altri emolumenti comunque
denominati.
4. E' compito del Nucleo, nella composizione per la
gestione delle crisi, di cui al comma 3, assicurare che le
attivita' di reazione e stabilizzazione di competenza delle
diverse amministrazioni ed enti rispetto a situazioni di
crisi di natura cibernetica vengano espletate in maniera
coordinata secondo quanto previsto dall'articolo 9, comma
1, lettera b).
5. Il Nucleo, per l'espletamento delle proprie
funzioni e fermo restando quanto previsto ai sensi
dell'articolo 7-bis, comma 5, del decreto-legge 30 ottobre
2015, n. 174, convertito, con modificazioni, dalla legge 11
dicembre 2015, n. 198:
a) mantiene costantemente informato il Presidente
del Consiglio dei ministri, ovvero l'Autorita' delegata,
ove istituita, sulla crisi in atto, predisponendo punti
aggiornati di situazione;
b) assicura il coordinamento per l'attuazione a
livello interministeriale delle determinazioni del
Presidente del Consiglio dei ministri per il superamento
della crisi;
c) raccoglie tutti i dati relativi alla crisi;
d) elabora rapporti e fornisce informazioni sulla
crisi e li trasmette ai soggetti pubblici e privati
interessati;
e) partecipa ai meccanismi europei di gestione
delle crisi cibernetiche, assicurando altresi' i
collegamenti finalizzati alla gestione della crisi con gli
omologhi organismi di altri Stati, della NATO, dell'Unione
europea o di organizzazioni internazionali di cui l'Italia
fa parte.».
- Per i riferimenti della direttiva (UE) 2022/2555
(misure per un livello comune elevato di cibersicurezza
nell'Unione, recante modifica del regolamento (UE) n.
910/2014 e della direttiva (UE) 2018/1972 e che abroga la
direttiva (UE) 2016/1148 (direttiva NIS 2) si veda nelle
note alle premesse.