Art. 8 Gruppi di intervento per la sicurezza informatica in caso di incidente - CSIRT 1. E' istituito, presso la Presidenza del Consiglio dei ministri, il CSIRT italiano, che svolge i compiti e le funzioni del Computer Emergency Response Team (CERT) nazionale, di cui all'articolo 16-bis del decreto legislativo 1° agosto 2003, n. 259, e del CERT-PA, gia' operante presso l'Agenzia per l'Italia digitale ai sensi dell'articolo 51 del decreto legislativo 7 marzo 2005, n. 82. 2. L'organizzazione e il funzionamento del CSIRT italiano sono disciplinati con decreto del Presidente del Consiglio dei ministri ai sensi dell'articolo 7 del decreto legislativo 30 luglio 1999, n. 303, da adottare entro il 9 novembre 2018. Per lo svolgimento delle funzioni del CSIRT italiano, la Presidenza del Consiglio dei ministri si avvale di un contingente massimo di trenta unita' di personale, di cui quindici scelti tra dipendenti di altre amministrazioni pubbliche, in posizione di comando o fuori ruolo, per i quali si applica l'articolo 17, comma 14, della legge 15 maggio 1997, n. 127, e quindici da assumere, nel limite della dotazione organica vigente, in aggiunta alle ordinarie facolta' assunzionali della Presidenza del Consiglio dei ministri, nel limite di spesa annuo di 1.300.000 di euro a decorrere dal 2018. Ai relativi oneri si provvede ai sensi dell'articolo 22. 3. Nelle more dell'adozione del decreto di cui al comma 2, le funzioni di CSIRT italiano sono svolte dal CERT nazionale unitamente al CERT-PA in collaborazione tra loro. 4. Il CSIRT italiano assicura la conformita' ai requisiti di cui all'allegato I, punto 1, svolge i compiti di cui all'allegato I, punto 2, si occupa dei settori di cui all'allegato II e dei servizi di cui all'allegato III e dispone di un'infrastruttura di informazione e comunicazione appropriata, sicura e resiliente a livello nazionale. 5. Il CSIRT italiano definisce le procedure per la prevenzione e la gestione degli incidenti informatici. 6. Il CSIRT italiano garantisce la collaborazione effettiva, efficiente e sicura, nella rete di CSIRT di cui all'articolo 11. 7. La Presidenza del Consiglio dei ministri comunica alla Commissione europea il mandato del CSIRT italiano e le modalita' di trattamento degli incidenti a questo affidati. 8. Il CSIRT italiano, per lo svolgimento delle proprie funzioni, puo' avvalersi anche dell'Agenzia per l'Italia digitale. 9. Le funzioni svolte dal Ministero dello sviluppo economico in qualita' di CERT nazionale ai sensi dell'articolo 16-bis, del decreto legislativo 1° agosto 2003, n. 259, nonche' quelle svolte da Agenzia per l'Italia digitale in qualita' di CERT-PA, ai sensi dell'articolo 51 del decreto legislativo 7 marzo 2005, n. 82, sono trasferite al CSIRT italiano a far data dalla entrata in vigore del decreto di cui al comma 2. 10. Per le spese di funzionamento del CSIRT italiano e' autorizzata la spesa di 2.700.000 euro per l'anno 2018, di cui 2.000.000 per le spese di investimenti, e di 700.000 annui a decorrere dall'anno 2019. A tali oneri si provvede ai sensi dell'articolo 22.
Note all'art. 8: - Per il testo dell'art. 16-bis del citato decreto legislativo 1° agosto 2003, n. 259, si veda nelle note all'art. 1. - Si riporta il testo dell'art. 51 del decreto legislativo 7 marzo 2005, n. 82, recante: «Codice dell'amministrazione digitale»: «Art. 51 (Sicurezza e disponibilita' dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazioni). - 1. Con le Linee guida sono individuate le soluzioni tecniche idonee a garantire la protezione, la disponibilita', l'accessibilita', l'integrita' e la riservatezza dei dati e la continuita' operativa dei sistemi e delle infrastrutture. 1-bis. AgID attua, per quanto di competenza e in raccordo con le altre autorita' competenti in materia, il Quadro strategico nazionale per la sicurezza dello spazio cibernetico e il Piano nazionale per la sicurezza cibernetica e la sicurezza informatica. AgID, in tale ambito: a) coordina, tramite il Computer Emergency Response Team Pubblica Amministrazione (CERT-PA) istituito nel suo ambito, le iniziative di prevenzione e gestione degli incidenti di sicurezza informatici; b) promuove intese con le analoghe strutture internazionali; c) segnala al Ministro per la semplificazione e la pubblica amministrazione il mancato rispetto delle regole tecniche di cui al comma 1 da parte delle pubbliche amministrazioni. 2. I documenti informatici delle pubbliche amministrazioni devono essere custoditi e controllati con modalita' tali da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o non consentito o non conforme alle finalita' della raccolta. 2-bis. (abrogato). 2-ter. I soggetti di cui all'art. 2, comma 2, aderiscono ogni anno ai programmi di sicurezza preventiva coordinati e promossi da AgID secondo le procedure dettate dalla medesima AgID con le Linee guida. 2-quater. I soggetti di cui art. 2, comma 2, predispongono, nel rispetto delle Linee guida adottate dall'AgID, piani di emergenza in grado di assicurare la continuita' operativa delle operazioni indispensabili per i servizi erogati e il ritorno alla normale operativita'. Onde garantire quanto previsto, e' possibile il ricorso all'art. 15 della legge 7 agosto 1990, n. 241, per l'erogazione di servizi applicativi, infrastrutturali e di dati, con ristoro dei soli costi di funzionamento. Per le Amministrazioni dello Stato coinvolte si provvede mediante rimodulazione degli stanziamenti dei pertinenti capitoli di spesa o mediante riassegnazione alla spesa degli importi versati a tale titolo ad apposito capitolo di entrata del bilancio statale.». - Si riporta il testo dell'art. 7 del decreto legislativo 30 luglio 1999, n. 303, recante: «Ordinamento della Presidenza del Consiglio dei ministri, a norma dell'art. 11 della legge 15 marzo 1997, n. 59»: «Art. 7 (Autonomia organizzativa). - 1. Per lo svolgimento delle funzioni istituzionali di cui all'art. 2, e per i compiti di organizzazione e gestione delle occorrenti risorse umane e strumentali, il Presidente individua con propri decreti le aree funzionali omogenee da affidare alle strutture in cui si articola il Segretariato generale. 2. Con propri decreti, il Presidente determina le strutture della cui attivita' si avvalgono i Ministri o Sottosegretari da lui delegati. 3. I decreti di cui ai commi 1 e 2 indicano il numero massimo degli uffici in cui si articola ogni Dipartimento e dei servizi in cui si articola ciascun ufficio. Alla organizzazione interna delle strutture medesime provvedono, nell'ambito delle rispettive competenze, il Segretario generale ovvero il Ministro o Sottosegretario delegato. 4. Per lo svolgimento di particolari compiti per il raggiungimento di risultati determinati o per la realizzazione di specifici programmi, il Presidente istituisce, con proprio decreto, apposite strutture di missione, la cui durata temporanea, comunque non superiore a quella del Governo che le ha istituite, e' specificata dall'atto istitutivo. Entro trenta giorni dalla data di entrata in vigore della presente disposizione, il Presidente puo' ridefinire le finalita' delle strutture di missione gia' operanti: in tale caso si applica l'art. 18, comma 3, della legge 23 agosto 1988, n. 400, e successive modificazioni. Sentiti il Comitato nazionale per la bioetica e gli altri organi collegiali che operano presso la Presidenza, il Presidente, con propri decreti, ne disciplina le strutture di supporto. 4-bis. Per le attribuzioni che implicano l'azione unitaria di piu' dipartimenti o uffici a questi equiparabili, il Presidente puo' istituire con proprio decreto apposite unita' di coordinamento interdipartimentale, il cui responsabile e' nominato ai sensi dell'art. 18, comma 3, della legge 23 agosto 1988, n. 400. Dall'attuazione del presente comma non devono in ogni caso derivare nuovi o maggiori oneri per il bilancio dello Stato. 5. Il Segretario generale e' responsabile del funzionamento del Segretariato generale e della gestione delle risorse umane e strumentali della Presidenza. Il Segretario generale puo' essere coadiuvato da uno o piu' Vicesegretari generali. Per le strutture affidate a Ministri o Sottosegretari, le responsabilita' di gestione competono ai funzionari preposti alle strutture medesime, ovvero, nelle more della preposizione, a dirigenti temporaneamente delegati dal Segretario generale, su indicazione del Ministro o Sottosegretario competente. 6. Le disposizioni che disciplinano i poteri e le responsabilita' dirigenziali nelle pubbliche amministrazioni, con particolare riferimento alla valutazione dei risultati, si applicano alla Presidenza nei limiti e con le modalita' da definirsi con decreto del Presidente, sentite le organizzazioni sindacali, tenuto conto della peculiarita' dei compiti della Presidenza. Il Segretario generale e, per le strutture ad essi affidate, i Ministri o Sottosegretari delegati, indicano i parametri organizzativi e funzionali, nonche' gli obiettivi di gestione e di risultato cui sono tenuti i dirigenti generali preposti alle strutture individuate dal Presidente. 7. Il Presidente, con propri decreti, individua gli uffici di diretta collaborazione propri e, sulla base delle relative proposte, quelli dei Ministri senza portafoglio o sottosegretari della Presidenza, e ne determina la composizione. 8. La razionalita' dell'ordinamento e dell'organizzazione della Presidenza e' sottoposta a periodica verifica triennale, anche mediante ricorso a strutture specializzate pubbliche o private. Il Presidente informa le Camere dei risultati della verifica. In sede di prima applicazione del presente decreto, la verifica e' effettuata dopo due anni.». - Si riporta il testo dell'art. 17, comma 14, della legge 15 maggio 1997, n. 127, recante: «Misure urgenti per lo snellimento dell'attivita' amministrativa e dei procedimenti di decisione e di controllo»: «Art. 17 (Ulteriori disposizioni in materia di semplificazione dell'attivita' amministrativa e di snellimento dei procedimenti di decisione e di controllo). - 1-13 (Omissis). 14.Nel caso in cui disposizioni di legge o regolamentari dispongano l'utilizzazione presso le amministrazioni pubbliche di un contingente di personale in posizione di fuori ruolo o di comando, le amministrazioni di appartenenza sono tenute ad adottare il provvedimento di fuori ruolo o di comando entro quindici giorni dalla richiesta. (Omissis)».