Art. 12 Organizzazione 1. L'Agenzia, nei limiti stabiliti dall'articolo 6, comma 1, del decreto-legge, e fatto salvo quanto previsto dall'articolo 17, si articola nei seguenti servizi: a) Gabinetto; b) Autorita' e sanzioni; c) Certificazione e vigilanza; d) Operazioni; e) Programmi industriali, tecnologici, di ricerca e formazione; f) Risorse umane e strumentali; g) Strategie e cooperazione. 2. Nell'ambito delle competenze e delle funzioni che sono attribuite per legge all'Agenzia e tenuto conto degli indirizzi che saranno progressivamente definiti dal Direttore generale: a) il Gabinetto assicura, a supporto del Direttore generale, il coordinamento tra i diversi Servizi e articolazioni dell'Agenzia e il raccordo tra le relative attivita', e svolge funzioni a valenza generale. In particolare, per tali ultime funzioni, operando in stretto raccordo con i Servizi e avvalendosi del relativo supporto: 1) assicura le funzioni di gestione dei flussi documentali, raccolta e canalizzazione di notizie, conoscenze ed esperienze, gestione del protocollo informatico e degli archivi dati, nonche' di eventi suscettibili di immediato superiore apprezzamento; 2) assicura il supporto necessario ai fini della tutela della riservatezza dei dati personali; 3) assolve agli obblighi di informazione e comunicazione al Parlamento e al Comitato parlamentare per la sicurezza della Repubblica (COPASIR) di cui all'articolo 30 della legge 3 agosto 2007, n. 124; 4) cura e promuove, anche attraverso il costante monitoraggio dell'attivita' parlamentare e di Governo, l'espressione di pareri non vincolanti su rilevanti iniziative legislative o regolamentari, ovvero ne propone l'adozione, al fine della definizione e del mantenimento di un quadro giuridico nazionale aggiornato e coerente nel dominio della cybersicurezza, tenendo anche conto degli orientamenti e degli sviluppi in ambito internazionale; 5) sulla base delle attivita' di competenza del Nucleo per la cybersicurezza, cura le attivita' di cui all'articolo 7, comma 1, lettera l), del decreto-legge; 6) supporta il Nucleo per la cybersicurezza, fermo restando quanto previsto dalla lettera d), numero 5); 7) cura le collaborazioni istituzionali con altri organi dello Stato e in generale con le altre amministrazioni, ivi compreso il Garante per la protezione dei dati personali e le altre Autorita' indipendenti, le Forze armate e di polizia e gli altri enti pubblici; 8) svolge studi e analisi su rilevanti iniziative, politiche e strategie in materia di cybersicurezza, laddove necessari per informare e supportare i processi decisionali dell'Agenzia; b) il Servizio autorita' e sanzioni assicura lo svolgimento della funzione di regolamentazione e la connessa attivita' sanzionatoria attribuite all'Agenzia dalla normativa vigente. A tal fine, in particolare: 1) cura gli adempimenti delle disposizioni del decreto legislativo NIS, con particolare riferimento a quanto previsto in materia di identificazione degli operatori di servizi essenziali e fornitori di servizi digitali e gestione dei rispettivi elenchi, determinazione delle soglie di incidenti, definizione delle misure di sicurezza, raccordo con le autorita' di settore, presidenza del Comitato tecnico di raccordo; 2) cura gli adempimenti delle disposizioni del decreto-legge perimetro; 3) cura la definizione delle misure di sicurezza e delle soglie di significativita' degli incidenti riguardanti le reti pubbliche di comunicazione o servizi di comunicazione elettronica accessibili al pubblico, ai sensi del Codice delle comunicazioni elettroniche; 4) cura l'attuazione degli articoli 51 e 71 del Codice dell'amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, con particolare riferimento alla previsione di linee guida contenenti regole tecniche di cybersicurezza della pubblica amministrazione; 5) stabilisce i livelli minimi di sicurezza, capacita' elaborativa, risparmio energetico e affidabilita' delle infrastrutture digitali per la pubblica amministrazione; 6) provvede all'irrogazione delle sanzioni in caso di inadempimento degli obblighi stabiliti dalle normative vigenti in materia di cybersicurezza di competenza dell'Agenzia, garantendo la necessaria partecipazione procedimentale degli interessati ed una adeguata terzieta' rispetto all'articolazione a cui spettano compiti ispettivi; 7) cura il contenzioso dell'Agenzia, con particolare riguardo a quello connesso ai procedimenti sanzionatori, assicurando il supporto all'Avvocatura dello Stato; c) il Servizio Certificazione e vigilanza sovrintende ai processi di certificazione, qualificazione e valutazione, nonche' cura l'attivita' ispettiva e di verifica attribuiti all'Agenzia dalla normativa vigente. A tal fine, in particolare: 1) cura le attivita' svolte dall'Agenzia in materia di certificazione di sicurezza cibernetica; 2) cura le attivita' dell'Agenzia quale CVCN, anche ai sensi del decreto-legge perimetro e del decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56; 3) cura e svolge l'attivita' ispettiva e di verifica di competenza dell'Agenzia concernente gli adempimenti di cybersicurezza nei confronti dei soggetti pubblici e privati; 4) cura le attivita' dell'Agenzia volte and assicurare l'attuazione del regolamento (UE) n. 2019/881 e, in particolare, garantisce che l'Agenzia assolva al ruolo di autorita' nazionale di certificazione in materia di cybersicurezza, ai sensi dell'articolo 58 del regolamento (UE) n. 2019/881, e partecipi ai lavori del Gruppo europeo per la certificazione della cybersicurezza, ai sensi dell'articolo 62 del regolamento (UE) n. 2019/881; 5) e' responsabile della promozione e dello svolgimento delle attivita' volte alla qualificazione dei servizi cloud per la pubblica amministrazione; 6) cura e promuove le attivita' volte allo sviluppo di algoritmi proprietari e alla valorizzazione della crittografia come strumento di cybersicurezza; d) il Servizio Operazioni contribuisce alla preparazione, prevenzione, gestione e risposta a eventi cibernetici. Nell'ambito del Servizio Operazioni e' collocato il CSIRT Italia. Il Servizio Operazioni, a tal fine, in particolare: 1) assicura il funzionamento del CSIRT Italia sulla base dei compiti che sono ad esso attribuiti per legge, tra i quali il monitoraggio e l'analisi dei rischi e delle minacce cyber a livello nazionale, l'emissione di preallarmi, allerte, annunci e la divulgazione di rilevanti informazioni agli operatori interessati, la ricezione di notifiche obbligatorie e volontarie di incidenti cyber, l'analisi degli incidenti e la definizione di modalita' di intervento e risposta; 2) cura lo sviluppo e il mantenimento di capacita' nazionali di prevenzione, monitoraggio, rilevamento, analisi e risposta, per prevenire e gestire gli incidenti di sicurezza informatica e gli attacchi informatici, anche attraverso il CSIRT Italia; 3) e' responsabile per le attivita' inerenti alla preparazione, prevenzione, gestione e risposta a eventi cibernetici di natura critica, supportando le attivita' volte al piu' celere ripristino della situazione ante-evento da parte dei soggetti interessati; 4) coordina e partecipa a esercitazioni nazionali e internazionali che riguardano aspetti tecnici e operativi di gestione di eventi o crisi con profili di cybersicurezza; 5) supporta il Nucleo per la cybersicurezza nella programmazione e pianificazione operativa della risposta a situazioni di crisi cibernetica da parte delle amministrazioni e degli operatori privati interessati, nonche' nelle attivita' cui all'articolo 10, comma 4, del decreto-legge, curando gli opportuni raccordi con il Gabinetto; 6) valuta e promuove, in raccordo con le amministrazioni competenti per specifici profili della cybersicurezza, procedure di condivisione delle informazioni, anche con gli operatori privati interessati, ai fini della diffusione di allarmi relativi ad eventi cibernetici e per la gestione delle crisi; e) il Servizio Programmi industriali, tecnologici, di ricerca e formazione svolge funzioni di indirizzo e gestione delle attivita' svolte dall'Agenzia per promuovere l'autonomia strategica e la sovranita' tecnologica nazionale. A tal fine, in particolare: 1) cura le attivita' dell'Agenzia volte alla promozione, allo sviluppo e al finanziamento di specifici progetti e iniziative nazionali e internazionali in materia di cybersicurezza, volti anche a favorire il trasferimento tecnologico dei risultati della ricerca; cura la partecipazione dell'Agenzia a progetti europei e internazionali, nonche' l'utilizzazione dei fondi europei; 2) si occupa dello sviluppo di competenze e capacita' industriali, tecnologiche e scientifiche, mediante il coinvolgimento del sistema dell'universita' e della ricerca, nonche' del sistema produttivo nazionale; 3) e' responsabile per la promozione e la costituzione di aree dedicate allo sviluppo di capacita' e competenze nei settori avanzati della cybersicurezza, nonche' alla realizzazione di studi di fattibilita' e di analisi valutative finalizzati a tale scopo; 4) svolge i compiti necessari ad assicurare il funzionamento del Centro nazionale di coordinamento in materia di cybersicurezza nell'ambito industriale, tecnologico e della ricerca; 5) cura le attivita' necessarie alla costituzione ed alla partecipazione a partenariati pubblico-privato sul territorio nazionale, nonche' - previa autorizzazione del Presidente del Consiglio dei ministri, resa anche in seno al Comitato di Vertice - a consorzi, fondazioni o societa' con soggetti pubblici e privati, italiani e stranieri; 6) promuove iniziative di formazione, tra le quali quelle riservate ai giovani che aderiscono al servizio civile, nonche' di crescita tecnico-professionale e qualificazione delle risorse umane in materia di cybersicurezza, anche sulla base di convenzioni con soggetti pubblici e privati; f) il Servizio risorse umane e strumentali svolge funzioni di indirizzo e gestione dell'attivita' amministrativa dell'Agenzia. A tal fine, in particolare: 1) assicura la corretta ed efficace gestione del personale dell'Agenzia, svolgendo funzioni di carattere ordinamentale e procedurale in materia di reclutamento, incarichi, mobilita', formazione, sviluppo professionale, valutazione del personale, gestione dello stato giuridico, trattamento economico e di fine rapporto, trattamento pensionistico; 2) cura e coordina l'acquisizione, la gestione, la crescita e lo sviluppo professionale del personale dell'Agenzia, nonche' la promozione delle pari opportunita'; 3) provvede alle ispezioni, inchieste e controlli interni su richiesta del direttore generale o del Vice direttore generale; 4) definisce il sistema di valutazione del personale, i piani di assunzione e formazione, al fine di garantirne lo sviluppo professionale e di assicurare la presenza delle competenze necessarie ai fabbisogni dell'Agenzia, nonche' di migliorare le prestazioni nell'ambito delle posizioni organizzative di appartenenza e sviluppare le potenzialita' dei singoli dipendenti, secondo un processo di adeguamento delle competenze funzionale all'evoluzione dell'Agenzia; 5) assicura l'applicazione del decreto legislativo 9 aprile 2008, n. 81, in materia di tutela della salute e della sicurezza nei luoghi di lavoro; 6) sovrintende alle politiche di bilancio, agli obblighi contabili, agli adempimenti fiscali e alla gestione degli aspetti finanziari e di tesoreria, curandone i relativi processi e procedure, anche con l'eventuale supporto degli altri Servizi interessati; 7) cura e coordina le politiche di approvvigionamento e i relativi processi sulla base delle esigenze manifestate dai Servizi interessati; 8) gestisce le attivita' relative alla logistica e alla manutenzione degli immobili e delle dotazioni dell'Agenzia; 9) cura i processi di pianificazione, sviluppo, ottimizzazione, elaborazione delle future esigenze e manutenzione delle infrastrutture, dei sistemi tecnologici e di telecomunicazione in dotazione all'Agenzia, assicurandone la gestione tecnica ed il funzionamento, anche in relazione al rispetto delle norme e dei requisiti in materia di sicurezza informatica e di tutela dei dati personali; 10) cura il contenzioso in materia di personale e di attivita' negoziale, assicurando il supporto all'Avvocatura dello Stato; g) il Servizio Strategie e cooperazione definisce gli indirizzi strategici e gli strumenti di policy nazionali in materia di cybersicurezza, ne monitora l'attuazione, nonche' mantiene e sviluppa le relazioni e la cooperazione internazionale dell'Agenzia. A tal fine, in particolare: 1) elabora le politiche nazionali in materia di cybersicurezza e, in particolare, predispone ed aggiorna la strategia nazionale di cybersicurezza, monitorandone la concreta attuazione; 2) contribuisce all'organizzazione di esercitazioni nazionali e internazionali in materia di cybersicurezza, definendo gli scenari di riferimento; 3) promuove, gestisce e supporta le relazioni internazionali dell'Agenzia, sia a livello bilaterale sia multilaterale, anche attraverso l'individuazione o la proposizione di rilevanti iniziative; 4) coordina e svolge attivita' di cooperazione internazionale in materia di cybersicurezza in cui e' coinvolta l'Agenzia, in particolare, curando i rapporti con i competenti organismi, istituzioni ed enti dell'Unione europea e di altre organizzazioni internazionali, seguendo nelle competenti sedi istituzionali internazionali le tematiche di cybersicurezza, nonche' assicurando, attraverso il raccordo con le altre amministrazioni nazionali, la definizione e il mantenimento di posizioni nazionali unitarie e coerenti in materia di cybersicurezza; 5) promuove, nei confronti delle altre amministrazioni, delle organizzazioni private, incluse le piccole e le medie imprese, e della societa' civile nel pertinente insieme, la consapevolezza in materia di cybersicurezza, al fine di contribuire allo sviluppo di una cultura nazionale in materia.
Note all'art. 12: - Per il testo dell'articolo 6, comma 1, del decreto-legge 14 giugno 2021, n. 82 si veda nelle note all'articolo 2. - Si riporta il testo dell'articolo 30 della citata legge 3 agosto 2007, n. 124: «Art. 30. (Comitato parlamentare per la sicurezza della Repubblica). - 1. E' istituito il Comitato parlamentare per la sicurezza della Repubblica, composto da cinque deputati e cinque senatori, nominati entro venti giorni dall'inizio di ogni legislatura dai Presidenti dei due rami del Parlamento in proporzione al numero dei componenti dei gruppi parlamentari, garantendo comunque la rappresentanza paritaria della maggioranza e delle opposizioni e tenendo conto della specificita' dei compiti del Comitato. 2. Il Comitato verifica, in modo sistematico e continuativo, che l'attivita' del Sistema di informazione per la sicurezza si svolga nel rispetto della Costituzione, delle leggi, nell'esclusivo interesse e per la difesa della Repubblica e delle sue istituzioni. 2-bis. E' compito del Comitato accertare il rispetto di quanto stabilito dall'articolo 8, comma 1, nonche' verificare che le attivita' di informazione previste dalla presente legge svolte da organismi pubblici non appartenenti al Sistema di informazione per la sicurezza rispondano ai principi della presente legge. 3. L'ufficio di presidenza, composto dal presidente, da un vicepresidente e da un segretario, e' eletto dai componenti del Comitato a scrutinio segreto. Il presidente e' eletto tra i componenti appartenenti ai gruppi di opposizione e per la sua elezione e' necessaria la maggioranza assoluta dei componenti.". 4. Se nessuno riporta tale maggioranza, si procede al ballottaggio tra i due candidati che hanno ottenuto il maggiore numero di voti. 5. In caso di parita' di voti e' proclamato eletto o entra in ballottaggio il piu' anziano di eta'. 6. Per l'elezione, rispettivamente, del vicepresidente e del segretario, ciascun componente scrive sulla propria scheda un solo nome. Sono eletti coloro che hanno ottenuto il maggior numero di voti. In caso di parita' di voti si procede ai sensi del comma 5.». - Si riporta il testo dell'articolo 7, comma 1, lettera l) del decreto-legge 14 giugno 2021, n. 82 (Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale): «Art. 7. (Funzioni dell'Agenzia per la cybersicurezza nazionale). - 1. L'Agenzia: a)- i) (omissis) l) provvede, sulla base delle attivita' di competenza del Nucleo per la cybersicurezza di cui all'articolo 8, alle attivita' necessarie per l'attuazione e il controllo dell'esecuzione dei provvedimenti assunti dal Presidente del Consiglio dei ministri ai sensi dell'articolo 5 del decreto-legge perimetro;». - Si riportano il testo degli articoli 51 e 71 del citato decreto legislativo 7 marzo 2005, n. 82 (Codice dell'amministrazione digitale): «Art. 51. (Sicurezza e disponibilita' dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazioni). - Con le Linee guida sono individuate le soluzioni tecniche idonee a garantire la protezione, la disponibilita', l'accessibilita', l'integrita' e la riservatezza dei dati e la continuita' operativa dei sistemi e delle infrastrutture. 1-bis. AgID attua, per quanto di competenza e in raccordo con le altre autorita' competenti in materia, il Quadro strategico nazionale per la sicurezza dello spazio cibernetico e il Piano nazionale per la sicurezza cibernetica e la sicurezza informatica. AgID, in tale ambito: a) coordina, tramite il Computer Emergency Response Team Pubblica Amministrazione (CERT-PA) istituito nel suo ambito, le iniziative di prevenzione e gestione degli incidenti di sicurezza informatici; b) promuove intese con le analoghe strutture internazionali; c) segnala al Ministro per la semplificazione e la pubblica amministrazione il mancato rispetto delle regole tecniche di cui al comma 1 da parte delle pubbliche amministrazioni. 2. I documenti informatici delle pubbliche amministrazioni devono essere custoditi e controllati con modalita' tali da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o non consentito o non conforme alle finalita' della raccolta. 2-bis. 2-ter. I soggetti di cui all'articolo 2, comma 2, aderiscono ogni anno ai programmi di sicurezza preventiva coordinati e promossi da AgID secondo le procedure dettate dalla medesima AgID con le Linee guida. 2-quater. I soggetti di cui articolo 2, comma 2, predispongono, nel rispetto delle Linee guida adottate dall'AgID, piani di emergenza in grado di assicurare la continuita' operativa delle operazioni indispensabili per i servizi erogati e il ritorno alla normale operativita'. Onde garantire quanto previsto, e' possibile il ricorso all'articolo 15 della legge 7 agosto 1990, n. 241, per l'erogazione di servizi applicativi, infrastrutturali e di dati, con ristoro dei soli costi di funzionamento. Per le Amministrazioni dello Stato coinvolte si provvede mediante rimodulazione degli stanziamenti dei pertinenti capitoli di spesa o mediante riassegnazione alla spesa degli importi versati a tale titolo ad apposito capitolo di entrata del bilancio statale.». «Art. 71. (Regole tecniche). - 1. L'AgID, previa consultazione pubblica da svolgersi entro il termine di trenta giorni, sentiti le amministrazioni competenti e il Garante per la protezione dei dati personali nelle materie di competenza, nonche' acquisito il parere della Conferenza unificata, adotta Linee guida contenenti le regole tecniche e di indirizzo per l'attuazione del presente Codice. Le Linee guida divengono efficaci dopo la loro pubblicazione nell'apposita area del sito Internet istituzionale dell'AgID e di essa ne e' data notizia nella Gazzetta Ufficiale della Repubblica italiana. Le Linee guida sono aggiornate o modificate con la procedura di cui al primo periodo. 1-bis. 1-ter. Le regole tecniche di cui al presente codice sono dettate in conformita' ai requisiti tecnici di accessibilita' di cui all'articolo 11 della legge 9 gennaio 2004, n. 4, alle discipline risultanti dal processo di standardizzazione tecnologica a livello internazionale ed alle normative dell'Unione europea. 2.». - Per i riferimenti del decreto-legge 15 marzo 2012, n. 21 si veda nelle note alle premesse. - Il regolamento (UE) n. 2019/881 (Regolamento del Parlamento europeo e del Consiglio relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza»), e' pubblicato nella Gazzetta Ufficiale dell'Unione europea 7 giugno 2019, n. L 151. - Si riporta il testo del comma 4 dell'articolo 10, del citato decreto-legge 14 giugno 2021, n. 82: «4. E' compito del Nucleo, nella composizione per la gestione delle crisi, di cui al comma 3, assicurare che le attivita' di reazione e stabilizzazione di competenza delle diverse amministrazioni ed enti rispetto a situazioni di crisi di natura cibernetica vengano espletate in maniera coordinata secondo quanto previsto dall'articolo 9, comma 1, lettera b).». - Il decreto legislativo 9 aprile 2008, n. 81 (Attuazione dell'articolo 1 della legge 3 agosto 2007, n. 123, in materia di tutela della salute e della sicurezza nei luoghi di lavoro), e' pubblicato nella Gazzetta Ufficiale 30 aprile 2008, n. 101, S.O..