Art. 12
Organizzazione
1. L'Agenzia, nei limiti stabiliti dall'articolo 6, comma 1, del
decreto-legge, e fatto salvo quanto previsto dall'articolo 17, si
articola nei seguenti servizi:
a) Gabinetto;
b) Autorita' e sanzioni;
c) Certificazione e vigilanza;
d) Operazioni;
e) Programmi industriali, tecnologici, di ricerca e formazione;
f) Risorse umane e strumentali;
g) Strategie e cooperazione.
2. Nell'ambito delle competenze e delle funzioni che sono
attribuite per legge all'Agenzia e tenuto conto degli indirizzi che
saranno progressivamente definiti dal Direttore generale:
a) il Gabinetto assicura, a supporto del Direttore generale, il
coordinamento tra i diversi Servizi e articolazioni dell'Agenzia e il
raccordo tra le relative attivita', e svolge funzioni a valenza
generale. In particolare, per tali ultime funzioni, operando in
stretto raccordo con i Servizi e avvalendosi del relativo supporto:
1) assicura le funzioni di gestione dei flussi documentali,
raccolta e canalizzazione di notizie, conoscenze ed esperienze,
gestione del protocollo informatico e degli archivi dati, nonche' di
eventi suscettibili di immediato superiore apprezzamento;
2) assicura il supporto necessario ai fini della tutela della
riservatezza dei dati personali;
3) assolve agli obblighi di informazione e comunicazione al
Parlamento e al Comitato parlamentare per la sicurezza della
Repubblica (COPASIR) di cui all'articolo 30 della legge 3 agosto
2007, n. 124;
4) cura e promuove, anche attraverso il costante monitoraggio
dell'attivita' parlamentare e di Governo, l'espressione di pareri non
vincolanti su rilevanti iniziative legislative o regolamentari,
ovvero ne propone l'adozione, al fine della definizione e del
mantenimento di un quadro giuridico nazionale aggiornato e coerente
nel dominio della cybersicurezza, tenendo anche conto degli
orientamenti e degli sviluppi in ambito internazionale;
5) sulla base delle attivita' di competenza del Nucleo per la
cybersicurezza, cura le attivita' di cui all'articolo 7, comma 1,
lettera l), del decreto-legge;
6) supporta il Nucleo per la cybersicurezza, fermo restando
quanto previsto dalla lettera d), numero 5);
7) cura le collaborazioni istituzionali con altri organi dello
Stato e in generale con le altre amministrazioni, ivi compreso il
Garante per la protezione dei dati personali e le altre Autorita'
indipendenti, le Forze armate e di polizia e gli altri enti pubblici;
8) svolge studi e analisi su rilevanti iniziative, politiche e
strategie in materia di cybersicurezza, laddove necessari per
informare e supportare i processi decisionali dell'Agenzia;
b) il Servizio autorita' e sanzioni assicura lo svolgimento della
funzione di regolamentazione e la connessa attivita' sanzionatoria
attribuite all'Agenzia dalla normativa vigente. A tal fine, in
particolare:
1) cura gli adempimenti delle disposizioni del decreto
legislativo NIS, con particolare riferimento a quanto previsto in
materia di identificazione degli operatori di servizi essenziali e
fornitori di servizi digitali e gestione dei rispettivi elenchi,
determinazione delle soglie di incidenti, definizione delle misure di
sicurezza, raccordo con le autorita' di settore, presidenza del
Comitato tecnico di raccordo;
2) cura gli adempimenti delle disposizioni del decreto-legge
perimetro;
3) cura la definizione delle misure di sicurezza e delle soglie
di significativita' degli incidenti riguardanti le reti pubbliche di
comunicazione o servizi di comunicazione elettronica accessibili al
pubblico, ai sensi del Codice delle comunicazioni elettroniche;
4) cura l'attuazione degli articoli 51 e 71 del Codice
dell'amministrazione digitale di cui al decreto legislativo 7 marzo
2005, n. 82, con particolare riferimento alla previsione di linee
guida contenenti regole tecniche di cybersicurezza della pubblica
amministrazione;
5) stabilisce i livelli minimi di sicurezza, capacita'
elaborativa, risparmio energetico e affidabilita' delle
infrastrutture digitali per la pubblica amministrazione;
6) provvede all'irrogazione delle sanzioni in caso di
inadempimento degli obblighi stabiliti dalle normative vigenti in
materia di cybersicurezza di competenza dell'Agenzia, garantendo la
necessaria partecipazione procedimentale degli interessati ed una
adeguata terzieta' rispetto all'articolazione a cui spettano compiti
ispettivi;
7) cura il contenzioso dell'Agenzia, con particolare riguardo a
quello connesso ai procedimenti sanzionatori, assicurando il supporto
all'Avvocatura dello Stato;
c) il Servizio Certificazione e vigilanza sovrintende ai processi
di certificazione, qualificazione e valutazione, nonche' cura
l'attivita' ispettiva e di verifica attribuiti all'Agenzia dalla
normativa vigente. A tal fine, in particolare:
1) cura le attivita' svolte dall'Agenzia in materia di
certificazione di sicurezza cibernetica;
2) cura le attivita' dell'Agenzia quale CVCN, anche ai sensi
del decreto-legge perimetro e del decreto-legge 15 marzo 2012, n. 21,
convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56;
3) cura e svolge l'attivita' ispettiva e di verifica di
competenza dell'Agenzia concernente gli adempimenti di cybersicurezza
nei confronti dei soggetti pubblici e privati;
4) cura le attivita' dell'Agenzia volte and assicurare
l'attuazione del regolamento (UE) n. 2019/881 e, in particolare,
garantisce che l'Agenzia assolva al ruolo di autorita' nazionale di
certificazione in materia di cybersicurezza, ai sensi dell'articolo
58 del regolamento (UE) n. 2019/881, e partecipi ai lavori del Gruppo
europeo per la certificazione della cybersicurezza, ai sensi
dell'articolo 62 del regolamento (UE) n. 2019/881;
5) e' responsabile della promozione e dello svolgimento delle
attivita' volte alla qualificazione dei servizi cloud per la pubblica
amministrazione;
6) cura e promuove le attivita' volte allo sviluppo di
algoritmi proprietari e alla valorizzazione della crittografia come
strumento di cybersicurezza;
d) il Servizio Operazioni contribuisce alla preparazione,
prevenzione, gestione e risposta a eventi cibernetici. Nell'ambito
del Servizio Operazioni e' collocato il CSIRT Italia. Il Servizio
Operazioni, a tal fine, in particolare:
1) assicura il funzionamento del CSIRT Italia sulla base dei
compiti che sono ad esso attribuiti per legge, tra i quali il
monitoraggio e l'analisi dei rischi e delle minacce cyber a livello
nazionale, l'emissione di preallarmi, allerte, annunci e la
divulgazione di rilevanti informazioni agli operatori interessati, la
ricezione di notifiche obbligatorie e volontarie di incidenti cyber,
l'analisi degli incidenti e la definizione di modalita' di intervento
e risposta;
2) cura lo sviluppo e il mantenimento di capacita' nazionali di
prevenzione, monitoraggio, rilevamento, analisi e risposta, per
prevenire e gestire gli incidenti di sicurezza informatica e gli
attacchi informatici, anche attraverso il CSIRT Italia;
3) e' responsabile per le attivita' inerenti alla preparazione,
prevenzione, gestione e risposta a eventi cibernetici di natura
critica, supportando le attivita' volte al piu' celere ripristino
della situazione ante-evento da parte dei soggetti interessati;
4) coordina e partecipa a esercitazioni nazionali e
internazionali che riguardano aspetti tecnici e operativi di gestione
di eventi o crisi con profili di cybersicurezza;
5) supporta il Nucleo per la cybersicurezza nella
programmazione e pianificazione operativa della risposta a situazioni
di crisi cibernetica da parte delle amministrazioni e degli operatori
privati interessati, nonche' nelle attivita' cui all'articolo 10,
comma 4, del decreto-legge, curando gli opportuni raccordi con il
Gabinetto;
6) valuta e promuove, in raccordo con le amministrazioni
competenti per specifici profili della cybersicurezza, procedure di
condivisione delle informazioni, anche con gli operatori privati
interessati, ai fini della diffusione di allarmi relativi ad eventi
cibernetici e per la gestione delle crisi;
e) il Servizio Programmi industriali, tecnologici, di ricerca e
formazione svolge funzioni di indirizzo e gestione delle attivita'
svolte dall'Agenzia per promuovere l'autonomia strategica e la
sovranita' tecnologica nazionale. A tal fine, in particolare:
1) cura le attivita' dell'Agenzia volte alla promozione, allo
sviluppo e al finanziamento di specifici progetti e iniziative
nazionali e internazionali in materia di cybersicurezza, volti anche
a favorire il trasferimento tecnologico dei risultati della ricerca;
cura la partecipazione dell'Agenzia a progetti europei e
internazionali, nonche' l'utilizzazione dei fondi europei;
2) si occupa dello sviluppo di competenze e capacita'
industriali, tecnologiche e scientifiche, mediante il coinvolgimento
del sistema dell'universita' e della ricerca, nonche' del sistema
produttivo nazionale;
3) e' responsabile per la promozione e la costituzione di aree
dedicate allo sviluppo di capacita' e competenze nei settori avanzati
della cybersicurezza, nonche' alla realizzazione di studi di
fattibilita' e di analisi valutative finalizzati a tale scopo;
4) svolge i compiti necessari ad assicurare il funzionamento
del Centro nazionale di coordinamento in materia di cybersicurezza
nell'ambito industriale, tecnologico e della ricerca;
5) cura le attivita' necessarie alla costituzione ed alla
partecipazione a partenariati pubblico-privato sul territorio
nazionale, nonche' - previa autorizzazione del Presidente del
Consiglio dei ministri, resa anche in seno al Comitato di Vertice - a
consorzi, fondazioni o societa' con soggetti pubblici e privati,
italiani e stranieri;
6) promuove iniziative di formazione, tra le quali quelle
riservate ai giovani che aderiscono al servizio civile, nonche' di
crescita tecnico-professionale e qualificazione delle risorse umane
in materia di cybersicurezza, anche sulla base di convenzioni con
soggetti pubblici e privati;
f) il Servizio risorse umane e strumentali svolge funzioni di
indirizzo e gestione dell'attivita' amministrativa dell'Agenzia. A
tal fine, in particolare:
1) assicura la corretta ed efficace gestione del personale
dell'Agenzia, svolgendo funzioni di carattere ordinamentale e
procedurale in materia di reclutamento, incarichi, mobilita',
formazione, sviluppo professionale, valutazione del personale,
gestione dello stato giuridico, trattamento economico e di fine
rapporto, trattamento pensionistico;
2) cura e coordina l'acquisizione, la gestione, la crescita e
lo sviluppo professionale del personale dell'Agenzia, nonche' la
promozione delle pari opportunita';
3) provvede alle ispezioni, inchieste e controlli interni su
richiesta del direttore generale o del Vice direttore generale;
4) definisce il sistema di valutazione del personale, i piani
di assunzione e formazione, al fine di garantirne lo sviluppo
professionale e di assicurare la presenza delle competenze necessarie
ai fabbisogni dell'Agenzia, nonche' di migliorare le prestazioni
nell'ambito delle posizioni organizzative di appartenenza e
sviluppare le potenzialita' dei singoli dipendenti, secondo un
processo di adeguamento delle competenze funzionale all'evoluzione
dell'Agenzia;
5) assicura l'applicazione del decreto legislativo 9 aprile
2008, n. 81, in materia di tutela della salute e della sicurezza nei
luoghi di lavoro;
6) sovrintende alle politiche di bilancio, agli obblighi
contabili, agli adempimenti fiscali e alla gestione degli aspetti
finanziari e di tesoreria, curandone i relativi processi e procedure,
anche con l'eventuale supporto degli altri Servizi interessati;
7) cura e coordina le politiche di approvvigionamento e i
relativi processi sulla base delle esigenze manifestate dai Servizi
interessati;
8) gestisce le attivita' relative alla logistica e alla
manutenzione degli immobili e delle dotazioni dell'Agenzia;
9) cura i processi di pianificazione, sviluppo, ottimizzazione,
elaborazione delle future esigenze e manutenzione delle
infrastrutture, dei sistemi tecnologici e di telecomunicazione in
dotazione all'Agenzia, assicurandone la gestione tecnica ed il
funzionamento, anche in relazione al rispetto delle norme e dei
requisiti in materia di sicurezza informatica e di tutela dei dati
personali;
10) cura il contenzioso in materia di personale e di attivita'
negoziale, assicurando il supporto all'Avvocatura dello Stato;
g) il Servizio Strategie e cooperazione definisce gli indirizzi
strategici e gli strumenti di policy nazionali in materia di
cybersicurezza, ne monitora l'attuazione, nonche' mantiene e sviluppa
le relazioni e la cooperazione internazionale dell'Agenzia. A tal
fine, in particolare:
1) elabora le politiche nazionali in materia di cybersicurezza
e, in particolare, predispone ed aggiorna la strategia nazionale di
cybersicurezza, monitorandone la concreta attuazione;
2) contribuisce all'organizzazione di esercitazioni nazionali e
internazionali in materia di cybersicurezza, definendo gli scenari di
riferimento;
3) promuove, gestisce e supporta le relazioni internazionali
dell'Agenzia, sia a livello bilaterale sia multilaterale, anche
attraverso l'individuazione o la proposizione di rilevanti
iniziative;
4) coordina e svolge attivita' di cooperazione internazionale
in materia di cybersicurezza in cui e' coinvolta l'Agenzia, in
particolare, curando i rapporti con i competenti organismi,
istituzioni ed enti dell'Unione europea e di altre organizzazioni
internazionali, seguendo nelle competenti sedi istituzionali
internazionali le tematiche di cybersicurezza, nonche' assicurando,
attraverso il raccordo con le altre amministrazioni nazionali, la
definizione e il mantenimento di posizioni nazionali unitarie e
coerenti in materia di cybersicurezza;
5) promuove, nei confronti delle altre amministrazioni, delle
organizzazioni private, incluse le piccole e le medie imprese, e
della societa' civile nel pertinente insieme, la consapevolezza in
materia di cybersicurezza, al fine di contribuire allo sviluppo di
una cultura nazionale in materia.
Note all'art. 12:
- Per il testo dell'articolo 6, comma 1, del
decreto-legge 14 giugno 2021, n. 82 si veda nelle note
all'articolo 2.
- Si riporta il testo dell'articolo 30 della citata
legge 3 agosto 2007, n. 124:
«Art. 30. (Comitato parlamentare per la sicurezza
della Repubblica). - 1. E' istituito il Comitato
parlamentare per la sicurezza della Repubblica, composto da
cinque deputati e cinque senatori, nominati entro venti
giorni dall'inizio di ogni legislatura dai Presidenti dei
due rami del Parlamento in proporzione al numero dei
componenti dei gruppi parlamentari, garantendo comunque la
rappresentanza paritaria della maggioranza e delle
opposizioni e tenendo conto della specificita' dei compiti
del Comitato.
2. Il Comitato verifica, in modo sistematico e
continuativo, che l'attivita' del Sistema di informazione
per la sicurezza si svolga nel rispetto della Costituzione,
delle leggi, nell'esclusivo interesse e per la difesa della
Repubblica e delle sue istituzioni.
2-bis. E' compito del Comitato accertare il rispetto di
quanto stabilito dall'articolo 8, comma 1, nonche'
verificare che le attivita' di informazione previste dalla
presente legge svolte da organismi pubblici non
appartenenti al Sistema di informazione per la sicurezza
rispondano ai principi della presente legge.
3. L'ufficio di presidenza, composto dal presidente, da
un vicepresidente e da un segretario, e' eletto dai
componenti del Comitato a scrutinio segreto. Il presidente
e' eletto tra i componenti appartenenti ai gruppi di
opposizione e per la sua elezione e' necessaria la
maggioranza assoluta dei componenti.".
4. Se nessuno riporta tale maggioranza, si procede al
ballottaggio tra i due candidati che hanno ottenuto il
maggiore numero di voti.
5. In caso di parita' di voti e' proclamato eletto o
entra in ballottaggio il piu' anziano di eta'.
6. Per l'elezione, rispettivamente, del vicepresidente
e del segretario, ciascun componente scrive sulla propria
scheda un solo nome. Sono eletti coloro che hanno ottenuto
il maggior numero di voti. In caso di parita' di voti si
procede ai sensi del comma 5.».
- Si riporta il testo dell'articolo 7, comma 1, lettera
l) del decreto-legge 14 giugno 2021, n. 82 (Disposizioni
urgenti in materia di cybersicurezza, definizione
dell'architettura nazionale di cybersicurezza e istituzione
dell'Agenzia per la cybersicurezza nazionale):
«Art. 7. (Funzioni dell'Agenzia per la cybersicurezza
nazionale). - 1. L'Agenzia:
a)- i) (omissis)
l) provvede, sulla base delle attivita' di
competenza del Nucleo per la cybersicurezza di cui
all'articolo 8, alle attivita' necessarie per l'attuazione
e il controllo dell'esecuzione dei provvedimenti assunti
dal Presidente del Consiglio dei ministri ai sensi
dell'articolo 5 del decreto-legge perimetro;».
- Si riportano il testo degli articoli 51 e 71 del
citato decreto legislativo 7 marzo 2005, n. 82 (Codice
dell'amministrazione digitale):
«Art. 51. (Sicurezza e disponibilita' dei dati, dei
sistemi e delle infrastrutture delle pubbliche
amministrazioni). - Con le Linee guida sono individuate le
soluzioni tecniche idonee a garantire la protezione, la
disponibilita', l'accessibilita', l'integrita' e la
riservatezza dei dati e la continuita' operativa dei
sistemi e delle infrastrutture.
1-bis. AgID attua, per quanto di competenza e in
raccordo con le altre autorita' competenti in materia, il
Quadro strategico nazionale per la sicurezza dello spazio
cibernetico e il Piano nazionale per la sicurezza
cibernetica e la sicurezza informatica. AgID, in tale
ambito:
a) coordina, tramite il Computer Emergency Response
Team Pubblica Amministrazione (CERT-PA) istituito nel suo
ambito, le iniziative di prevenzione e gestione degli
incidenti di sicurezza informatici;
b) promuove intese con le analoghe strutture
internazionali;
c) segnala al Ministro per la semplificazione e la
pubblica amministrazione il mancato rispetto delle regole
tecniche di cui al comma 1 da parte delle pubbliche
amministrazioni.
2. I documenti informatici delle pubbliche
amministrazioni devono essere custoditi e controllati con
modalita' tali da ridurre al minimo i rischi di
distruzione, perdita, accesso non autorizzato o non
consentito o non conforme alle finalita' della raccolta.
2-bis.
2-ter. I soggetti di cui all'articolo 2, comma 2,
aderiscono ogni anno ai programmi di sicurezza preventiva
coordinati e promossi da AgID secondo le procedure dettate
dalla medesima AgID con le Linee guida.
2-quater. I soggetti di cui articolo 2, comma 2,
predispongono, nel rispetto delle Linee guida adottate
dall'AgID, piani di emergenza in grado di assicurare la
continuita' operativa delle operazioni indispensabili per i
servizi erogati e il ritorno alla normale operativita'.
Onde garantire quanto previsto, e' possibile il ricorso
all'articolo 15 della legge 7 agosto 1990, n. 241, per
l'erogazione di servizi applicativi, infrastrutturali e di
dati, con ristoro dei soli costi di funzionamento. Per le
Amministrazioni dello Stato coinvolte si provvede mediante
rimodulazione degli stanziamenti dei pertinenti capitoli di
spesa o mediante riassegnazione alla spesa degli importi
versati a tale titolo ad apposito capitolo di entrata del
bilancio statale.».
«Art. 71. (Regole tecniche). - 1. L'AgID, previa
consultazione pubblica da svolgersi entro il termine di
trenta giorni, sentiti le amministrazioni competenti e il
Garante per la protezione dei dati personali nelle materie
di competenza, nonche' acquisito il parere della Conferenza
unificata, adotta Linee guida contenenti le regole tecniche
e di indirizzo per l'attuazione del presente Codice. Le
Linee guida divengono efficaci dopo la loro pubblicazione
nell'apposita area del sito Internet istituzionale
dell'AgID e di essa ne e' data notizia nella Gazzetta
Ufficiale della Repubblica italiana. Le Linee guida sono
aggiornate o modificate con la procedura di cui al primo
periodo.
1-bis.
1-ter. Le regole tecniche di cui al presente codice
sono dettate in conformita' ai requisiti tecnici di
accessibilita' di cui all'articolo 11 della legge 9 gennaio
2004, n. 4, alle discipline risultanti dal processo di
standardizzazione tecnologica a livello internazionale ed
alle normative dell'Unione europea.
2.».
- Per i riferimenti del decreto-legge 15 marzo 2012, n.
21 si veda nelle note alle premesse.
- Il regolamento (UE) n. 2019/881 (Regolamento del
Parlamento europeo e del Consiglio relativo all'ENISA,
l'Agenzia dell'Unione europea per la cibersicurezza, e alla
certificazione della cibersicurezza per le tecnologie
dell'informazione e della comunicazione, e che abroga il
regolamento (UE) n. 526/2013 («regolamento sulla
cibersicurezza»), e' pubblicato nella Gazzetta Ufficiale
dell'Unione europea 7 giugno 2019, n. L 151.
- Si riporta il testo del comma 4 dell'articolo 10, del
citato decreto-legge 14 giugno 2021, n. 82:
«4. E' compito del Nucleo, nella composizione per la
gestione delle crisi, di cui al comma 3, assicurare che le
attivita' di reazione e stabilizzazione di competenza delle
diverse amministrazioni ed enti rispetto a situazioni di
crisi di natura cibernetica vengano espletate in maniera
coordinata secondo quanto previsto dall'articolo 9, comma
1, lettera b).».
- Il decreto legislativo 9 aprile 2008, n. 81
(Attuazione dell'articolo 1 della legge 3 agosto 2007, n.
123, in materia di tutela della salute e della sicurezza
nei luoghi di lavoro), e' pubblicato nella Gazzetta
Ufficiale 30 aprile 2008, n. 101, S.O..