Art. 9
Strategia nazionale di cybersicurezza
1. La Strategia nazionale di cybersicurezza individua gli obiettivi
strategici e le risorse necessarie per conseguirli, nonche' adeguate
misure strategiche e normative al fine di raggiungere e mantenere un
livello elevato di cybersicurezza.
2. La Strategia nazionale di cybersicurezza comprende almeno:
a) gli obiettivi e le priorita', che riguardano in particolare i
settori di cui agli allegati I, II, III e IV;
b) un quadro di governance per la realizzazione degli obiettivi e
delle priorita' di cui alla lettera a), comprendente le misure
strategiche di cui al comma 3;
c) un quadro di governance che chiarisca i ruoli e le
responsabilita' dei pertinenti portatori di interessi a livello
nazionale, a sostegno della cooperazione e del coordinamento a
livello nazionale tra le Autorita' di settore NIS, l'Agenzia per la
cybersicurezza nazionale, in qualita' di Autorita' nazionale
competente NIS, di Punto di contatto unico NIS e di CSIRT Italia,
nonche' il coordinamento e la cooperazione tra tali organismi e le
altre autorita' competenti ai sensi degli atti giuridici settoriali
dell'Unione europea;
d) un meccanismo per individuare le risorse e una valutazione dei
rischi a livello nazionale;
e) l'individuazione delle misure volte a garantire la
preparazione e la risposta agli incidenti e il successivo recupero
dagli stessi, inclusa la collaborazione tra i settori pubblico e
privato;
f) un elenco delle diverse autorita' e dei diversi portatori di
interessi coinvolti nell'attuazione della strategia nazionale per la
cybersicurezza;
g) un quadro strategico per il coordinamento rafforzato tra le
autorita' competenti ai sensi del presente decreto e le autorita'
competenti di cui al decreto legislativo di recepimento della
direttiva (UE) 2022/2557 ai fini della condivisione delle
informazioni sui rischi, le minacce e gli incidenti sia informatici
che non informatici e dello svolgimento di compiti di vigilanza, in
modo adeguato;
h) un piano, comprendente le misure necessarie, per aumentare il
livello generale di consapevolezza dei cittadini in materia di
sicurezza informatica.
3. Nell'ambito della strategia nazionale per la cybersicurezza,
sono previste, inoltre, le seguenti misure strategiche:
a) la sicurezza informatica nella catena di approvvigionamento
dei prodotti e dei servizi TIC utilizzati dai soggetti per la
fornitura dei loro servizi;
b) l'inclusione e la definizione di requisiti concernenti la
sicurezza informatica per i prodotti e i servizi TIC negli appalti
pubblici, compresi i requisiti relativi alla certificazione della
cybersicurezza, alla cifratura e all'utilizzo di prodotti di
sicurezza informatica open source;
c) la gestione delle vulnerabilita', ivi comprese la promozione e
l'agevolazione della divulgazione coordinata delle vulnerabilita' di
cui all'articolo 16;
d) il sostegno della disponibilita' generale, dell'integrita' e
della riservatezza del nucleo pubblico della rete internet aperta,
compresa, se del caso, la sicurezza informatica dei cavi di
comunicazione sottomarini;
e) la promozione dello sviluppo e dell'integrazione di tecnologie
avanzate rilevanti, volte ad attuare misure all'avanguardia nella
gestione dei rischi per la sicurezza informatica;
f) la promozione e lo sviluppo di attivita' di istruzione,
formazione e sensibilizzazione, di competenze e di iniziative di
ricerca e sviluppo in materia di sicurezza informatica, nonche'
orientamenti sulle buone pratiche e sui controlli concernenti
l'igiene informatica, destinati ai cittadini, ai portatori di
interessi e ai soggetti essenziali e importanti;
g) il sostegno agli istituti accademici e di ricerca volto a
sviluppare, rafforzare e promuovere la diffusione di strumenti di
sicurezza informatica e di infrastrutture di rete sicure;
h) la messa a punto di procedure pertinenti e strumenti adeguati
di condivisione delle informazioni per sostenere la condivisione
volontaria di informazioni sulla sicurezza informatica tra soggetti,
nel rispetto del diritto dell'Unione europea;
i) il rafforzamento dei valori di riferimento relativi alla
resilienza e all'igiene informatica delle piccole e medie imprese, in
particolare quelle escluse dall'ambito di applicazione del presente
decreto, fornendo orientamenti e sostegno facilmente accessibili per
le loro esigenze specifiche;
l) la promozione di una protezione informatica attiva.
4. Ferme restando le funzioni del Presidente del Consiglio dei
ministri di cui all'articolo 2, commi 1 e 2, del decreto-legge 14
giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4
agosto 2021, n. 109, l'Agenzia per la cybersicurezza nazionale
provvede ai sensi dell'articolo 7 del citato decreto-legge n. 82 del
2021, sentite le amministrazioni componenti il Nucleo per la
cybersicurezza, alla periodica valutazione della Strategia nazionale
di cybersicurezza, nonche' al suo aggiornamento ove necessario e
comunque almeno ogni cinque anni sulla base di indicatori chiave di
prestazione, proponendone l'adozione al Presidente del Consiglio dei
ministri con le modalita' di all'articolo 2, comma 1, lettera b), del
medesimo decreto-legge.
Note all'art. 9:
- Per i riferimenti alla direttiva (UE) 2022/2557 del
Parlamento europeo e del Consiglio, del 14 dicembre 2022,
si veda nelle note alle premesse.
- Si riporta il testo dell'articolo 2, del citato
decreto-legge 14 giugno 2021, n. 82.
«Art. 2 (Competenze del Presidente del Consiglio dei
ministri). - 1. Al Presidente del Consiglio dei ministri
sono attribuite in via esclusiva:
a) l'alta direzione e la responsabilita' generale
delle politiche di cybersicurezza;
b) l'adozione della strategia nazionale di
cybersicurezza, sentito il Comitato interministeriale per
la cybersicurezza (CIC) di cui all'articolo 4;
c) la nomina e la revoca del direttore generale e
del vice direttore generale dell'Agenzia per la
cybersicurezza nazionale di cui all'articolo 5, previa
deliberazione del Consiglio dei ministri.
2. Ai fini dell'esercizio delle competenze di cui al
comma 1, lettera a), e dell'attuazione della strategia
nazionale di cybersicurezza, il Presidente del Consiglio
dei ministri, sentito il CIC, impartisce le direttive per
la cybersicurezza ed emana ogni disposizione necessaria per
l'organizzazione e il funzionamento dell'Agenzia per la
cybersicurezza nazionale.
3. Il Presidente del Consiglio dei ministri informa
preventivamente il Comitato parlamentare per la sicurezza
della Repubblica (COPASIR), di cui all'articolo 30 della
legge 3 agosto 2007, n. 124, e le Commissioni parlamentari
competenti circa le nomine di cui al comma 1, lettera c),
del presente articolo».
- Si riporta il testo dell'articolo 7 del citato
decreto-legge 14 giugno 2021, n. 82:
«Art. 7 (Funzioni dell'Agenzia per la cybersicurezza
nazionale). - 1. L'Agenzia:
a) e' Autorita' nazionale per la cybersicurezza e,
in relazione a tale ruolo, assicura, nel rispetto delle
competenze attribuite dalla normativa vigente ad altre
amministrazioni, ferme restando le attribuzioni del
Ministro dell'interno in qualita' di autorita' nazionale di
pubblica sicurezza, ai sensi della legge 1° aprile 1981, n.
121, il coordinamento tra i soggetti pubblici coinvolti in
materia di cybersicurezza a livello nazionale e promuove la
realizzazione di azioni comuni dirette ad assicurare la
sicurezza e la resilienza cibernetiche per lo sviluppo
della digitalizzazione del Paese, del sistema produttivo e
delle pubbliche amministrazioni, nonche' per il
conseguimento dell'autonomia, nazionale ed europea,
riguardo a prodotti e processi informatici di rilevanza
strategica a tutela degli interessi nazionali nel settore.
Per le reti, i sistemi informativi e i servizi informatici
attinenti alla gestione delle informazioni classificate
restano fermi sia quanto previsto dal regolamento adottato
ai sensi dell'articolo 4, comma 3, lettera l), della legge
n. 124 del 2007, sia le competenze dell'Ufficio centrale
per la segretezza di cui all'articolo 9 della medesima
legge n. 124 del 2007;
b) predispone la strategia nazionale di
cybersicurezza;
c) svolge ogni necessaria attivita' di supporto al
funzionamento del Nucleo per la cybersicurezza, di cui
all'articolo 8;
d) e' Autorita' nazionale competente e punto di
contatto unico in materia di sicurezza delle reti e dei
sistemi informativi, per le finalita' di cui al decreto
legislativo NIS, a tutela dell'unita' giuridica
dell'ordinamento, ed e' competente all'accertamento delle
violazioni e all'irrogazione delle sanzioni amministrative
previste dal medesimo decreto;
e) e' Autorita' nazionale di certificazione della
cybersicurezza ai sensi dell'articolo 58 del regolamento
(UE) 2019/881 del Parlamento europeo e del Consiglio, del
17 aprile 2019, e assume tutte le funzioni in materia di
certificazione di sicurezza cibernetica gia' attribuite al
Ministero dello sviluppo economico dall'ordinamento
vigente, comprese quelle relative all'accertamento delle
violazioni e all'irrogazione delle sanzioni; nello
svolgimento dei compiti di cui alla presente lettera:
1) accredita, ai sensi dell'articolo 60,
paragrafo 1, del regolamento (UE) 2019/881 del Parlamento
europeo e del Consiglio, le strutture specializzate del
Ministero della difesa e del Ministero dell'interno quali
organismi di valutazione della conformita' per i sistemi di
rispettiva competenza;
2) delega, ai sensi dell'articolo 56, paragrafo
6, lettera b), del regolamento (UE) 2019/881 del Parlamento
europeo e del Consiglio, il Ministero della difesa e il
Ministero dell'interno, attraverso le rispettive strutture
accreditate di cui al numero 1) della presente lettera, al
rilascio del certificato europeo di sicurezza cibernetica;
f) assume tutte le funzioni in materia di
cybersicurezza gia' attribuite dalle disposizioni vigenti
al Ministero dello sviluppo economico, ivi comprese quelle
relative:
1) al perimetro di sicurezza nazionale
cibernetica, di cui al decreto-legge perimetro e ai
relativi provvedimenti attuativi, ivi incluse le funzioni
attribuite al Centro di valutazione e certificazione
nazionale ai sensi del decreto-legge perimetro, le
attivita' di ispezione e verifica di cui all'articolo 1,
comma 6, lettera c), del decreto-legge perimetro e quelle
relative all'accertamento delle violazioni e
all'irrogazione delle sanzioni amministrative previste dal
medesimo decreto, fatte salve quelle di cui all'articolo 3
del regolamento adottato con decreto del Presidente del
Consiglio dei ministri 30 luglio 2020, n. 131;
2) alla sicurezza e all'integrita' delle
comunicazioni elettroniche, di cui agli articoli 16-bis e
16-ter del decreto legislativo 1° agosto 2003, n. 259, e
relative disposizioni attuative;
3) alla sicurezza delle reti e dei sistemi
informativi, di cui al decreto legislativo NIS;
g) partecipa, per gli ambiti di competenza, al
gruppo di coordinamento istituito ai sensi dei regolamenti
di cui all'articolo 1, comma 8, del decreto-legge 15 marzo
2012, n. 21, convertito, con modificazioni, dalla legge 11
maggio 2012, n. 56;
h) assume tutte le funzioni attribuite alla
Presidenza del Consiglio dei ministri in materia di
perimetro di sicurezza nazionale cibernetica, di cui al
decreto-legge perimetro e ai relativi provvedimenti
attuativi, ivi incluse le attivita' di ispezione e verifica
di cui all'articolo 1, comma 6, lettera c), del
decreto-legge perimetro e quelle relative all'accertamento
delle violazioni e all'irrogazione delle sanzioni
amministrative previste dal medesimo decreto, fatte salve
quelle di cui all'articolo 3 del regolamento adottato con
decreto del Presidente del Consiglio dei ministri n. 131
del 2020;
i) assume tutte le funzioni gia' attribuite al
Dipartimento delle informazioni per la sicurezza (DIS), di
cui all'articolo 4 della legge 3 agosto 2007, n. 124, dal
decreto-legge perimetro e dai relativi provvedimenti
attuativi e supporta il Presidente del Consiglio dei
ministri ai fini dell'articolo 1, comma 19-bis, del
decreto-legge perimetro;
l) provvede, sulla base delle attivita' di
competenza del Nucleo per la cybersicurezza di cui
all'articolo 8, alle attivita' necessarie per l'attuazione
e il controllo dell'esecuzione dei provvedimenti assunti
dal Presidente del Consiglio dei ministri ai sensi
dell'articolo 5 del decreto-legge perimetro;
m) assume tutte le funzioni in materia di
cybersicurezza gia' attribuite all'Agenzia per l'Italia
digitale dalle disposizioni vigenti e, in particolare,
quelle di cui all'articolo 51 del decreto legislativo 7
marzo 2005, n. 82, nonche' quelle in materia di adozione di
linee guida contenenti regole tecniche di cybersicurezza ai
sensi dell'articolo 71 del medesimo decreto legislativo.
L'Agenzia assume, altresi', i compiti di cui all'articolo
33-septies, comma 4, del decreto-legge 18 ottobre 2012, n.
179, convertito, con modificazioni, dalla legge 17 dicembre
2012, n. 221, gia' attribuiti all'Agenzia per l'Italia
digitale;
m-bis) provvede, anche attraverso un'apposita
sezione nell'ambito della strategia di cui alla lettera b),
allo sviluppo e alla diffusione di standard, linee guida e
raccomandazioni al fine di rafforzare la cybersicurezza dei
sistemi informatici, alla valutazione della sicurezza dei
sistemi crittografici nonche' all'organizzazione e alla
gestione di attivita' di divulgazione finalizzate a
promuovere l'utilizzo della crittografia, anche a vantaggio
della tecnologia blockchain, come strumento di
cybersicurezza. L'Agenzia, anche per il rafforzamento
dell'autonomia industriale e tecnologica dell'Italia,
promuove altresi' la collaborazione con centri universitari
e di ricerca per la valorizzazione dello sviluppo di nuovi
algoritmi proprietari, la ricerca e il conseguimento di
nuove capacita' crittografiche nazionali nonche' la
collaborazione internazionale con gli organismi esteri che
svolgono analoghe funzioni. A tale fine, e' istituito
presso l'Agenzia, nell'ambito delle risorse umane,
strumentali e finanziarie disponibili a legislazione
vigente e senza nuovi o maggiori oneri a carico della
finanza pubblica, il Centro nazionale di crittografia, il
cui funzionamento e' disciplinato con provvedimento del
direttore generale dell'Agenzia stessa. Il Centro nazionale
di crittografia svolge le funzioni di centro di competenza
nazionale per tutti gli aspetti della crittografia in
ambito non classificato, ferme restando le competenze
dell'Ufficio centrale per la segretezza, di cui
all'articolo 9 della legge 3 agosto 2007, n. 124, con
riferimento alle informazioni e alle attivita' previste dal
regolamento adottato ai sensi dell'articolo 4, comma 3,
lettera l), della citata legge n. 124 del 2007, nonche' le
competenze degli organismi di cui agli articoli 4, 6 e 7
della medesima legge;
m-ter) provvede alla qualificazione dei servizi
cloud per la pubblica amministrazione nel rispetto della
disciplina dell'Unione europea e del regolamento di cui
all'articolo 33-septies, comma 4, del decreto-legge 18
ottobre 2012, n. 179, convertito, con modificazioni, dalla
legge 17 dicembre 2012, n. 221;
n) sviluppa capacita' nazionali di prevenzione,
monitoraggio, rilevamento, analisi e risposta, per
prevenire e gestire gli incidenti di sicurezza informatica
e gli attacchi informatici, anche attraverso il CSIRT
Italia di cui all'articolo 8 del decreto legislativo NIS. A
tale fine, promuove iniziative di partenariato
pubblico-privato per rendere effettive tali capacita';
n-bis) nell'ambito delle funzioni di cui al primo
periodo della lettera n), svolge ogni attivita' diretta
all'analisi e al supporto per il contenimento e il
ripristino dell'operativita' dei sistemi compromessi, con
la collaborazione dei soggetti pubblici o privati che hanno
subito incidenti di sicurezza informatica o attacchi
informatici. La mancata collaborazione di cui al primo
periodo e' valutata ai fini dell'applicazione delle
sanzioni previste dall'articolo 1, commi 10 e 14, del
decreto-legge perimetro, per i soggetti di cui all'articolo
1, comma 2-bis, del medesimo decreto-legge perimetro, di
cui all'articolo 3, comma 1, lettere g) e i), del decreto
legislativo NIS e di cui all'articolo 40, comma 3, alinea,
del codice delle comunicazioni elettroniche, di cui al
decreto legislativo 1° agosto 2003, n. 259; restano esclusi
gli organi dello Stato preposti alla prevenzione,
all'accertamento e alla repressione dei reati, alla tutela
dell'ordine e della sicurezza pubblica e alla difesa e
sicurezza militare dello Stato, nonche' gli organismi di
informazione per la sicurezza di cui agli articoli 4, 6 e 7
della legge 3 agosto 2007, n. 124;
n-ter) provvede alla raccolta, all'elaborazione e
alla classificazione dei dati relativi alle notifiche di
incidenti ricevute dai soggetti che a cio' siano tenuti in
osservanza delle disposizioni vigenti. Tali dati sono resi
pubblici nell'ambito della relazione prevista dall'articolo
14, comma 1, quali dati ufficiali di riferimento degli
attacchi informatici portati ai soggetti che operano nei
settori rilevanti per gli interessi nazionali nel campo
della cybersicurezza. Agli adempimenti previsti dalla
presente lettera si provvede con le risorse umane,
strumentali e finanziarie disponibili a legislazione
vigente;
o) partecipa alle esercitazioni nazionali e
internazionali che riguardano la simulazione di eventi di
natura cibernetica al fine di innalzare la resilienza del
Paese;
p) cura e promuove la definizione ed il
mantenimento di un quadro giuridico nazionale aggiornato e
coerente nel dominio della cybersicurezza, tenendo anche
conto degli orientamenti e degli sviluppi in ambito
internazionale. A tal fine, l'Agenzia esprime pareri non
vincolanti sulle iniziative legislative o regolamentari
concernenti la cybersicurezza;
q) coordina, in raccordo con il Ministero degli
affari esteri e della cooperazione internazionale, la
cooperazione internazionale nella materia della
cybersicurezza. Nell'ambito dell'Unione europea e a livello
internazionale, l'Agenzia cura i rapporti con i competenti
organismi, istituzioni ed enti, nonche' segue nelle
competenti sedi istituzionali le tematiche di
cybersicurezza, fatta eccezione per gli ambiti in cui la
legge attribuisce specifiche competenze ad altre
amministrazioni. In tali casi, e' comunque assicurato il
raccordo con l'Agenzia al fine di garantire posizioni
nazionali unitarie e coerenti con le politiche di
cybersicurezza definite dal Presidente del Consiglio dei
ministri;
r) perseguendo obiettivi di eccellenza, supporta
negli ambiti di competenza, mediante il coinvolgimento del
sistema dell'universita' e della ricerca nonche' del
sistema produttivo nazionali, lo sviluppo di competenze e
capacita' industriali, tecnologiche e scientifiche. A tali
fini, l'Agenzia puo' promuovere, sviluppare e finanziare
specifici progetti ed iniziative, volti anche a favorire il
trasferimento tecnologico dei risultati della ricerca nel
settore. L'Agenzia assicura il necessario raccordo con le
altre amministrazioni a cui la legge attribuisce competenze
in materia di cybersicurezza e, in particolare, con il
Ministero della difesa per gli aspetti inerenti alla
ricerca militare. L'Agenzia puo' altresi' promuovere la
costituzione di aree dedicate allo sviluppo
dell'innovazione finalizzate a favorire la formazione e il
reclutamento di personale nei settori avanzati dello
sviluppo della cybersicurezza, nonche' promuovere la
realizzazione di studi di fattibilita' e di analisi
valutative finalizzati a tale scopo;
s) stipula accordi bilaterali e multilaterali,
anche mediante il coinvolgimento del settore privato e
industriale, con istituzioni, enti e organismi di altri
Paesi per la partecipazione dell'Italia a programmi di
cybersicurezza, assicurando il necessario raccordo con le
altre amministrazioni a cui la legge attribuisce competenze
in materia di cybersicurezza, ferme restando le competenze
del Ministero degli affari esteri e della cooperazione
internazionale;
t) promuove, sostiene e coordina la partecipazione
italiana a progetti e iniziative dell'Unione europea e
internazionali, anche mediante il coinvolgimento di
soggetti pubblici e privati nazionali, nel campo della
cybersicurezza e dei correlati servizi applicativi, ferme
restando le competenze del Ministero degli affari esteri e
della cooperazione internazionale. L'Agenzia assicura il
necessario raccordo con le altre amministrazioni a cui la
legge attribuisce competenze in materia di cybersicurezza
e, in particolare, con il Ministero della difesa per gli
aspetti inerenti a progetti e iniziative in collaborazione
con la NATO e con l'Agenzia europea per la difesa;
u) svolge attivita' di comunicazione e promozione
della consapevolezza in materia di cybersicurezza, al fine
di contribuire allo sviluppo di una cultura nazionale in
materia;
v) promuove la formazione, la crescita
tecnico-professionale e la qualificazione delle risorse
umane nel campo della cybersicurezza, in particolare
favorendo l'attivazione di percorsi formativi universitari
in materia, anche attraverso l'assegnazione di borse di
studio, di dottorato e assegni di ricerca, sulla base di
apposite convenzioni con soggetti pubblici e privati; nello
svolgimento di tali compiti, l'Agenzia puo' avvalersi anche
delle strutture formative e delle capacita' della
Presidenza del Consiglio dei ministri, del Ministero della
difesa e del Ministero dell'interno, secondo termini e
modalita' da definire con apposito decreto del Presidente
del Consiglio dei ministri, di concerto con i Ministri
interessati;
v-bis) puo' predisporre attivita' di formazione
specifica riservate ai giovani che aderiscono al servizio
civile regolate sulla base di apposite convenzioni. In ogni
caso, il servizio prestato e', a tutti gli effetti,
riconosciuto come servizio civile;
z) per le finalita' di cui al presente articolo,
puo' costituire e partecipare a partenariati
pubblico-privato sul territorio nazionale, nonche', previa
autorizzazione del Presidente del Consiglio dei ministri, a
consorzi, fondazioni o societa' con soggetti pubblici e
privati, italiani e stranieri;
aa) e' designata quale Centro nazionale di
coordinamento ai sensi dell'articolo 6 del regolamento (UE)
2021/887 del Parlamento europeo e del Consiglio del 20
maggio 2021, che istituisce il Centro europeo di competenza
per la cybersicurezza nell'ambito industriale, tecnologico
e della ricerca e la rete dei centri nazionali di
coordinamento.
1-bis. Anche ai fini dell'esercizio delle funzioni di
cui al comma 1, lettere r), s), t), u), v), z) e aa),
presso l'Agenzia e' istituito, con funzioni di consulenza e
di proposta, un Comitato tecnico-scientifico, presieduto
dal direttore generale della medesima Agenzia, o da un
dirigente da lui delegato, e composto da personale della
stessa Agenzia e da qualificati rappresentanti
dell'industria, degli enti di ricerca, dell'accademia e
delle associazioni del settore della sicurezza, designati
con decreto del Presidente del Consiglio dei ministri. La
composizione e l'organizzazione del Comitato
tecnico-scientifico sono disciplinate secondo le modalita'
e i criteri definiti dal regolamento di cui all'articolo 6,
comma 1. Per la partecipazione al Comitato
tecnico-scientifico non sono previsti gettoni di presenza,
compensi o rimborsi di spese.
2. Nell'ambito dell'Agenzia sono nominati, con
decreto del Presidente del Consiglio dei ministri, il
rappresentante nazionale, e il suo sostituto, nel Consiglio
di direzione del Centro europeo di competenza per la
cybersicurezza nell'ambito industriale, tecnologico e della
ricerca, ai sensi dell'articolo 12 del regolamento (UE)
2021/887.
3. Il CSIRT italiano di cui all'articolo 8 del
decreto legislativo NIS e' trasferito presso l'Agenzia e
assume la denominazione di: "CSIRT Italia".
4. Il Centro di valutazione e certificazione
nazionale, istituito presso il Ministero dello sviluppo
economico, e' trasferito presso l'Agenzia.
5. Nel rispetto delle competenze del Garante per la
protezione dei dati personali, l'Agenzia, per le finalita'
di cui al presente decreto, consulta il Garante e collabora
con esso, anche in relazione agli incidenti che comportano
violazioni di dati personali. L'Agenzia e il Garante
possono stipulare appositi protocolli d'intenti che
definiscono altresi' le modalita' della loro collaborazione
nell'ambito delle risorse disponibili a legislazione
vigente e senza nuovi o maggiori oneri per la finanza
pubblica.».