Art. 240
Misure organizzative per gli uffici di livello dirigenziale generale
del Ministero dell'interno - Dipartimento della Pubblica Sicurezza.
1. E' istituita presso il Ministero dell'interno, nell'ambito del
Dipartimento della Pubblica Sicurezza di cui all'articolo 4 della
legge 1° aprile 1981, n. 121, una Direzione Centrale competente a
sviluppare le attivita' di prevenzione e di tutela informatica e
cibernetica previste dall'articolo 7-bis del decreto legge 27 luglio
2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio
2005 n. 155, e quelle attribuite al predetto Ministero dall'articolo
1 del decreto legge 21 settembre 2019, n. 105, convertito, con
modificazioni, dalla legge 18 novembre 2019, n. 133, nonche' ad
assicurare l'unita' di indirizzo e coordinamento delle attivita'
svolte dalla specialita' della polizia postale e delle comunicazioni
della Polizia di Stato e degli altri compiti di natura tecnica che ne
costituiscono il completamento al fine dell'organico supporto alle
attivita' investigative. Alla Direzione Centrale e' preposto un
dirigente generale della Polizia di Stato, del ruolo ordinario della
carriera dei funzionari che espletano funzioni di polizia.
2. Il numero delle Direzioni Centrali e degli uffici di livello
equiparato in cui si articola il Dipartimento della Pubblica
Sicurezza, sulla scorta di quanto previsto dal comma 1, e',
conseguentemente, incrementato di una unita', fermo restando il
numero complessivo dei posti dirigenziali generali di pubblica
sicurezza di cui alla tabella A del D.P.R. 24 aprile 1982, n. 335.
Con regolamento da adottarsi ai sensi dell'articolo 17, comma 4-bis,
della legge 23 agosto 1988, n. 400, si provvede ad adeguare alle
previsioni di cui al presente articolo il regolamento recante
l'organizzazione degli uffici centrali di livello dirigenziale
generale del Ministero dell'interno, adottato ai sensi dell'articolo
4 del decreto legislativo 30 luglio 1999, n. 300.
3. All'attuazione delle disposizioni del presente articolo si
provvede con le risorse umane, strumentali e finanziarie disponibili
a legislazione vigente e, comunque, senza nuovi o maggiori oneri a
carico della finanza pubblica.
Riferimenti normativi
- Si riporta il testo dell'articolo 4 della legge 1°
aprile 1981, n. 121 (Nuovo ordinamento dell'amministrazione
della pubblica sicurezza):
«Art. 4 Dipartimento della pubblica sicurezza
Nell'ambito dell'Amministrazione della pubblica
sicurezza e' istituito il dipartimento della pubblica
sicurezza che provvede, secondo le direttive e gli ordini
del Ministro dell'interno:
1) all'attuazione della politica dell'ordine e della
sicurezza pubblica;
2) al coordinamento tecnico-operativo delle forze di
polizia;
3) alla direzione e amministrazione della Polizia di
Stato;
4) alla direzione e gestione dei supporti tecnici,
anche per le esigenze generali del Ministero dell'interno.»
- Si riporta il testo dell'articolo 7-bis del citato
decreto-legge 27 luglio 2005, n. 144, convertito, con
modificazioni, dalla legge 31 luglio 2005, n. 155:
«Art. 7-bis Sicurezza telematica
1. Ferme restando le competenze dei Servizi informativi
e di sicurezza, di cui agli articoli 4 e 6 della legge 24
ottobre 1977, n. 801 l'organo del Ministero dell'interno
per la sicurezza e per la regolarita' dei servizi di
telecomunicazione assicura i servizi di protezione
informatica delle infrastrutture critiche informatizzate di
interesse nazionale individuate con decreto del Ministro
dell'interno, operando mediante collegamenti telematici
definiti con apposite convenzioni con i responsabili delle
strutture interessate.
2. Per le finalita' di cui al comma 1 e per la
prevenzione e repressione delle attivita' terroristiche o
di agevolazione del terrorismo condotte con i mezzi
informatici, gli ufficiali di polizia giudiziaria
appartenenti all'organo di cui al comma 1 possono svolgere
le attivita' di cui all'articolo 4 commi 1 e 2, del decreto
legge 18 ottobre 2001, n. 374, convertito, con
modificazioni, dalla legge 15 dicembre 2001, n. 438 e
quelle di cui all'articolo 226 delle norme di attuazione,
di coordinamento e transitorie del codice di procedura
penale, di cui al decreto legislativo 28 luglio 1989, n.
271 anche a richiesta o in collaborazione con gli organi di
polizia giudiziaria ivi indicati.»
- Si riporta il testo dell'articolo 1 del citato
decreto-legge 21 settembre 2019, n. 105, convertito, con
modificazioni, dalla legge 18 novembre 2019, n. 133:
«Art. 1 Perimetro di sicurezza nazionale cibernetica
1. Al fine di assicurare un livello elevato di
sicurezza delle reti, dei sistemi informativi e dei servizi
informatici delle amministrazioni pubbliche, degli enti e
degli operatori pubblici e privati aventi una sede nel
territorio nazionale, da cui dipende l'esercizio di una
funzione essenziale dello Stato, ovvero la prestazione di
un servizio essenziale per il mantenimento di attivita'
civili, sociali o economiche fondamentali per gli interessi
dello Stato e dal cui malfunzionamento, interruzione, anche
parziali, ovvero utilizzo improprio, possa derivare un
pregiudizio per la sicurezza nazionale, e' istituito il
perimetro di sicurezza nazionale cibernetica.
2. Entro quattro mesi dalla data di entrata in vigore
della legge di conversione del presente decreto, con
decreto del Presidente del Consiglio dei ministri, adottato
su proposta del Comitato interministeriale per la sicurezza
della Repubblica (CISR):
a) sono definiti modalita' e criteri procedurali di
individuazione di amministrazioni pubbliche, enti e
operatori pubblici e privati di cui al comma 1 aventi una
sede nel territorio nazionale, inclusi nel perimetro di
sicurezza nazionale cibernetica e tenuti al rispetto delle
misure e degli obblighi previsti dal presente articolo; ai
fini dell'individuazione, fermo restando che per gli
Organismi di informazione per la sicurezza si applicano le
norme previste dalla legge 3 agosto 2007, n. 124, si
procede sulla base dei seguenti criteri:
1) il soggetto esercita una funzione essenziale dello
Stato, ovvero assicura un servizio essenziale per il
mantenimento di attivita' civili, sociali o economiche
fondamentali per gli interessi dello Stato;
2) l'esercizio di tale funzione o la prestazione di
tale servizio dipende da reti, sistemi informativi e
servizi informatici;
2-bis) l'individuazione avviene sulla base di un
criterio di gradualita', tenendo conto dell'entita' del
pregiudizio per la sicurezza nazionale che, in relazione
alle specificita' dei diversi settori di attivita', puo'
derivare dal malfunzionamento, dall'interruzione, anche
parziali, ovvero dall'utilizzo improprio delle reti, dei
sistemi informativi e dei servizi informatici predetti.
b) sono definiti, sulla base di un'analisi del rischio
e di un criterio di gradualita' che tenga conto delle
specificita' dei diversi settori di attivita', i criteri
con i quali i soggetti di cui al comma 2-bis predispongono
e aggiornano con cadenza almeno annuale un elenco delle
reti, dei sistemi informativi e dei servizi informatici di
cui al comma 1, di rispettiva pertinenza, comprensivo della
relativa architettura e componentistica, fermo restando
che, per le reti, i sistemi informativi e i servizi
informatici attinenti alla gestione delle informazioni
classificate, si applica quanto previsto dal regolamento
adottato ai sensi dell'articolo 4, comma 3, lettera l),
della legge 3 agosto 2007, n. 124; all'elaborazione di tali
criteri provvede, adottando opportuni moduli organizzativi,
l'organismo tecnico di supporto al CISR, integrato con un
rappresentante della Presidenza del Consiglio dei ministri;
entro sei mesi dalla data della comunicazione, prevista dal
comma 2-bis, a ciascuno dei soggetti iscritti nell'elenco
di cui al medesimo comma, i soggetti pubblici e quelli di
cui all'articolo 29 del codice dell'amministrazione
digitale, di cui al decreto legislativo 7 marzo 2005, n.
82, nonche' quelli privati, di cui al comma 2-bis
trasmettono tali elenchi, rispettivamente, alla Presidenza
del Consiglio dei ministri e al Ministero dello sviluppo
economico; la Presidenza del Consiglio dei ministri e il
Ministero dello sviluppo economico inoltrano gli elenchi di
rispettiva pertinenza al Dipartimento delle informazioni
per la sicurezza, anche per le attivita' di prevenzione,
preparazione e gestione di crisi cibernetiche affidate al
Nucleo per la sicurezza cibernetica, nonche' all'organo del
Ministero dell'interno per la sicurezza e la regolarita'
dei servizi di telecomunicazione di cui all'articolo 7-bis
del decreto-legge 27 luglio 2005, n. 144, convertito, con
modificazioni, dalla legge 31 luglio 2005, n. 155.
2-bis. L'elencazione dei soggetti individuati ai sensi
del comma 2, lettera a), e' contenuta in un atto
amministrativo, adottato dal Presidente del Consiglio dei
ministri, su proposta del CISR, entro trenta giorni dalla
data di entrata in vigore del decreto del Presidente del
Consiglio dei ministri di cui al comma 2. Il predetto atto
amministrativo, per il quale e' escluso il diritto di
accesso, non e' soggetto a pubblicazione, fermo restando
che a ciascun soggetto e' data, separatamente,
comunicazione senza ritardo dell'avvenuta iscrizione
nell'elenco. L'aggiornamento del predetto atto
amministrativo e' effettuato con le medesime modalita' di
cui al presente comma.
3. Entro dieci mesi dalla data di entrata in vigore
della legge di conversione del presente decreto, con
decreto del Presidente del Consiglio dei ministri, che
disciplina altresi' i relativi termini e modalita'
attuative, adottato su proposta del CISR:
a) sono definite le procedure secondo cui i soggetti di
cui al comma 2-bis notificano gli incidenti aventi impatto
su reti, sistemi informativi e servizi informatici di cui
al comma 2, lettera b), al Gruppo di intervento per la
sicurezza informatica in caso di incidente (CSIRT)
italiano, che inoltra tali notifiche, tempestivamente, al
Dipartimento delle informazioni per la sicurezza anche per
le attivita' demandate al Nucleo per la sicurezza
cibernetica; il Dipartimento delle informazioni per la
sicurezza assicura la trasmissione delle notifiche cosi'
ricevute all'organo del Ministero dell'interno per la
sicurezza e la regolarita' dei servizi di telecomunicazione
di cui all'articolo 7-bis del decreto-legge 27 luglio 2005,
n. 144, convertito, con modificazioni, dalla legge 31
luglio 2005, n. 155, nonche' alla Presidenza del Consiglio
dei ministri, se provenienti da un soggetto pubblico o da
un soggetto di cui all'articolo 29 del decreto legislativo
7 marzo 2005, n. 82, ovvero al Ministero dello sviluppo
economico, se effettuate da un soggetto privato;
b) sono stabilite misure volte a garantire elevati
livelli di sicurezza delle reti, dei sistemi informativi e
dei servizi informatici di cui al comma 2, lettera b),
tenendo conto degli standard definiti a livello
internazionale e dell'Unione europea, relative:
1) alla struttura organizzativa preposta alla gestione
della sicurezza;
1-bis) alle politiche di sicurezza e alla gestione del
rischio;
2) alla mitigazione e gestione degli incidenti e alla
loro prevenzione, anche attraverso interventi su apparati o
prodotti che risultino gravemente inadeguati sul piano
della sicurezza;
3) alla protezione fisica e logica e dei dati;
4) all'integrita' delle reti e dei sistemi informativi;
5) alla gestione operativa, ivi compresa la continuita'
del servizio;
6) al monitoraggio, test e controllo;
7) alla formazione e consapevolezza;
8) all'affidamento di forniture di beni, sistemi e
servizi di information and communication technology (ICT),
anche mediante definizione di caratteristiche e requisiti
di carattere generale, di standard e di eventuali limiti.
4. All'elaborazione delle misure di cui al comma 3,
lettera b), provvedono, secondo gli ambiti di competenza
delineati dal presente decreto, il Ministero dello sviluppo
economico e la Presidenza del Consiglio dei ministri,
d'intesa con il Ministero della difesa, il Ministero
dell'interno, il Ministero dell'economia e delle finanze e
il Dipartimento delle informazioni per la sicurezza.
4-bis. Gli schemi dei decreti di cui ai commi 2 e 3
sono trasmessi alla Camera dei deputati e al Senato della
Repubblica per l'espressione del parere delle Commissioni
parlamentari competenti per materia, che si pronunciano nel
termine di trenta giorni, decorso il quale il decreto puo'
essere comunque adottato. I medesimi schemi sono altresi'
trasmessi al Comitato parlamentare per la sicurezza della
Repubblica.
4-ter. L'atto amministrativo di cui al comma 2-bis e i
suoi aggiornamenti sono trasmessi, entro dieci giorni
dall'adozione, al Comitato parlamentare per la sicurezza
della Repubblica.
5. Per l'aggiornamento di quanto previsto dai decreti
di cui ai commi 2 e 3 si procede secondo le medesime
modalita' di cui ai commi 2, 3, 4 e 4-bis con cadenza
almeno biennale.
6. Con regolamento, adottato ai sensi dell'articolo 17,
comma 1, della legge 23 agosto 1988, n. 400, entro dieci
mesi dalla data di entrata in vigore della legge di
conversione del presente decreto, sono disciplinati le
procedure, le modalita' e i termini con cui:
a) i soggetti di cui al comma 2-bis, ovvero le centrali
di committenza alle quali essi fanno ricorso ai sensi
dell'articolo 1, comma 512, della legge 28 dicembre 2015,
n. 208, che intendano procedere all'affidamento di
forniture di beni, sistemi e servizi ICT destinati a essere
impiegati sulle reti, sui sistemi informativi e per
l'espletamento dei servizi informatici di cui al comma 2,
lettera b), appartenenti a categorie individuate, sulla
base di criteri di natura tecnica, con decreto del
Presidente del Consiglio dei ministri, da adottare entro
dieci mesi dalla data di entrata in vigore della legge di
conversione del presente decreto, ne danno comunicazione al
Centro di valutazione e certificazione nazionale (CVCN),
istituito presso il Ministero dello sviluppo economico; la
comunicazione comprende anche la valutazione del rischio
associato all'oggetto della fornitura, anche in relazione
all'ambito di impiego. Entro quarantacinque giorni dalla
ricezione della comunicazione, prorogabili di quindici
giorni, una sola volta, in caso di particolare
complessita', il CVCN puo' effettuare verifiche preliminari
ed imporre condizioni e test di hardware e software da
compiere anche in collaborazione con i soggetti di cui al
comma 2-bis, secondo un approccio gradualmente crescente
nelle verifiche di sicurezza. Decorso il termine di cui al
precedente periodo senza che il CVCN si sia pronunciato, i
soggetti che hanno effettuato la comunicazione possono
proseguire nella procedura di affidamento. In caso di
imposizione di condizioni e test di hardware e software, i
relativi bandi di gara e contratti sono integrati con
clausole che condizionano, sospensivamente ovvero
risolutivamente, il contratto al rispetto delle condizioni
e all'esito favorevole dei test disposti dal CVCN. I test
devono essere conclusi nel termine di sessanta giorni.
Decorso il termine di cui al precedente periodo, i soggetti
che hanno effettuato la comunicazione possono proseguire
nella procedura di affidamento. In relazione alla
specificita' delle forniture di beni, sistemi e servizi ICT
da impiegare su reti, sistemi informativi e servizi
informatici del Ministero dell'interno e del Ministero
della difesa, individuati ai sensi del comma 2, lettera b),
i predetti Ministeri, nell'ambito delle risorse umane e
finanziarie disponibili a legislazione vigente e senza
nuovi o maggiori oneri a carico della finanza pubblica, in
coerenza con quanto previsto dal presente decreto, possono
procedere, con le medesime modalita' e i medesimi termini
previsti dai periodi precedenti, attraverso la
comunicazione ai propri Centri di valutazione accreditati
per le attivita' di cui al presente decreto, ai sensi del
comma 7, lettera b), che impiegano le metodologie di
verifica e di test definite dal CVCN. Per tali casi i
predetti Centri informano il CVCN con le modalita'
stabilite con il decreto del Presidente del Consiglio dei
ministri, di cui al comma 7, lettera b). Non sono oggetto
di comunicazione gli affidamenti delle forniture di beni,
sistemi e servizi ICT destinate alle reti, ai sistemi
informativi e ai servizi informatici per lo svolgimento
delle attivita' di prevenzione, accertamento e repressione
dei reati e i casi di deroga stabiliti dal medesimo
regolamento con riguardo alle forniture di beni, sistemi e
servizi ICT per le quali sia indispensabile procedere in
sede estera, fermo restando, in entrambi i casi, l'utilizzo
di beni, sistemi e servizi ICT conformi ai livelli di
sicurezza di cui al comma 3, lettera b), salvo motivate
esigenze connesse agli specifici impieghi cui essi sono
destinati;
b) i soggetti individuati quali fornitori di beni,
sistemi e servizi destinati alle reti, ai sistemi
informativi e ai servizi informatici di cui al comma 2,
lettera b), assicurano al CVCN e, limitatamente agli ambiti
di specifica competenza, ai Centri di valutazione operanti
presso i Ministeri dell'interno e della difesa, di cui alla
lettera a) del presente comma, la propria collaborazione
per l'effettuazione delle attivita' di test di cui alla
lettera a) del presente comma, sostenendone gli oneri; il
CVCN segnala la mancata collaborazione al Ministero dello
sviluppo economico, in caso di fornitura destinata a
soggetti privati, o alla Presidenza del Consiglio dei
ministri, in caso di fornitura destinata a soggetti
pubblici ovvero a quelli di cui all'articolo 29 del codice
di cui al decreto legislativo 7 marzo 2005, n. 82; sono
inoltrate altresi' alla Presidenza del Consiglio dei
ministri le analoghe segnalazioni dei Centri di valutazione
dei Ministeri dell'interno e della difesa, di cui alla
lettera a);
c) la Presidenza del Consiglio dei ministri, per i
profili di pertinenza dei soggetti pubblici e di quelli di
cui all'articolo 29 del codice dell'Amministrazione
digitale di cui al decreto legislativo 7 marzo 2005, n. 82,
di cui al comma 2-bis, e il Ministero dello sviluppo
economico, per i soggetti privati di cui al medesimo comma,
svolgono attivita' di ispezione e verifica in relazione a
quanto previsto dal comma 2, lettera b), dal comma 3, dal
presente comma e dal comma 7, lettera b), impartendo, se
necessario, specifiche prescrizioni; nello svolgimento
delle predette attivita' di ispezione e verifica l'accesso,
se necessario, a dati o metadati personali e amministrativi
e' effettuato in conformita' a quanto previsto dal
regolamento (UE) 2016/679 del Parlamento europeo e del
Consiglio, del 27 aprile 2016, e dal codice in materia di
protezione dei dati personali, di cui al decreto
legislativo 30 giugno 2003, n. 196; per le reti, i sistemi
informativi e i servizi informatici di cui al comma 2,
lettera b), connessi alla funzione di prevenzione e
repressione dei reati, alla tutela dell'ordine e della
sicurezza pubblica, alla difesa civile e alla difesa e
sicurezza militare dello Stato, le attivita' di ispezione e
verifica sono svolte, nell'ambito delle risorse umane e
finanziarie disponibili a legislazione vigente e senza
nuovi o maggiori oneri a carico della finanza pubblica,
dalle strutture specializzate in tema di protezione di reti
e sistemi, nonche', nei casi in cui siano espressamente
previste dalla legge, in tema di prevenzione e di contrasto
del crimine informatico, delle amministrazioni da cui
dipendono le Forze di polizia e le Forze armate, che ne
comunicano gli esiti alla Presidenza del Consiglio dei
ministri per i profili di competenza.
7. Nell'ambito dell'approvvigionamento di prodotti,
processi, servizi ICT e associate infrastrutture destinati
alle reti, ai sistemi informativi e per l'espletamento dei
servizi informatici di cui al comma 2, lettera b), il CVCN
assume i seguenti compiti:
a) contribuisce all'elaborazione delle misure di
sicurezza di cui al comma 3, lettera b), per cio' che
concerne l'affidamento di forniture di beni, sistemi e
servizi ICT;
b) ai fini della verifica delle condizioni di sicurezza
e dell'assenza di vulnerabilita' note, anche in relazione
all'ambito di impiego, definisce le metodologie di verifica
e di test e svolge le attivita' di cui al comma 6, lettera
a), dettando, se del caso, anche prescrizioni di utilizzo
al committente; a tali fini il CVCN si avvale anche di
laboratori dallo stesso accreditati secondo criteri
stabiliti da un decreto del Presidente del Consiglio dei
ministri, adottato entro dieci mesi dalla data di entrata
in vigore della legge di conversione del presente decreto,
su proposta del CISR, impiegando, per le esigenze delle
amministrazioni centrali dello Stato, quelli eventualmente
istituiti, senza nuovi o maggiori oneri a carico della
finanza pubblica, presso le medesime amministrazioni. Con
lo stesso decreto sono altresi' stabiliti i raccordi, ivi
compresi i contenuti, le modalita' e i termini delle
comunicazioni, tra il CVCN e i predetti laboratori, nonche'
tra il medesimo CVCN e i Centri di valutazione del
Ministero dell'interno e del Ministero della difesa, di cui
al comma 6, lettera a), anche la fine di assicurare il
coordinamento delle rispettive attivita' e perseguire la
convergenza e la non duplicazione delle valutazioni in
presenza di medesimi condizioni e livelli di rischio;
c) elabora e adotta, previo conforme avviso
dell'organismo tecnico di supporto al CISR, schemi di
certificazione cibernetica, tenendo conto degli standard
definiti a livello internazionale e dell'Unione europea,
laddove, per ragioni di sicurezza nazionale, gli schemi di
certificazione esistenti non siano ritenuti adeguati alle
esigenze di tutela del perimetro di sicurezza nazionale
cibernetica.
8. I soggetti di cui agli articoli 12 e 14 del decreto
legislativo 18 maggio 2018, n. 65, e quelli di cui
all'articolo 16-ter, comma 2, del codice delle
comunicazioni elettroniche di cui al decreto legislativo 1°
agosto 2003, n. 259, inclusi nel perimetro di sicurezza
nazionale cibernetica:
a) osservano le misure di sicurezza previste,
rispettivamente, dai predetti decreti legislativi, ove di
livello almeno equivalente a quelle adottate ai sensi del
comma 3, lettera b), del presente articolo; le eventuali
misure aggiuntive necessarie al fine di assicurare i
livelli di sicurezza previsti dal presente decreto sono
definite dalla Presidenza del Consiglio dei ministri, per i
soggetti pubblici e per quelli di cui all'articolo 29 del
codice di cui al decreto legislativo 7 marzo 2005, n. 82,
di cui al comma 2-bis, e dal Ministero dello sviluppo
economico per i soggetti privati di cui al medesimo comma,
avvalendosi anche del CVCN; il Ministero dello sviluppo
economico e la Presidenza del Consiglio dei ministri si
raccordano, ove necessario, con le autorita' competenti di
cui all'articolo 7 del decreto legislativo 18 maggio 2018,
n. 65;
b) assolvono l'obbligo di notifica di cui al comma 3,
lettera a), che costituisce anche adempimento,
rispettivamente, dell'obbligo di notifica di cui agli
articoli 12 e 14 del decreto legislativo 18 maggio 2018, n.
65, e dell'analogo obbligo previsto ai sensi dell'articolo
16-ter del codice di cui al decreto legislativo 1° agosto
2003, n. 259, e delle correlate disposizioni attuative; a
tal fine, oltre a quanto previsto dal comma 3, lettera a),
anche in relazione alle disposizioni di cui all'articolo
16-ter del codice di cui al decreto legislativo 1° agosto
2003, n. 259, il CSIRT italiano inoltra le notifiche
ricevute ai sensi del predetto comma 3, lettera a),
all'autorita' competente di cui all'articolo 7 del decreto
legislativo 18 maggio 2018, n. 65.
9. Salvo che il fatto costituisca reato:
a) il mancato adempimento degli obblighi di
predisposizione, di aggiornamento e di trasmissione
dell'elenco delle reti, dei sistemi informativi e dei
servizi informatici di cui al comma 2, lettera b), e'
punito con la sanzione amministrativa pecuniaria da euro
200.000 a euro 1.200.000;
b) il mancato adempimento dell'obbligo di notifica di
cui al comma 3, lettera a), nei termini prescritti, e'
punito con la sanzione amministrativa pecuniaria da euro
250.000 a euro 1.500.000;
c) l'inosservanza delle misure di sicurezza di cui al
comma 3, lettera b), e' punita con la sanzione
amministrativa pecuniaria da euro 250.000 a euro 1.500.000;
d) la mancata comunicazione di cui al comma 6, lettera
a), nei termini prescritti, e' punita con la sanzione
amministrativa pecuniaria da euro 300.000 a euro 1.800.000;
e) l'impiego di prodotti e servizi sulle reti, sui
sistemi informativi e per l'espletamento dei servizi
informatici di cui al comma 2, lettera b), in violazione
delle condizioni o in assenza del superamento dei test
imposti dal CVCN ovvero dai Centri di valutazione di cui al
comma 6, lettera a), e' punito con la sanzione
amministrativa pecuniaria da euro 300.000 a euro 1.800.000;
f) la mancata collaborazione per l'effettuazione delle
attivita' di test di cui al comma 6, lettera a), da parte
dei soggetti di cui al medesimo comma 6, lettera b), e'
punita con la sanzione amministrativa pecuniaria da euro
250.000 a euro 1.500.000;
g) il mancato adempimento delle prescrizioni indicate
dal Ministero dello sviluppo economico o dalla Presidenza
del Consiglio dei ministri in esito alle attivita' di
ispezione e verifica svolte ai sensi del comma 6, lettera
c), e' punito con la sanzione amministrativa pecuniaria da
euro 250.000 a euro 1.500.000;
h) il mancato rispetto delle prescrizioni di cui al
comma 7, lettera b), e' punito con la sanzione
amministrativa pecuniaria da euro 250.000 a euro 1.500.000.
10. L'impiego di prodotti e di servizi sulle reti, sui
sistemi informativi e per l'espletamento dei servizi
informatici di cui al comma 2, lettera b), in assenza della
comunicazione o del superamento dei test o in violazione
delle condizioni di cui al comma 6, lettera a), comporta,
oltre alle sanzioni di cui al comma 9, lettere d) ed e),
l'applicazione della sanzione amministrativa accessoria
della incapacita' ad assumere incarichi di direzione,
amministrazione e controllo nelle persone giuridiche e
nelle imprese, per un periodo di tre anni a decorrere dalla
data di accertamento della violazione.
11. Chiunque, allo scopo di ostacolare o condizionare
l'espletamento dei procedimenti di cui al comma 2, lettera
b), o al comma 6, lettera a), o delle attivita' ispettive e
di vigilanza previste dal comma 6, lettera c), fornisce
informazioni, dati o elementi di fatto non rispondenti al
vero, rilevanti per la predisposizione o l'aggiornamento
degli elenchi di cui al comma 2, lettera b), o ai fini
delle comunicazioni di cui al comma 6, lettera a), o per lo
svolgimento delle attivita' ispettive e di vigilanza di cui
al comma 6), lettera c) od omette di comunicare entro i
termini prescritti i predetti dati, informazioni o elementi
di fatto, e' punito con la reclusione da uno a tre anni.
11-bis. All'articolo 24-bis, comma 3, del decreto
legislativo 8 giugno 2001, n. 231, dopo le parole: "di
altro ente pubblico," sono inserite le seguenti: "e dei
delitti di cui all'articolo 1, comma 11, del decreto-legge
21 settembre 2019, n. 105,".
12. Le autorita' competenti per l'accertamento delle
violazioni e per l'irrogazione delle sanzioni
amministrative sono la Presidenza del Consiglio dei
ministri, per i soggetti pubblici e per i soggetti di cui
all'articolo 29 del codice di cui al decreto legislativo 7
marzo 2005, n. 82, di cui al comma 2-bis, e il Ministero
dello sviluppo economico, per i soggetti privati di cui al
medesimo comma.
13. Ai fini dell'accertamento e dell'irrogazione delle
sanzioni amministrative di cui al comma 9, si osservano le
disposizioni contenute nel capo I, sezioni I e II, della
legge 24 novembre 1981, n. 689.
14. Per i dipendenti dei soggetti pubblici di cui al
comma 2-bis, la violazione delle disposizioni di cui al
presente articolo puo' costituire causa di responsabilita'
disciplinare e amministrativo-contabile.
15. Le autorita' titolari delle attribuzioni di cui al
presente decreto assicurano gli opportuni raccordi con il
Dipartimento delle informazioni per la sicurezza e con
l'organo del Ministero dell'interno per la sicurezza e la
regolarita' dei servizi di telecomunicazione, quale
autorita' di contrasto nell'esercizio delle attivita' di
cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n.
144, convertito, con modificazioni, dalla legge 31 luglio
2005, n. 155.
16. La Presidenza del Consiglio dei ministri, per lo
svolgimento delle funzioni di cui al presente decreto puo'
avvalersi dell'Agenzia per l'Italia Digitale (AgID) sulla
base di apposite convenzioni, nell'ambito delle risorse
finanziarie e umane disponibili a legislazione vigente,
senza nuovi o maggiori oneri per la finanza pubblica.
17. Al decreto legislativo 18 maggio 2018, n. 65, sono
apportate le seguenti modificazioni:
a) all'articolo 4, comma 5, dopo il primo periodo e'
aggiunto il seguente:
«Il Ministero dello sviluppo economico inoltra tale
elenco al punto di contatto unico e all'organo del
Ministero dell'interno per la sicurezza e la regolarita'
dei servizi di telecomunicazione, di cui all'articolo 7-bis
del decreto-legge 27 luglio 2005, n. 144, convertito, con
modificazioni, dalla legge 31 luglio 2005, n. 155.»;
b) all'articolo 9, comma 3, le parole «e il punto di
contatto unico» sono sostituite dalle seguenti:
«, il punto di contatto unico e l'organo del Ministero
dell'interno per la sicurezza e la regolarita' dei servizi
di telecomunicazione, di cui all'articolo 7-bis del
decreto-legge 27 luglio 2005, n. 144, convertito, con
modificazioni, dalla legge 31 luglio 2005, n. 155,».
18. Gli eventuali adeguamenti alle prescrizioni di
sicurezza definite ai sensi del presente articolo, delle
reti, dei sistemi informativi e dei servizi informatici
delle amministrazioni pubbliche, degli enti e degli
operatori pubblici di cui al comma 2-bis, sono effettuati
con le risorse finanziarie disponibili a legislazione
vigente.
19. Per la realizzazione, l'allestimento e il
funzionamento del CVCN di cui ai commi 6 e 7 e' autorizzata
la spesa di euro 3.200.000 per l'anno 2019 e di euro
2.850.000 per ciascuno degli anni dal 2020 al 2023 e di
euro 750.000 annui a decorrere dall'anno 2024. Per la
realizzazione, l'allestimento e il funzionamento del Centro
di valutazione del Ministero dell'interno, di cui ai commi
6 e 7, e' autorizzata la spesa di euro 200.000 per l'anno
2019 e di euro 1.500.000 per ciascuno degli anni 2020 e
2021.
19-bis. Il Presidente del Consiglio dei ministri
coordina la coerente attuazione delle disposizioni del
presente decreto che disciplinano il perimetro di sicurezza
nazionale cibernetica, anche avvalendosi del Dipartimento
delle informazioni per la sicurezza, che assicura gli
opportuni raccordi con le autorita' titolari delle
attribuzioni di cui al presente decreto e con i soggetti di
cui al comma 1 del presente articolo. Entro sessanta giorni
dalla data di entrata in vigore del regolamento di cui al
comma 6, il Presidente del Consiglio dei ministri trasmette
alle Camere una relazione sulle attivita' svolte.
19-ter. Nei casi in cui sui decreti del Presidente del
Consiglio dei ministri previsti dal presente articolo e'
acquisito, ai fini della loro adozione, il parere del
Consiglio di Stato, i termini ordinatori stabiliti dal
presente articolo sono sospesi per un periodo di
quarantacinque giorni.»
- Si riporta la Tabella A del decreto del Presidente
della Repubblica 24 aprile 1982, n. 335 (Ordinamento del
personale della Polizia di Stato che espleta funzioni di
polizia):
«TABELLA A
=====================================================================
| | | Posti di | |
| | |qualifica | |
|Livello di| | e di | |
| funzione | Qualifica |funzione | FUNZIONE |
+==========+=======================+==========+=====================+
| |Carriera dei funzionari| | |
| | di Polizia | | |
+----------+-----------------------+----------+---------------------+
| | | | Direttore o vice |
| | | | direttore di |
| | | | direzione o ufficio |
| | | |centrale nell'ambito |
| | | | del dipartimento |
| | | | della pubblica |
| | | | sicurezza; questore |
| | | | di sede di |
| | | | particolare |
| | | |rilevanza; ispettore |
| | | | generale capo; |
| | | | consigliere |
| | | | ministeriale; |
| | | | dirigente di |
| | | | ispettorato o di |
| | | | ufficio speciale di |
| | | | pubblica sicurezza; |
| | | | direttore della |
| | | | scuola superiore di |
| | | | polizia; direttore |
| | | | della scuola di |
| | | | perfezionamento per |
| | | |le forze di polizia; |
| | | |dirigente di ufficio |
| | | |interregionale per le|
| | | | esigenze di polizia |
| | | | di frontiera di |
| | Dirigente generale di | | particolare |
| C | pubblica sicurezza | 32 | rilevanza. |
+----------+-----------------------+----------+---------------------+
| | | | Questore; ispettore |
| | | |generale; consigliere|
| | | | ministeriale |
| | | | aggiunto; direttore |
| | | | di servizio o di |
| | | | ufficio equiparato |
| | | | nell'ambito del |
| | | | dipartimento della |
| | | | pubblica sicurezza; |
| | | | dirigente di |
| | | | ispettorato o di |
| | | | ufficio speciale di |
| | | | pubblica sicurezza; |
| | | |dirigente di ufficio |
| | | | territoriale a |
| | | | livello regionale o |
| | | |interregionale per le|
| | | | esigenze di polizia |
| | | | stradale o |
| | | | ferroviaria o di |
| | | | frontiera, nonche' |
| | | | postale e delle |
| | | | comunicazioni di |
| | | | particolare |
| | | |rilevanza; dirigente |
| | | |di reparto mobile di |
| | | | particolare |
| | | |rilevanza; direttore |
| | | | di istituto di |
| | | | istruzione di |
| | | | particolare |
| | | | rilevanza; vice |
| | | | direttore della |
| | | | scuola superiore di |
| | | | polizia; vice |
| | | | direttore della |
| | | | scuola di |
| | | | perfezionamento per |
| D | Dirigente superiore | 195 |le forze di polizia. |
+----------+-----------------------+----------+---------------------+
| | | |Vicario del questore;|
| | | |dirigente di ufficio |
| | | | di prima |
| | | |articolazione interna|
| | | | di particolare |
| | | | rilevanza delle |
| | | | questure; dirigente |
| | | | di distretto di |
| | | | pubblica sicurezza; |
| | | | dirigente di |
| | | | commissariato |
| | | | distaccato di |
| | | |pubblica sicurezza di|
| | | | particolare |
| | | |rilevanza; dirigente |
| | | | di commissariato |
| | | |sezionale di pubblica|
| | | | sicurezza di |
| | | | particolare |
| | | | rilevanza; vice |
| | | | consigliere |
| | | | ministeriale; |
| | | | direttore di |
| | | | divisione o di |
| | | | ufficio equiparato |
| | | | nell'ambito del |
| | | | dipartimento della |
| | | | pubblica sicurezza; |
| | | | vice dirigente di |
| | | | ispettorato o di |
| | | | ufficio speciale di |
| | | | pubblica sicurezza; |
| | | |dirigente di ufficio |
| | | | territoriale a |
| | | | livello anche |
| | | | provinciale o |
| | | | interprovinciale di |
| | | |particolare rilevanza|
| | | | per le esigenze di |
| | | | polizia stradale o |
| | | | ferroviaria o di |
| | | |frontiera, nonche' a |
| | | | livello regionale |
| | | |o interregionale per |
| | | |la polizia postale e |
| | | |delle comunicazioni; |
| | | | vice dirigente di |
| | | |ufficio territoriale |
| | | |a livello regionale o|
| | | | interregionale di |
| | | |particolare rilevanza|
| | | | per le esigenze di |
| | | | polizia stradale o |
| | | | ferroviaria o di |
| | | |frontiera o postale e|
| | | |delle comunicazioni; |
| | | |dirigente di reparto |
| | | | mobile o di reparto |
| | | | speciale; direttore |
| | | | di istituto di |
| | | | istruzione; vice |
| | | |direttore di istituto|
| | | | di istruzione di |
| | | | particolare |
| | | |rilevanza; dirigente |
| | | | di gabinetto di |
| | |709 (658 a|polizia scientifica a|
| | |decorrere | livello regionale o |
| | | dal 1 | interregionale di |
| | | gennaio | particolare |
| E | Primo dirigente | 2027) | rilevanza. |
+----------+-----------------------+----------+---------------------+
| | | |Dirigente di ufficio |
| | | | di prima |
| | | |articolazione interna|
| | | | di significativa |
| | | | rilevanza delle |
| | | | questure; vice |
| | | |dirigente di ufficio |
| | | | di prima |
| | | |articolazione interna|
| | | | di particolare |
| | | | rilevanza delle |
| | | | questure; dirigente |
| | | | di sezione o di |
| | | |ufficio equiparato di|
| | | | ufficio di prima |
| | | |articolazione interna|
| | | | delle questure di |
| | | | particolare |
| | | |rilevanza; dirigente |
| | | | di commissariato |
| | | | distaccato di |
| | | | pubblica sicurezza; |
| | | | dirigente di |
| | | | commissariato |
| | | |sezionale di pubblica|
| | | | sicurezza di |
| | | | significativa |
| | | | rilevanza; vice |
| | | | dirigente di |
| | | |distretto di pubblica|
| | | |sicurezza; dirigente |
| | | | di settore di |
| | | |distretto di pubblica|
| | | | sicurezza; vice |
| | | |dirigente o dirigente|
| | | | di settore di |
| | | | commissariato |
| | | | distaccato o |
| | | |sezionale di pubblica|
| | | | sicurezza di |
| | | | particolare |
| | | | rilevanza; |
| | | | coordinatore di |
| | | |attivita' complesse; |
| | | | vice direttore di |
| | | | divisione o di |
| | | |ufficio equiparato o |
| | | |direttore di sezione |
| | | | o di ufficio |
| | | | equiparato |
| | | | nell'ambito del |
| | | | dipartimento della |
| | | | pubblica sicurezza; |
| | | |dirigente di sezione |
| | | | o di ufficio |
| | | | equiparato di |
| | | | ispettorato o di |
| | | | ufficio speciale di |
| | | | pubblica |
| | | |sicurezza;dirigente o|
| | | | vice dirigente o |
| | | |dirigente di settore |
| | | | di ufficio |
| | | | territoriale a |
| | | | livello anche |
| | | | provinciale o |
| | | | interprovinciale di |
| | | | significativa |
| | | | rilevanza per le |
| | | | esigenze di polizia |
| | | | stradale o |
| | | | ferroviaria o di |
| | | |frontiera, nonche' a |
| | | | livello regionale o |
| | | |interregionale per la|
| | | | polizia postale e |
| | | | delle |
| | | | comunicazioni;vice |
| | | |dirigente o dirigente|
| | | |di settore di ufficio|
| | | | territoriale a |
| | | | livello regionale o |
| | | | interregionale o |
| | | | ufficio di |
| | | |particolare rilevanza|
| | | | per le esigenze di |
| | | | polizia stradale o |
| | | | ferroviaria o di |
| | | |frontiera o postale e|
| | | |delle comunicazioni; |
| | | | dirigente o vice |
| | | |dirigente o dirigente|
| | | |di settore di reparto|
| | | | mobile o di reparto |
| | | |speciale; direttore o|
| | | | vice direttore o |
| | | |direttore di settore |
| | | | di istituto di |
| | | |istruzione; dirigente|
| | | | o vice dirigente di |
| | | |gabinetto di polizia |
| | | |scientifica a livello|
| | | | regionale o |
| | | | interregionale; |
| | | |dirigente di reparto |
| | | |prevenzione crimine; |
| | | | dirigente di nucleo |
| | | | operativo di |
| | | 1595 | protezione; |
| | | (1.295 a | responsabile di |
| | |decorrere | sezione di polizia |
| | | dal 1 | giudiziaria di |
| | Vice questore e Vice | gennaio | particolare |
| | questore aggiunto | 2027) | rilevanza. |
+----------+-----------------------+----------+---------------------+
| | | 1.969 | |
| | | (1.520 a | |
| | |decorrere | |
| | Commissario capo | dal 1° | |
| | Commissario Vice | gennaio | |
| | Commissario | 2027) | |
+----------+-----------------------+----------+---------------------+
| | | 4.500 | |
| | | (3.700 a | |
| | |decorrere | |
| | | dal 1 | |
| | Dotazione complessiva | gennaio | |
| | Carriera funzionari | 2027) | |
+----------+-----------------------+----------+---------------------+
| | | | 17.481 18.191 (a |
| | | | decorrere dal 1° |
| | Ruolo degli ispettori | | gennaio 2027) |
+----------+-----------------------+----------+---------------------+
| | Vice ispettore | | |
| | Ispettore Ispettore | | |
| | capo Ispettore | | |
| | superiore Sostituto | | |
| | commissario | | 5.720 |
+----------+-----------------------+----------+---------------------+
| | | | 23.201 23.911 (a |
| | Dotazione complessiva | | decorrere dal 1° |
| | ispettori | | gennaio 2027) |
+----------+-----------------------+----------+---------------------+
| | | | 21.562 (24.000 a |
| | Ruolo dei | | decorrere dal 1 |
| | sovrintendenti | | gennaio 2021) |
+----------+-----------------------+----------+---------------------+
| | Vice sovrintendente | | |
| | Sovrintendente | | |
| | Sovrintendente capo | | |
+----------+-----------------------+----------+---------------------+
| | | | 50.270 51.870 (a |
| | Ruolo degli agenti e | | decorrere dal 1° |
| | assistenti | | gennaio 2020) |
+----------+-----------------------+----------+---------------------+
| | Agente Agente scelto | | |
| | Assistente Assistente | | |
| | capo | | |
+----------+-----------------------+----------+---------------------+
- Il testo del comma 4-bis dell'articolo 17 della legge
23 agosto 1988, n. 400 e' riportato nei riferimenti
normativi all'art. 43.
- Si riporta il testo dell'articolo 4 del citato
decreto legislativo 30 luglio 1999, n. 300:
«Art. 4 Disposizioni sull'organizzazione
1. L'organizzazione, la dotazione organica,
l'individuazione degli uffici di livello dirigenziale
generale ed il loro numero, le relative funzioni e la
distribuzione dei posti di funzione dirigenziale,
l'individuazione dei dipartimenti, nei casi e nei limiti
fissati dalle disposizioni del presente decreto
legislativo, e la definizione dei rispettivi compiti sono
stabiliti con regolamenti o con decreti del Ministro
emanati ai sensi dell'articolo 17, comma 4-bis, della legge
23 agosto 1988, n. 400. Si applica l' articolo 19 della
legge 15 marzo 1997, n. 59. I regolamenti prevedono la
soppressione dei ruoli esistenti e l'istituzione di un
ruolo unico del personale non dirigenziale di ciascun
Ministero, articolato in aree dipartimentali e per
direzioni generali. Fino all'istituzione del ruolo unico
del personale non dirigenziale di ciascun Ministero, i
regolamenti assicurano forme ordinarie di mobilita' tra i
diversi dipartimenti e le diverse direzioni generali, nel
rispetto dei requisiti di professionalita' richiesti per
l'esercizio delle relative funzioni, ferme restando le
normative contrattuali in materia. La nuova organizzazione
e la dotazione organica del personale non devono comunque
comportare incrementi di spesa.
2. I Ministeri che si avvalgono di propri sistemi
informativi automatizzati sono tenuti ad assicurarne
l'interconnessione con i sistemi informativi automatizzati
delle altre amministrazioni centrali e locali per il
tramite della rete unitaria delle pubbliche
amministrazioni.
3. Il regolamento di cui al precedente comma 1 si
attiene, inoltre, ai criteri fissati dall' articolo 1 della
legge 7 agosto 1990, n. 241 e dall' articolo 2 del decreto
legislativo 3 febbraio 1993, n. 29 e successive
modificazioni e integrazioni.
4. All'individuazione degli uffici di livello
dirigenziale non generale di ciascun Ministero e alla
definizione dei relativi compiti, nonche' la distribuzione
dei predetti uffici tra le strutture di livello
dirigenziale generale, si provvede con decreto ministeriale
di natura non regolamentare.
4-bis. La disposizione di cui al comma 4 si applica
anche in deroga alla eventuale distribuzione degli uffici
di livello dirigenziale non generale stabilita nel
regolamento di organizzazione del singolo Ministero.
5. Con le medesime modalita' di cui al precedente comma
1 si procede alla revisione periodica dell'organizzazione
ministeriale, con cadenza almeno biennale.
6. I regolamenti di cui al comma 1 raccolgono tutte le
disposizioni normative relative a ciascun Ministero. Le
restanti norme vigenti sono abrogate con effetto dalla data
di entrata in vigore dei regolamenti medesimi.»