Art. 240 Misure organizzative per gli uffici di livello dirigenziale generale del Ministero dell'interno - Dipartimento della Pubblica Sicurezza. 1. E' istituita presso il Ministero dell'interno, nell'ambito del Dipartimento della Pubblica Sicurezza di cui all'articolo 4 della legge 1° aprile 1981, n. 121, una Direzione Centrale competente a sviluppare le attivita' di prevenzione e di tutela informatica e cibernetica previste dall'articolo 7-bis del decreto legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005 n. 155, e quelle attribuite al predetto Ministero dall'articolo 1 del decreto legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, nonche' ad assicurare l'unita' di indirizzo e coordinamento delle attivita' svolte dalla specialita' della polizia postale e delle comunicazioni della Polizia di Stato e degli altri compiti di natura tecnica che ne costituiscono il completamento al fine dell'organico supporto alle attivita' investigative. Alla Direzione Centrale e' preposto un dirigente generale della Polizia di Stato, del ruolo ordinario della carriera dei funzionari che espletano funzioni di polizia. 2. Il numero delle Direzioni Centrali e degli uffici di livello equiparato in cui si articola il Dipartimento della Pubblica Sicurezza, sulla scorta di quanto previsto dal comma 1, e', conseguentemente, incrementato di una unita', fermo restando il numero complessivo dei posti dirigenziali generali di pubblica sicurezza di cui alla tabella A del D.P.R. 24 aprile 1982, n. 335. Con regolamento da adottarsi ai sensi dell'articolo 17, comma 4-bis, della legge 23 agosto 1988, n. 400, si provvede ad adeguare alle previsioni di cui al presente articolo il regolamento recante l'organizzazione degli uffici centrali di livello dirigenziale generale del Ministero dell'interno, adottato ai sensi dell'articolo 4 del decreto legislativo 30 luglio 1999, n. 300. 3. All'attuazione delle disposizioni del presente articolo si provvede con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente e, comunque, senza nuovi o maggiori oneri a carico della finanza pubblica.
Riferimenti normativi - Si riporta il testo dell'articolo 4 della legge 1° aprile 1981, n. 121 (Nuovo ordinamento dell'amministrazione della pubblica sicurezza): «Art. 4 Dipartimento della pubblica sicurezza Nell'ambito dell'Amministrazione della pubblica sicurezza e' istituito il dipartimento della pubblica sicurezza che provvede, secondo le direttive e gli ordini del Ministro dell'interno: 1) all'attuazione della politica dell'ordine e della sicurezza pubblica; 2) al coordinamento tecnico-operativo delle forze di polizia; 3) alla direzione e amministrazione della Polizia di Stato; 4) alla direzione e gestione dei supporti tecnici, anche per le esigenze generali del Ministero dell'interno.» - Si riporta il testo dell'articolo 7-bis del citato decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155: «Art. 7-bis Sicurezza telematica 1. Ferme restando le competenze dei Servizi informativi e di sicurezza, di cui agli articoli 4 e 6 della legge 24 ottobre 1977, n. 801 l'organo del Ministero dell'interno per la sicurezza e per la regolarita' dei servizi di telecomunicazione assicura i servizi di protezione informatica delle infrastrutture critiche informatizzate di interesse nazionale individuate con decreto del Ministro dell'interno, operando mediante collegamenti telematici definiti con apposite convenzioni con i responsabili delle strutture interessate. 2. Per le finalita' di cui al comma 1 e per la prevenzione e repressione delle attivita' terroristiche o di agevolazione del terrorismo condotte con i mezzi informatici, gli ufficiali di polizia giudiziaria appartenenti all'organo di cui al comma 1 possono svolgere le attivita' di cui all'articolo 4 commi 1 e 2, del decreto legge 18 ottobre 2001, n. 374, convertito, con modificazioni, dalla legge 15 dicembre 2001, n. 438 e quelle di cui all'articolo 226 delle norme di attuazione, di coordinamento e transitorie del codice di procedura penale, di cui al decreto legislativo 28 luglio 1989, n. 271 anche a richiesta o in collaborazione con gli organi di polizia giudiziaria ivi indicati.» - Si riporta il testo dell'articolo 1 del citato decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133: «Art. 1 Perimetro di sicurezza nazionale cibernetica 1. Al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati aventi una sede nel territorio nazionale, da cui dipende l'esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attivita' civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale, e' istituito il perimetro di sicurezza nazionale cibernetica. 2. Entro quattro mesi dalla data di entrata in vigore della legge di conversione del presente decreto, con decreto del Presidente del Consiglio dei ministri, adottato su proposta del Comitato interministeriale per la sicurezza della Repubblica (CISR): a) sono definiti modalita' e criteri procedurali di individuazione di amministrazioni pubbliche, enti e operatori pubblici e privati di cui al comma 1 aventi una sede nel territorio nazionale, inclusi nel perimetro di sicurezza nazionale cibernetica e tenuti al rispetto delle misure e degli obblighi previsti dal presente articolo; ai fini dell'individuazione, fermo restando che per gli Organismi di informazione per la sicurezza si applicano le norme previste dalla legge 3 agosto 2007, n. 124, si procede sulla base dei seguenti criteri: 1) il soggetto esercita una funzione essenziale dello Stato, ovvero assicura un servizio essenziale per il mantenimento di attivita' civili, sociali o economiche fondamentali per gli interessi dello Stato; 2) l'esercizio di tale funzione o la prestazione di tale servizio dipende da reti, sistemi informativi e servizi informatici; 2-bis) l'individuazione avviene sulla base di un criterio di gradualita', tenendo conto dell'entita' del pregiudizio per la sicurezza nazionale che, in relazione alle specificita' dei diversi settori di attivita', puo' derivare dal malfunzionamento, dall'interruzione, anche parziali, ovvero dall'utilizzo improprio delle reti, dei sistemi informativi e dei servizi informatici predetti. b) sono definiti, sulla base di un'analisi del rischio e di un criterio di gradualita' che tenga conto delle specificita' dei diversi settori di attivita', i criteri con i quali i soggetti di cui al comma 2-bis predispongono e aggiornano con cadenza almeno annuale un elenco delle reti, dei sistemi informativi e dei servizi informatici di cui al comma 1, di rispettiva pertinenza, comprensivo della relativa architettura e componentistica, fermo restando che, per le reti, i sistemi informativi e i servizi informatici attinenti alla gestione delle informazioni classificate, si applica quanto previsto dal regolamento adottato ai sensi dell'articolo 4, comma 3, lettera l), della legge 3 agosto 2007, n. 124; all'elaborazione di tali criteri provvede, adottando opportuni moduli organizzativi, l'organismo tecnico di supporto al CISR, integrato con un rappresentante della Presidenza del Consiglio dei ministri; entro sei mesi dalla data della comunicazione, prevista dal comma 2-bis, a ciascuno dei soggetti iscritti nell'elenco di cui al medesimo comma, i soggetti pubblici e quelli di cui all'articolo 29 del codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, nonche' quelli privati, di cui al comma 2-bis trasmettono tali elenchi, rispettivamente, alla Presidenza del Consiglio dei ministri e al Ministero dello sviluppo economico; la Presidenza del Consiglio dei ministri e il Ministero dello sviluppo economico inoltrano gli elenchi di rispettiva pertinenza al Dipartimento delle informazioni per la sicurezza, anche per le attivita' di prevenzione, preparazione e gestione di crisi cibernetiche affidate al Nucleo per la sicurezza cibernetica, nonche' all'organo del Ministero dell'interno per la sicurezza e la regolarita' dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155. 2-bis. L'elencazione dei soggetti individuati ai sensi del comma 2, lettera a), e' contenuta in un atto amministrativo, adottato dal Presidente del Consiglio dei ministri, su proposta del CISR, entro trenta giorni dalla data di entrata in vigore del decreto del Presidente del Consiglio dei ministri di cui al comma 2. Il predetto atto amministrativo, per il quale e' escluso il diritto di accesso, non e' soggetto a pubblicazione, fermo restando che a ciascun soggetto e' data, separatamente, comunicazione senza ritardo dell'avvenuta iscrizione nell'elenco. L'aggiornamento del predetto atto amministrativo e' effettuato con le medesime modalita' di cui al presente comma. 3. Entro dieci mesi dalla data di entrata in vigore della legge di conversione del presente decreto, con decreto del Presidente del Consiglio dei ministri, che disciplina altresi' i relativi termini e modalita' attuative, adottato su proposta del CISR: a) sono definite le procedure secondo cui i soggetti di cui al comma 2-bis notificano gli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui al comma 2, lettera b), al Gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT) italiano, che inoltra tali notifiche, tempestivamente, al Dipartimento delle informazioni per la sicurezza anche per le attivita' demandate al Nucleo per la sicurezza cibernetica; il Dipartimento delle informazioni per la sicurezza assicura la trasmissione delle notifiche cosi' ricevute all'organo del Ministero dell'interno per la sicurezza e la regolarita' dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, nonche' alla Presidenza del Consiglio dei ministri, se provenienti da un soggetto pubblico o da un soggetto di cui all'articolo 29 del decreto legislativo 7 marzo 2005, n. 82, ovvero al Ministero dello sviluppo economico, se effettuate da un soggetto privato; b) sono stabilite misure volte a garantire elevati livelli di sicurezza delle reti, dei sistemi informativi e dei servizi informatici di cui al comma 2, lettera b), tenendo conto degli standard definiti a livello internazionale e dell'Unione europea, relative: 1) alla struttura organizzativa preposta alla gestione della sicurezza; 1-bis) alle politiche di sicurezza e alla gestione del rischio; 2) alla mitigazione e gestione degli incidenti e alla loro prevenzione, anche attraverso interventi su apparati o prodotti che risultino gravemente inadeguati sul piano della sicurezza; 3) alla protezione fisica e logica e dei dati; 4) all'integrita' delle reti e dei sistemi informativi; 5) alla gestione operativa, ivi compresa la continuita' del servizio; 6) al monitoraggio, test e controllo; 7) alla formazione e consapevolezza; 8) all'affidamento di forniture di beni, sistemi e servizi di information and communication technology (ICT), anche mediante definizione di caratteristiche e requisiti di carattere generale, di standard e di eventuali limiti. 4. All'elaborazione delle misure di cui al comma 3, lettera b), provvedono, secondo gli ambiti di competenza delineati dal presente decreto, il Ministero dello sviluppo economico e la Presidenza del Consiglio dei ministri, d'intesa con il Ministero della difesa, il Ministero dell'interno, il Ministero dell'economia e delle finanze e il Dipartimento delle informazioni per la sicurezza. 4-bis. Gli schemi dei decreti di cui ai commi 2 e 3 sono trasmessi alla Camera dei deputati e al Senato della Repubblica per l'espressione del parere delle Commissioni parlamentari competenti per materia, che si pronunciano nel termine di trenta giorni, decorso il quale il decreto puo' essere comunque adottato. I medesimi schemi sono altresi' trasmessi al Comitato parlamentare per la sicurezza della Repubblica. 4-ter. L'atto amministrativo di cui al comma 2-bis e i suoi aggiornamenti sono trasmessi, entro dieci giorni dall'adozione, al Comitato parlamentare per la sicurezza della Repubblica. 5. Per l'aggiornamento di quanto previsto dai decreti di cui ai commi 2 e 3 si procede secondo le medesime modalita' di cui ai commi 2, 3, 4 e 4-bis con cadenza almeno biennale. 6. Con regolamento, adottato ai sensi dell'articolo 17, comma 1, della legge 23 agosto 1988, n. 400, entro dieci mesi dalla data di entrata in vigore della legge di conversione del presente decreto, sono disciplinati le procedure, le modalita' e i termini con cui: a) i soggetti di cui al comma 2-bis, ovvero le centrali di committenza alle quali essi fanno ricorso ai sensi dell'articolo 1, comma 512, della legge 28 dicembre 2015, n. 208, che intendano procedere all'affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici di cui al comma 2, lettera b), appartenenti a categorie individuate, sulla base di criteri di natura tecnica, con decreto del Presidente del Consiglio dei ministri, da adottare entro dieci mesi dalla data di entrata in vigore della legge di conversione del presente decreto, ne danno comunicazione al Centro di valutazione e certificazione nazionale (CVCN), istituito presso il Ministero dello sviluppo economico; la comunicazione comprende anche la valutazione del rischio associato all'oggetto della fornitura, anche in relazione all'ambito di impiego. Entro quarantacinque giorni dalla ricezione della comunicazione, prorogabili di quindici giorni, una sola volta, in caso di particolare complessita', il CVCN puo' effettuare verifiche preliminari ed imporre condizioni e test di hardware e software da compiere anche in collaborazione con i soggetti di cui al comma 2-bis, secondo un approccio gradualmente crescente nelle verifiche di sicurezza. Decorso il termine di cui al precedente periodo senza che il CVCN si sia pronunciato, i soggetti che hanno effettuato la comunicazione possono proseguire nella procedura di affidamento. In caso di imposizione di condizioni e test di hardware e software, i relativi bandi di gara e contratti sono integrati con clausole che condizionano, sospensivamente ovvero risolutivamente, il contratto al rispetto delle condizioni e all'esito favorevole dei test disposti dal CVCN. I test devono essere conclusi nel termine di sessanta giorni. Decorso il termine di cui al precedente periodo, i soggetti che hanno effettuato la comunicazione possono proseguire nella procedura di affidamento. In relazione alla specificita' delle forniture di beni, sistemi e servizi ICT da impiegare su reti, sistemi informativi e servizi informatici del Ministero dell'interno e del Ministero della difesa, individuati ai sensi del comma 2, lettera b), i predetti Ministeri, nell'ambito delle risorse umane e finanziarie disponibili a legislazione vigente e senza nuovi o maggiori oneri a carico della finanza pubblica, in coerenza con quanto previsto dal presente decreto, possono procedere, con le medesime modalita' e i medesimi termini previsti dai periodi precedenti, attraverso la comunicazione ai propri Centri di valutazione accreditati per le attivita' di cui al presente decreto, ai sensi del comma 7, lettera b), che impiegano le metodologie di verifica e di test definite dal CVCN. Per tali casi i predetti Centri informano il CVCN con le modalita' stabilite con il decreto del Presidente del Consiglio dei ministri, di cui al comma 7, lettera b). Non sono oggetto di comunicazione gli affidamenti delle forniture di beni, sistemi e servizi ICT destinate alle reti, ai sistemi informativi e ai servizi informatici per lo svolgimento delle attivita' di prevenzione, accertamento e repressione dei reati e i casi di deroga stabiliti dal medesimo regolamento con riguardo alle forniture di beni, sistemi e servizi ICT per le quali sia indispensabile procedere in sede estera, fermo restando, in entrambi i casi, l'utilizzo di beni, sistemi e servizi ICT conformi ai livelli di sicurezza di cui al comma 3, lettera b), salvo motivate esigenze connesse agli specifici impieghi cui essi sono destinati; b) i soggetti individuati quali fornitori di beni, sistemi e servizi destinati alle reti, ai sistemi informativi e ai servizi informatici di cui al comma 2, lettera b), assicurano al CVCN e, limitatamente agli ambiti di specifica competenza, ai Centri di valutazione operanti presso i Ministeri dell'interno e della difesa, di cui alla lettera a) del presente comma, la propria collaborazione per l'effettuazione delle attivita' di test di cui alla lettera a) del presente comma, sostenendone gli oneri; il CVCN segnala la mancata collaborazione al Ministero dello sviluppo economico, in caso di fornitura destinata a soggetti privati, o alla Presidenza del Consiglio dei ministri, in caso di fornitura destinata a soggetti pubblici ovvero a quelli di cui all'articolo 29 del codice di cui al decreto legislativo 7 marzo 2005, n. 82; sono inoltrate altresi' alla Presidenza del Consiglio dei ministri le analoghe segnalazioni dei Centri di valutazione dei Ministeri dell'interno e della difesa, di cui alla lettera a); c) la Presidenza del Consiglio dei ministri, per i profili di pertinenza dei soggetti pubblici e di quelli di cui all'articolo 29 del codice dell'Amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, di cui al comma 2-bis, e il Ministero dello sviluppo economico, per i soggetti privati di cui al medesimo comma, svolgono attivita' di ispezione e verifica in relazione a quanto previsto dal comma 2, lettera b), dal comma 3, dal presente comma e dal comma 7, lettera b), impartendo, se necessario, specifiche prescrizioni; nello svolgimento delle predette attivita' di ispezione e verifica l'accesso, se necessario, a dati o metadati personali e amministrativi e' effettuato in conformita' a quanto previsto dal regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, e dal codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196; per le reti, i sistemi informativi e i servizi informatici di cui al comma 2, lettera b), connessi alla funzione di prevenzione e repressione dei reati, alla tutela dell'ordine e della sicurezza pubblica, alla difesa civile e alla difesa e sicurezza militare dello Stato, le attivita' di ispezione e verifica sono svolte, nell'ambito delle risorse umane e finanziarie disponibili a legislazione vigente e senza nuovi o maggiori oneri a carico della finanza pubblica, dalle strutture specializzate in tema di protezione di reti e sistemi, nonche', nei casi in cui siano espressamente previste dalla legge, in tema di prevenzione e di contrasto del crimine informatico, delle amministrazioni da cui dipendono le Forze di polizia e le Forze armate, che ne comunicano gli esiti alla Presidenza del Consiglio dei ministri per i profili di competenza. 7. Nell'ambito dell'approvvigionamento di prodotti, processi, servizi ICT e associate infrastrutture destinati alle reti, ai sistemi informativi e per l'espletamento dei servizi informatici di cui al comma 2, lettera b), il CVCN assume i seguenti compiti: a) contribuisce all'elaborazione delle misure di sicurezza di cui al comma 3, lettera b), per cio' che concerne l'affidamento di forniture di beni, sistemi e servizi ICT; b) ai fini della verifica delle condizioni di sicurezza e dell'assenza di vulnerabilita' note, anche in relazione all'ambito di impiego, definisce le metodologie di verifica e di test e svolge le attivita' di cui al comma 6, lettera a), dettando, se del caso, anche prescrizioni di utilizzo al committente; a tali fini il CVCN si avvale anche di laboratori dallo stesso accreditati secondo criteri stabiliti da un decreto del Presidente del Consiglio dei ministri, adottato entro dieci mesi dalla data di entrata in vigore della legge di conversione del presente decreto, su proposta del CISR, impiegando, per le esigenze delle amministrazioni centrali dello Stato, quelli eventualmente istituiti, senza nuovi o maggiori oneri a carico della finanza pubblica, presso le medesime amministrazioni. Con lo stesso decreto sono altresi' stabiliti i raccordi, ivi compresi i contenuti, le modalita' e i termini delle comunicazioni, tra il CVCN e i predetti laboratori, nonche' tra il medesimo CVCN e i Centri di valutazione del Ministero dell'interno e del Ministero della difesa, di cui al comma 6, lettera a), anche la fine di assicurare il coordinamento delle rispettive attivita' e perseguire la convergenza e la non duplicazione delle valutazioni in presenza di medesimi condizioni e livelli di rischio; c) elabora e adotta, previo conforme avviso dell'organismo tecnico di supporto al CISR, schemi di certificazione cibernetica, tenendo conto degli standard definiti a livello internazionale e dell'Unione europea, laddove, per ragioni di sicurezza nazionale, gli schemi di certificazione esistenti non siano ritenuti adeguati alle esigenze di tutela del perimetro di sicurezza nazionale cibernetica. 8. I soggetti di cui agli articoli 12 e 14 del decreto legislativo 18 maggio 2018, n. 65, e quelli di cui all'articolo 16-ter, comma 2, del codice delle comunicazioni elettroniche di cui al decreto legislativo 1° agosto 2003, n. 259, inclusi nel perimetro di sicurezza nazionale cibernetica: a) osservano le misure di sicurezza previste, rispettivamente, dai predetti decreti legislativi, ove di livello almeno equivalente a quelle adottate ai sensi del comma 3, lettera b), del presente articolo; le eventuali misure aggiuntive necessarie al fine di assicurare i livelli di sicurezza previsti dal presente decreto sono definite dalla Presidenza del Consiglio dei ministri, per i soggetti pubblici e per quelli di cui all'articolo 29 del codice di cui al decreto legislativo 7 marzo 2005, n. 82, di cui al comma 2-bis, e dal Ministero dello sviluppo economico per i soggetti privati di cui al medesimo comma, avvalendosi anche del CVCN; il Ministero dello sviluppo economico e la Presidenza del Consiglio dei ministri si raccordano, ove necessario, con le autorita' competenti di cui all'articolo 7 del decreto legislativo 18 maggio 2018, n. 65; b) assolvono l'obbligo di notifica di cui al comma 3, lettera a), che costituisce anche adempimento, rispettivamente, dell'obbligo di notifica di cui agli articoli 12 e 14 del decreto legislativo 18 maggio 2018, n. 65, e dell'analogo obbligo previsto ai sensi dell'articolo 16-ter del codice di cui al decreto legislativo 1° agosto 2003, n. 259, e delle correlate disposizioni attuative; a tal fine, oltre a quanto previsto dal comma 3, lettera a), anche in relazione alle disposizioni di cui all'articolo 16-ter del codice di cui al decreto legislativo 1° agosto 2003, n. 259, il CSIRT italiano inoltra le notifiche ricevute ai sensi del predetto comma 3, lettera a), all'autorita' competente di cui all'articolo 7 del decreto legislativo 18 maggio 2018, n. 65. 9. Salvo che il fatto costituisca reato: a) il mancato adempimento degli obblighi di predisposizione, di aggiornamento e di trasmissione dell'elenco delle reti, dei sistemi informativi e dei servizi informatici di cui al comma 2, lettera b), e' punito con la sanzione amministrativa pecuniaria da euro 200.000 a euro 1.200.000; b) il mancato adempimento dell'obbligo di notifica di cui al comma 3, lettera a), nei termini prescritti, e' punito con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000; c) l'inosservanza delle misure di sicurezza di cui al comma 3, lettera b), e' punita con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000; d) la mancata comunicazione di cui al comma 6, lettera a), nei termini prescritti, e' punita con la sanzione amministrativa pecuniaria da euro 300.000 a euro 1.800.000; e) l'impiego di prodotti e servizi sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici di cui al comma 2, lettera b), in violazione delle condizioni o in assenza del superamento dei test imposti dal CVCN ovvero dai Centri di valutazione di cui al comma 6, lettera a), e' punito con la sanzione amministrativa pecuniaria da euro 300.000 a euro 1.800.000; f) la mancata collaborazione per l'effettuazione delle attivita' di test di cui al comma 6, lettera a), da parte dei soggetti di cui al medesimo comma 6, lettera b), e' punita con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000; g) il mancato adempimento delle prescrizioni indicate dal Ministero dello sviluppo economico o dalla Presidenza del Consiglio dei ministri in esito alle attivita' di ispezione e verifica svolte ai sensi del comma 6, lettera c), e' punito con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000; h) il mancato rispetto delle prescrizioni di cui al comma 7, lettera b), e' punito con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000. 10. L'impiego di prodotti e di servizi sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici di cui al comma 2, lettera b), in assenza della comunicazione o del superamento dei test o in violazione delle condizioni di cui al comma 6, lettera a), comporta, oltre alle sanzioni di cui al comma 9, lettere d) ed e), l'applicazione della sanzione amministrativa accessoria della incapacita' ad assumere incarichi di direzione, amministrazione e controllo nelle persone giuridiche e nelle imprese, per un periodo di tre anni a decorrere dalla data di accertamento della violazione. 11. Chiunque, allo scopo di ostacolare o condizionare l'espletamento dei procedimenti di cui al comma 2, lettera b), o al comma 6, lettera a), o delle attivita' ispettive e di vigilanza previste dal comma 6, lettera c), fornisce informazioni, dati o elementi di fatto non rispondenti al vero, rilevanti per la predisposizione o l'aggiornamento degli elenchi di cui al comma 2, lettera b), o ai fini delle comunicazioni di cui al comma 6, lettera a), o per lo svolgimento delle attivita' ispettive e di vigilanza di cui al comma 6), lettera c) od omette di comunicare entro i termini prescritti i predetti dati, informazioni o elementi di fatto, e' punito con la reclusione da uno a tre anni. 11-bis. All'articolo 24-bis, comma 3, del decreto legislativo 8 giugno 2001, n. 231, dopo le parole: "di altro ente pubblico," sono inserite le seguenti: "e dei delitti di cui all'articolo 1, comma 11, del decreto-legge 21 settembre 2019, n. 105,". 12. Le autorita' competenti per l'accertamento delle violazioni e per l'irrogazione delle sanzioni amministrative sono la Presidenza del Consiglio dei ministri, per i soggetti pubblici e per i soggetti di cui all'articolo 29 del codice di cui al decreto legislativo 7 marzo 2005, n. 82, di cui al comma 2-bis, e il Ministero dello sviluppo economico, per i soggetti privati di cui al medesimo comma. 13. Ai fini dell'accertamento e dell'irrogazione delle sanzioni amministrative di cui al comma 9, si osservano le disposizioni contenute nel capo I, sezioni I e II, della legge 24 novembre 1981, n. 689. 14. Per i dipendenti dei soggetti pubblici di cui al comma 2-bis, la violazione delle disposizioni di cui al presente articolo puo' costituire causa di responsabilita' disciplinare e amministrativo-contabile. 15. Le autorita' titolari delle attribuzioni di cui al presente decreto assicurano gli opportuni raccordi con il Dipartimento delle informazioni per la sicurezza e con l'organo del Ministero dell'interno per la sicurezza e la regolarita' dei servizi di telecomunicazione, quale autorita' di contrasto nell'esercizio delle attivita' di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155. 16. La Presidenza del Consiglio dei ministri, per lo svolgimento delle funzioni di cui al presente decreto puo' avvalersi dell'Agenzia per l'Italia Digitale (AgID) sulla base di apposite convenzioni, nell'ambito delle risorse finanziarie e umane disponibili a legislazione vigente, senza nuovi o maggiori oneri per la finanza pubblica. 17. Al decreto legislativo 18 maggio 2018, n. 65, sono apportate le seguenti modificazioni: a) all'articolo 4, comma 5, dopo il primo periodo e' aggiunto il seguente: «Il Ministero dello sviluppo economico inoltra tale elenco al punto di contatto unico e all'organo del Ministero dell'interno per la sicurezza e la regolarita' dei servizi di telecomunicazione, di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155.»; b) all'articolo 9, comma 3, le parole «e il punto di contatto unico» sono sostituite dalle seguenti: «, il punto di contatto unico e l'organo del Ministero dell'interno per la sicurezza e la regolarita' dei servizi di telecomunicazione, di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155,». 18. Gli eventuali adeguamenti alle prescrizioni di sicurezza definite ai sensi del presente articolo, delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici di cui al comma 2-bis, sono effettuati con le risorse finanziarie disponibili a legislazione vigente. 19. Per la realizzazione, l'allestimento e il funzionamento del CVCN di cui ai commi 6 e 7 e' autorizzata la spesa di euro 3.200.000 per l'anno 2019 e di euro 2.850.000 per ciascuno degli anni dal 2020 al 2023 e di euro 750.000 annui a decorrere dall'anno 2024. Per la realizzazione, l'allestimento e il funzionamento del Centro di valutazione del Ministero dell'interno, di cui ai commi 6 e 7, e' autorizzata la spesa di euro 200.000 per l'anno 2019 e di euro 1.500.000 per ciascuno degli anni 2020 e 2021. 19-bis. Il Presidente del Consiglio dei ministri coordina la coerente attuazione delle disposizioni del presente decreto che disciplinano il perimetro di sicurezza nazionale cibernetica, anche avvalendosi del Dipartimento delle informazioni per la sicurezza, che assicura gli opportuni raccordi con le autorita' titolari delle attribuzioni di cui al presente decreto e con i soggetti di cui al comma 1 del presente articolo. Entro sessanta giorni dalla data di entrata in vigore del regolamento di cui al comma 6, il Presidente del Consiglio dei ministri trasmette alle Camere una relazione sulle attivita' svolte. 19-ter. Nei casi in cui sui decreti del Presidente del Consiglio dei ministri previsti dal presente articolo e' acquisito, ai fini della loro adozione, il parere del Consiglio di Stato, i termini ordinatori stabiliti dal presente articolo sono sospesi per un periodo di quarantacinque giorni.» - Si riporta la Tabella A del decreto del Presidente della Repubblica 24 aprile 1982, n. 335 (Ordinamento del personale della Polizia di Stato che espleta funzioni di polizia): «TABELLA A ===================================================================== | | | Posti di | | | | |qualifica | | |Livello di| | e di | | | funzione | Qualifica |funzione | FUNZIONE | +==========+=======================+==========+=====================+ | |Carriera dei funzionari| | | | | di Polizia | | | +----------+-----------------------+----------+---------------------+ | | | | Direttore o vice | | | | | direttore di | | | | | direzione o ufficio | | | | |centrale nell'ambito | | | | | del dipartimento | | | | | della pubblica | | | | | sicurezza; questore | | | | | di sede di | | | | | particolare | | | | |rilevanza; ispettore | | | | | generale capo; | | | | | consigliere | | | | | ministeriale; | | | | | dirigente di | | | | | ispettorato o di | | | | | ufficio speciale di | | | | | pubblica sicurezza; | | | | | direttore della | | | | | scuola superiore di | | | | | polizia; direttore | | | | | della scuola di | | | | | perfezionamento per | | | | |le forze di polizia; | | | | |dirigente di ufficio | | | | |interregionale per le| | | | | esigenze di polizia | | | | | di frontiera di | | | Dirigente generale di | | particolare | | C | pubblica sicurezza | 32 | rilevanza. | +----------+-----------------------+----------+---------------------+ | | | | Questore; ispettore | | | | |generale; consigliere| | | | | ministeriale | | | | | aggiunto; direttore | | | | | di servizio o di | | | | | ufficio equiparato | | | | | nell'ambito del | | | | | dipartimento della | | | | | pubblica sicurezza; | | | | | dirigente di | | | | | ispettorato o di | | | | | ufficio speciale di | | | | | pubblica sicurezza; | | | | |dirigente di ufficio | | | | | territoriale a | | | | | livello regionale o | | | | |interregionale per le| | | | | esigenze di polizia | | | | | stradale o | | | | | ferroviaria o di | | | | | frontiera, nonche' | | | | | postale e delle | | | | | comunicazioni di | | | | | particolare | | | | |rilevanza; dirigente | | | | |di reparto mobile di | | | | | particolare | | | | |rilevanza; direttore | | | | | di istituto di | | | | | istruzione di | | | | | particolare | | | | | rilevanza; vice | | | | | direttore della | | | | | scuola superiore di | | | | | polizia; vice | | | | | direttore della | | | | | scuola di | | | | | perfezionamento per | | D | Dirigente superiore | 195 |le forze di polizia. | +----------+-----------------------+----------+---------------------+ | | | |Vicario del questore;| | | | |dirigente di ufficio | | | | | di prima | | | | |articolazione interna| | | | | di particolare | | | | | rilevanza delle | | | | | questure; dirigente | | | | | di distretto di | | | | | pubblica sicurezza; | | | | | dirigente di | | | | | commissariato | | | | | distaccato di | | | | |pubblica sicurezza di| | | | | particolare | | | | |rilevanza; dirigente | | | | | di commissariato | | | | |sezionale di pubblica| | | | | sicurezza di | | | | | particolare | | | | | rilevanza; vice | | | | | consigliere | | | | | ministeriale; | | | | | direttore di | | | | | divisione o di | | | | | ufficio equiparato | | | | | nell'ambito del | | | | | dipartimento della | | | | | pubblica sicurezza; | | | | | vice dirigente di | | | | | ispettorato o di | | | | | ufficio speciale di | | | | | pubblica sicurezza; | | | | |dirigente di ufficio | | | | | territoriale a | | | | | livello anche | | | | | provinciale o | | | | | interprovinciale di | | | | |particolare rilevanza| | | | | per le esigenze di | | | | | polizia stradale o | | | | | ferroviaria o di | | | | |frontiera, nonche' a | | | | | livello regionale | | | | |o interregionale per | | | | |la polizia postale e | | | | |delle comunicazioni; | | | | | vice dirigente di | | | | |ufficio territoriale | | | | |a livello regionale o| | | | | interregionale di | | | | |particolare rilevanza| | | | | per le esigenze di | | | | | polizia stradale o | | | | | ferroviaria o di | | | | |frontiera o postale e| | | | |delle comunicazioni; | | | | |dirigente di reparto | | | | | mobile o di reparto | | | | | speciale; direttore | | | | | di istituto di | | | | | istruzione; vice | | | | |direttore di istituto| | | | | di istruzione di | | | | | particolare | | | | |rilevanza; dirigente | | | | | di gabinetto di | | | |709 (658 a|polizia scientifica a| | | |decorrere | livello regionale o | | | | dal 1 | interregionale di | | | | gennaio | particolare | | E | Primo dirigente | 2027) | rilevanza. | +----------+-----------------------+----------+---------------------+ | | | |Dirigente di ufficio | | | | | di prima | | | | |articolazione interna| | | | | di significativa | | | | | rilevanza delle | | | | | questure; vice | | | | |dirigente di ufficio | | | | | di prima | | | | |articolazione interna| | | | | di particolare | | | | | rilevanza delle | | | | | questure; dirigente | | | | | di sezione o di | | | | |ufficio equiparato di| | | | | ufficio di prima | | | | |articolazione interna| | | | | delle questure di | | | | | particolare | | | | |rilevanza; dirigente | | | | | di commissariato | | | | | distaccato di | | | | | pubblica sicurezza; | | | | | dirigente di | | | | | commissariato | | | | |sezionale di pubblica| | | | | sicurezza di | | | | | significativa | | | | | rilevanza; vice | | | | | dirigente di | | | | |distretto di pubblica| | | | |sicurezza; dirigente | | | | | di settore di | | | | |distretto di pubblica| | | | | sicurezza; vice | | | | |dirigente o dirigente| | | | | di settore di | | | | | commissariato | | | | | distaccato o | | | | |sezionale di pubblica| | | | | sicurezza di | | | | | particolare | | | | | rilevanza; | | | | | coordinatore di | | | | |attivita' complesse; | | | | | vice direttore di | | | | | divisione o di | | | | |ufficio equiparato o | | | | |direttore di sezione | | | | | o di ufficio | | | | | equiparato | | | | | nell'ambito del | | | | | dipartimento della | | | | | pubblica sicurezza; | | | | |dirigente di sezione | | | | | o di ufficio | | | | | equiparato di | | | | | ispettorato o di | | | | | ufficio speciale di | | | | | pubblica | | | | |sicurezza;dirigente o| | | | | vice dirigente o | | | | |dirigente di settore | | | | | di ufficio | | | | | territoriale a | | | | | livello anche | | | | | provinciale o | | | | | interprovinciale di | | | | | significativa | | | | | rilevanza per le | | | | | esigenze di polizia | | | | | stradale o | | | | | ferroviaria o di | | | | |frontiera, nonche' a | | | | | livello regionale o | | | | |interregionale per la| | | | | polizia postale e | | | | | delle | | | | | comunicazioni;vice | | | | |dirigente o dirigente| | | | |di settore di ufficio| | | | | territoriale a | | | | | livello regionale o | | | | | interregionale o | | | | | ufficio di | | | | |particolare rilevanza| | | | | per le esigenze di | | | | | polizia stradale o | | | | | ferroviaria o di | | | | |frontiera o postale e| | | | |delle comunicazioni; | | | | | dirigente o vice | | | | |dirigente o dirigente| | | | |di settore di reparto| | | | | mobile o di reparto | | | | |speciale; direttore o| | | | | vice direttore o | | | | |direttore di settore | | | | | di istituto di | | | | |istruzione; dirigente| | | | | o vice dirigente di | | | | |gabinetto di polizia | | | | |scientifica a livello| | | | | regionale o | | | | | interregionale; | | | | |dirigente di reparto | | | | |prevenzione crimine; | | | | | dirigente di nucleo | | | | | operativo di | | | | 1595 | protezione; | | | | (1.295 a | responsabile di | | | |decorrere | sezione di polizia | | | | dal 1 | giudiziaria di | | | Vice questore e Vice | gennaio | particolare | | | questore aggiunto | 2027) | rilevanza. | +----------+-----------------------+----------+---------------------+ | | | 1.969 | | | | | (1.520 a | | | | |decorrere | | | | Commissario capo | dal 1° | | | | Commissario Vice | gennaio | | | | Commissario | 2027) | | +----------+-----------------------+----------+---------------------+ | | | 4.500 | | | | | (3.700 a | | | | |decorrere | | | | | dal 1 | | | | Dotazione complessiva | gennaio | | | | Carriera funzionari | 2027) | | +----------+-----------------------+----------+---------------------+ | | | | 17.481 18.191 (a | | | | | decorrere dal 1° | | | Ruolo degli ispettori | | gennaio 2027) | +----------+-----------------------+----------+---------------------+ | | Vice ispettore | | | | | Ispettore Ispettore | | | | | capo Ispettore | | | | | superiore Sostituto | | | | | commissario | | 5.720 | +----------+-----------------------+----------+---------------------+ | | | | 23.201 23.911 (a | | | Dotazione complessiva | | decorrere dal 1° | | | ispettori | | gennaio 2027) | +----------+-----------------------+----------+---------------------+ | | | | 21.562 (24.000 a | | | Ruolo dei | | decorrere dal 1 | | | sovrintendenti | | gennaio 2021) | +----------+-----------------------+----------+---------------------+ | | Vice sovrintendente | | | | | Sovrintendente | | | | | Sovrintendente capo | | | +----------+-----------------------+----------+---------------------+ | | | | 50.270 51.870 (a | | | Ruolo degli agenti e | | decorrere dal 1° | | | assistenti | | gennaio 2020) | +----------+-----------------------+----------+---------------------+ | | Agente Agente scelto | | | | | Assistente Assistente | | | | | capo | | | +----------+-----------------------+----------+---------------------+ - Il testo del comma 4-bis dell'articolo 17 della legge 23 agosto 1988, n. 400 e' riportato nei riferimenti normativi all'art. 43. - Si riporta il testo dell'articolo 4 del citato decreto legislativo 30 luglio 1999, n. 300: «Art. 4 Disposizioni sull'organizzazione 1. L'organizzazione, la dotazione organica, l'individuazione degli uffici di livello dirigenziale generale ed il loro numero, le relative funzioni e la distribuzione dei posti di funzione dirigenziale, l'individuazione dei dipartimenti, nei casi e nei limiti fissati dalle disposizioni del presente decreto legislativo, e la definizione dei rispettivi compiti sono stabiliti con regolamenti o con decreti del Ministro emanati ai sensi dell'articolo 17, comma 4-bis, della legge 23 agosto 1988, n. 400. Si applica l' articolo 19 della legge 15 marzo 1997, n. 59. I regolamenti prevedono la soppressione dei ruoli esistenti e l'istituzione di un ruolo unico del personale non dirigenziale di ciascun Ministero, articolato in aree dipartimentali e per direzioni generali. Fino all'istituzione del ruolo unico del personale non dirigenziale di ciascun Ministero, i regolamenti assicurano forme ordinarie di mobilita' tra i diversi dipartimenti e le diverse direzioni generali, nel rispetto dei requisiti di professionalita' richiesti per l'esercizio delle relative funzioni, ferme restando le normative contrattuali in materia. La nuova organizzazione e la dotazione organica del personale non devono comunque comportare incrementi di spesa. 2. I Ministeri che si avvalgono di propri sistemi informativi automatizzati sono tenuti ad assicurarne l'interconnessione con i sistemi informativi automatizzati delle altre amministrazioni centrali e locali per il tramite della rete unitaria delle pubbliche amministrazioni. 3. Il regolamento di cui al precedente comma 1 si attiene, inoltre, ai criteri fissati dall' articolo 1 della legge 7 agosto 1990, n. 241 e dall' articolo 2 del decreto legislativo 3 febbraio 1993, n. 29 e successive modificazioni e integrazioni. 4. All'individuazione degli uffici di livello dirigenziale non generale di ciascun Ministero e alla definizione dei relativi compiti, nonche' la distribuzione dei predetti uffici tra le strutture di livello dirigenziale generale, si provvede con decreto ministeriale di natura non regolamentare. 4-bis. La disposizione di cui al comma 4 si applica anche in deroga alla eventuale distribuzione degli uffici di livello dirigenziale non generale stabilita nel regolamento di organizzazione del singolo Ministero. 5. Con le medesime modalita' di cui al precedente comma 1 si procede alla revisione periodica dell'organizzazione ministeriale, con cadenza almeno biennale. 6. I regolamenti di cui al comma 1 raccolgono tutte le disposizioni normative relative a ciascun Ministero. Le restanti norme vigenti sono abrogate con effetto dalla data di entrata in vigore dei regolamenti medesimi.»