Art. 15
Autorita' competenti
1. Ai sensi dell'articolo 1, comma 6, lettera c), del
decreto-legge, le verifiche e le ispezioni sono svolte:
a) dalla Presidenza del Consiglio dei Ministri, per i profili di
pertinenza dei soggetti pubblici inclusi nel perimetro e di quelli di
cui all'articolo 29 del decreto legislativo 7 marzo 2005, n. 82,
rientranti tra i soggetti di cui all'articolo 1, comma 2-bis, del
decreto-legge, ed in particolare dalla struttura della Presidenza del
Consiglio dei Ministri competente per l'innovazione tecnologica e la
digitalizzazione;
b) dal Ministero dello sviluppo economico per i soggetti privati
inclusi nel perimetro e di cui al medesimo articolo 1, comma 2-bis,
del decreto-legge, ed in particolare dalla struttura competente in
materia di tecnologie delle comunicazioni e di sicurezza informatica;
c) dalle strutture specializzate di cui all'articolo 1, comma 6,
lettera c), del decreto-legge, secondo le rispettive competenze,
limitatamente alle reti, ai sistemi informativi, ai servizi
informatici, di cui all'articolo 1, comma 2, lettera b), dello stesso
decreto-legge, connessi alla funzione di prevenzione e repressione
dei reati, alla tutela dell'ordine e della sicurezza pubblica, alla
difesa civile e alla difesa e sicurezza militare dello Stato, che
comunicano gli esiti alla Presidenza del Consiglio dei Ministri per i
profili di competenza.
2. Le autorita' competenti istituiscono e aggiornano un elenco del
personale da incaricare per lo svolgimento delle attivita' di
ispezione e verifica. L'eventuale accesso ad informazioni
classificate di cui all'articolo 42 della legge 3 agosto 2007, n.
124, derivante dallo svolgimento delle predette attivita', e'
effettuato, nel rispetto del principio di cui al comma 1 del medesimo
articolo e, nel caso di informazioni con classifica superiore a
«riservato», esclusivamente da personale in possesso del requisito di
cui al comma 1-bis del predetto articolo 42.
3. Ai fini dello svolgimento delle verifiche e delle ispezioni, le
autorita' competenti individuano il personale incaricato, nonche' un
responsabile del procedimento ai sensi dell'articolo 6 della legge 7
agosto 1990, n. 241.
4. Nell'attribuzione degli incarichi le autorita' competenti si
attengono a criteri di professionalita' e di rotazione.
5. Al momento dell'accettazione dell'incarico, il personale
incaricato dichiara di non trovarsi, per quanto a sua conoscenza, in
una situazione di conflitto di interessi e si impegna a segnalare
ogni sopravvenuta situazione di conflitto, anche potenziale.
6. Ai sensi dell'articolo 1, comma 8, lettera a), del
decreto-legge, le autorita' competenti si raccordano, ove necessario
per lo svolgimento delle verifiche e delle ispezioni, con le
autorita' di cui all'articolo 7 del decreto legislativo 18 maggio
2018, n. 65, anche al fine di avvalersi di personale dipendente
esperto nei settori di cui al medesimo decreto legislativo.
Note all'art. 15:
- Si riporta il testo dell'art. 29 del citato decreto
legislativo 7 marzo 2005, n. 82:
«Art. 29 (Qualificazione dei fornitori di servizi). -
1. I soggetti che intendono fornire servizi fiduciari
qualificati o svolgere l'attivita' di gestore di posta
elettronica certificata presentano all'AgID domanda di
qualificazione, secondo le modalita' fissate dalle Linee
guida.
2. Ai fini della qualificazione, i soggetti di cui al
comma 1 devono possedere i requisiti di cui all'articolo 24
del Regolamento (UE) 23 luglio 2014, n. 910/2014, disporre
di requisiti di onorabilita', affidabilita', tecnologici e
organizzativi compatibili con la disciplina europea,
nonche' di garanzie assicurative adeguate rispetto
all'attivita' svolta. Con decreto del Presidente del
Consiglio dei ministri, o del Ministro delegato per
l'innovazione tecnologica e la digitalizzazione, sentita
l'AgID, nel rispetto della disciplina europea, sono
definiti i predetti requisiti in relazione alla specifica
attivita' che i soggetti di cui al comma 1 intendono
svolgere. Il predetto decreto determina altresi' i criteri
per la fissazione delle tariffe dovute all'AgID per lo
svolgimento delle predette attivita', nonche' i requisiti e
le condizioni per lo svolgimento delle attivita' di cui al
comma 1 da parte di amministrazioni pubbliche.
[3. Fatto salvo quanto previsto dall'articolo 44-bis,
comma 3, del presente decreto e dall'articolo 14, comma 3,
del decreto del Presidente della Repubblica 11 febbraio
2005, n. 68, il richiedente deve inoltre possedere i
requisiti individuati con decreto del Presidente del
Consiglio dei ministri da fissare in base ai seguenti
criteri:
a) per quanto riguarda il capitale sociale,
graduazione entro il limite massimo di cinque milioni di
euro, in proporzione al livello di servizio offerto;
b) per quanto riguarda le garanzie assicurative,
graduazione in modo da assicurarne l'adeguatezza in
proporzione al livello di servizio offerto.].
4. La domanda di qualificazione si considera accolta
qualora non venga comunicato all'interessato il
provvedimento di diniego entro novanta giorni dalla data di
presentazione della stessa.
5. Il termine di cui al comma 4, puo' essere sospeso
una sola volta entro trenta giorni dalla data di
presentazione della domanda, esclusivamente per la motivata
richiesta di documenti che integrino o completino la
documentazione presentata e che non siano gia' nella
disponibilita' di AgID o che questo non possa acquisire
autonomamente. In tale caso, il termine riprende a
decorrere dalla data di ricezione della documentazione
integrativa.
6. A seguito dell'accoglimento della domanda, AgID
dispone l'iscrizione del richiedente in un apposito elenco
di fiducia pubblico, tenuto da AgID stesso e consultabile
anche in via telematica, ai fini dell'applicazione della
disciplina in questione.
7. - 8.
9. Alle attivita' previste dal presente articolo si
fa fronte nell'ambito delle risorse di AgID, senza nuovi o
maggiori oneri per la finanza pubblica.».
- Si riporta il testo dell'art. 1, comma 2-bis, del
citato decreto-legge 21 settembre 2019, n. 105, convertito
con modificazioni, dalla legge 18 novembre 2019, n. 133:
«Art. 1 (Perimetro di sicurezza nazionale
cibernetica). - (Omissis).
2-bis. L'elencazione dei soggetti individuati ai
sensi del comma 2, lettera a), e' contenuta in un atto
amministrativo, adottato dal Presidente del Consiglio dei
ministri, su proposta del CISR, entro trenta giorni dalla
data di entrata in vigore del decreto del Presidente del
Consiglio dei ministri di cui al comma 2. Il predetto atto
amministrativo, per il quale e' escluso il diritto di
accesso, non e' soggetto a pubblicazione, fermo restando
che a ciascun soggetto e' data, separatamente,
comunicazione senza ritardo dell'avvenuta iscrizione
nell'elenco. L'aggiornamento del predetto atto
amministrativo e' effettuato con le medesime modalita' di
cui al presente comma.».
- Si riporta il testo dell'art. 42 della legge 3 agosto
2007, n. 124 «Sistema di informazione per la sicurezza
della Repubblica e nuova disciplina del segreto»:
«Art. 42 (Classifiche di segretezza). - 1. Le
classifiche di segretezza sono attribuite per circoscrivere
la conoscenza di informazioni, documenti, atti, attivita' o
cose ai soli soggetti che abbiano necessita' di accedervi
in ragione delle proprie funzioni istituzionali.
1-bis. Per la trattazione di informazioni
classificate segretissimo, segreto e riservatissimo e'
necessario altresi' il possesso del nulla osta di sicurezza
(NOS).
2. La classifica di segretezza e' apposta, e puo'
essere elevata, dall'autorita' che forma il documento,
l'atto o acquisisce per prima la notizia, ovvero e'
responsabile della cosa, o acquisisce dall'estero
documenti, atti, notizie o cose.
3. Le classifiche attribuibili sono: segretissimo,
segreto, riservatissimo, riservato. Le classifiche sono
attribuite sulla base dei criteri ordinariamente seguiti
nelle relazioni internazionali.
4. Chi appone la classifica di segretezza individua,
all'interno di ogni atto o documento, le parti che devono
essere classificate e fissa specificamente il grado di
classifica corrispondente ad ogni singola parte.
5. La classifica di segretezza e' automaticamente
declassificata a livello inferiore quando sono trascorsi
cinque anni dalla data di apposizione; decorso un ulteriore
periodo di cinque anni, cessa comunque ogni vincolo di
classifica.
6. La declassificazione automatica non si applica
quando, con provvedimento motivato, i termini di efficacia
del vincolo sono prorogati dal soggetto che ha proceduto
alla classifica o, nel caso di proroga oltre il termine di
quindici anni, dal Presidente del Consiglio dei ministri.
7. Il Presidente del Consiglio dei ministri verifica
il rispetto delle norme in materia di classifiche di
segretezza. Con apposito regolamento sono determinati
l'ambito dei singoli livelli di segretezza, i soggetti cui
e' conferito il potere di classifica e gli uffici che,
nell'ambito della pubblica amministrazione, sono collegati
all'esercizio delle funzioni di informazione per la
sicurezza della Repubblica, nonche' i criteri per
l'individuazione delle materie oggetto di classifica e i
modi di accesso nei luoghi militari o in quelli definiti di
interesse per la sicurezza della Repubblica.
8. Qualora l'autorita' giudiziaria ordini
l'esibizione di documenti classificati per i quali non sia
opposto il segreto di Stato, gli atti sono consegnati
all'autorita' giudiziaria richiedente, che ne cura la
conservazione con modalita' che ne tutelino la
riservatezza, garantendo il diritto delle parti nel
procedimento a prenderne visione senza estrarne copia.
9. Chiunque illegittimamente distrugge documenti del
DIS o dei servizi di informazione per la sicurezza, in ogni
stadio della declassificazione, nonche' quelli privi di
ogni vincolo per decorso dei termini, e' punito con la
reclusione da uno a cinque anni.».
- Si riporta il testo dell'art. 1, comma 8, del citato
decreto-legge 21 settembre 2019, n. 105, convertito con
modificazioni, dalla legge 18 novembre 2019, n. 133:
«Art. 1 (Perimetro di sicurezza nazionale
cibernetica). - (Omissis).
8. I soggetti di cui agli articoli 12 e 14 del
decreto legislativo 18 maggio 2018, n. 65, e quelli di cui
all'articolo 16-ter, comma 2, del codice delle
comunicazioni elettroniche di cui al decreto legislativo 1°
agosto 2003, n. 259, inclusi nel perimetro di sicurezza
nazionale cibernetica:
a) osservano le misure di sicurezza previste,
rispettivamente, dai predetti decreti legislativi, ove di
livello almeno equivalente a quelle adottate ai sensi del
comma 3, lettera b), del presente articolo; le eventuali
misure aggiuntive necessarie al fine di assicurare i
livelli di sicurezza previsti dal presente decreto sono
definite dalla Presidenza del Consiglio dei ministri, per i
soggetti pubblici e per quelli di cui all'articolo 29 del
codice di cui al decreto legislativo 7 marzo 2005, n. 82,
di cui al comma 2-bis, e dal Ministero dello sviluppo
economico per i soggetti privati di cui al medesimo comma,
avvalendosi anche del CVCN; il Ministero dello sviluppo
economico e la Presidenza del Consiglio dei ministri si
raccordano, ove necessario, con le autorita' competenti di
cui all'articolo 7 del decreto legislativo 18 maggio 2018,
n. 65;
b) assolvono l'obbligo di notifica di cui al comma
3, lettera a), che costituisce anche adempimento,
rispettivamente, dell'obbligo di notifica di cui agli
articoli 12 e 14 del decreto legislativo 18 maggio 2018, n.
65, e dell'analogo obbligo previsto ai sensi dell'articolo
16-ter del codice di cui al decreto legislativo 1° agosto
2003, n. 259, e delle correlate disposizioni attuative; a
tal fine, oltre a quanto previsto dal comma 3, lettera a),
anche in relazione alle disposizioni di cui all'articolo
16-ter del codice di cui al decreto legislativo 1° agosto
2003, n. 259, il CSIRT italiano inoltra le notifiche
ricevute ai sensi del predetto comma 3, lettera a),
all'autorita' competente di cui all'articolo 7 del decreto
legislativo 18 maggio 2018, n. 65.».
- Si riporta il testo dell'art. 7 del citato decreto
legislativo 18 maggio 2018, n. 65:
«Art. 7 (Autorita' nazionali competenti e punto di
contatto unico). - 1. Sono designate quali Autorita'
competenti NIS per i settori e sottosettori di cui
all'allegato II e per i servizi di cui all'allegato III:
a) il Ministero dello sviluppo economico per il
settore energia, sottosettori energia elettrica, gas e
petrolio e per il settore infrastrutture digitali,
sottosettori IXP, DNS, TLD, nonche' per i servizi digitali;
b) il Ministero delle infrastrutture e dei
trasporti per il settore trasporti, sottosettori aereo,
ferroviario, per vie d'acqua e su strada;
c) il Ministero dell'economia e delle finanze per
il settore bancario e per il settore infrastrutture dei
mercati finanziari, in collaborazione con le autorita' di
vigilanza di settore, Banca d'Italia e Consob, secondo
modalita' di collaborazione e di scambio di informazioni
stabilite con decreto del Ministro dell'economia e delle
finanze;
d) il Ministero della salute per l'attivita' di
assistenza sanitaria, come definita dall'articolo 3, comma
1, lettera a), del decreto legislativo 4 marzo 2014, n. 38,
prestata dagli operatori dipendenti o incaricati dal
medesimo Ministero o convenzionati con lo stesso e le
Regioni e le Province autonome di Trento e di Bolzano,
direttamente o per il tramite delle Autorita' sanitarie
territorialmente competenti, per le attivita' di assistenza
sanitaria prestata dagli operatori autorizzati e
accreditati delle Regioni o dalle Province autonome negli
ambiti territoriali di rispettiva competenza;
e) il Ministero dell'ambiente e della tutela del
territorio e del mare e le Regioni e le Province autonome
di Trento e di Bolzano, direttamente o per il tramite delle
Autorita' territorialmente competenti, in merito al settore
fornitura e distribuzione di acqua potabile.
2. Le Autorita' competenti NIS sono responsabili
dell'attuazione del presente decreto con riguardo ai
settori di cui all'allegato II e ai servizi di cui
all'allegato III e vigilano sull'applicazione del presente
decreto a livello nazionale esercitando altresi' le
relative potesta' ispettive e sanzionatorie.
3. Il Dipartimento delle informazioni per la
sicurezza (DIS) e' designato quale punto di contatto unico
in materia di sicurezza delle reti e dei sistemi
informativi.
4. Il punto di contatto unico svolge una funzione di
collegamento per garantire la cooperazione transfrontaliera
delle autorita' competenti NIS con le autorita' competenti
degli altri Stati membri, nonche' con il gruppo di
cooperazione di cui all'articolo 10 e la rete di CSIRT di
cui all'articolo 11.
5. Il punto di contatto unico collabora nel gruppo di
cooperazione in modo effettivo, efficiente e sicuro con i
rappresentanti designati dagli altri Stati.
6. Le autorita' competenti NIS e il punto di contatto
unico consultano, conformemente alla normativa vigente,
l'autorita' di contrasto ed il Garante per la protezione
dei dati personali e collaborano con essi.
7. La Presidenza del Consiglio dei ministri comunica
tempestivamente alla Commissione europea la designazione
del punto di contatto unico e quella delle autorita'
competenti NIS, i relativi compiti e qualsiasi ulteriore
modifica. Alle designazioni sono assicurate idonee forme di
pubblicita'.
8. Agli oneri derivanti dal presente articolo pari a
1.300.000 euro a decorrere dal 2018, si provvede ai sensi
dell'articolo 22.».