Art. 15 Autorita' competenti 1. Ai sensi dell'articolo 1, comma 6, lettera c), del decreto-legge, le verifiche e le ispezioni sono svolte: a) dalla Presidenza del Consiglio dei Ministri, per i profili di pertinenza dei soggetti pubblici inclusi nel perimetro e di quelli di cui all'articolo 29 del decreto legislativo 7 marzo 2005, n. 82, rientranti tra i soggetti di cui all'articolo 1, comma 2-bis, del decreto-legge, ed in particolare dalla struttura della Presidenza del Consiglio dei Ministri competente per l'innovazione tecnologica e la digitalizzazione; b) dal Ministero dello sviluppo economico per i soggetti privati inclusi nel perimetro e di cui al medesimo articolo 1, comma 2-bis, del decreto-legge, ed in particolare dalla struttura competente in materia di tecnologie delle comunicazioni e di sicurezza informatica; c) dalle strutture specializzate di cui all'articolo 1, comma 6, lettera c), del decreto-legge, secondo le rispettive competenze, limitatamente alle reti, ai sistemi informativi, ai servizi informatici, di cui all'articolo 1, comma 2, lettera b), dello stesso decreto-legge, connessi alla funzione di prevenzione e repressione dei reati, alla tutela dell'ordine e della sicurezza pubblica, alla difesa civile e alla difesa e sicurezza militare dello Stato, che comunicano gli esiti alla Presidenza del Consiglio dei Ministri per i profili di competenza. 2. Le autorita' competenti istituiscono e aggiornano un elenco del personale da incaricare per lo svolgimento delle attivita' di ispezione e verifica. L'eventuale accesso ad informazioni classificate di cui all'articolo 42 della legge 3 agosto 2007, n. 124, derivante dallo svolgimento delle predette attivita', e' effettuato, nel rispetto del principio di cui al comma 1 del medesimo articolo e, nel caso di informazioni con classifica superiore a «riservato», esclusivamente da personale in possesso del requisito di cui al comma 1-bis del predetto articolo 42. 3. Ai fini dello svolgimento delle verifiche e delle ispezioni, le autorita' competenti individuano il personale incaricato, nonche' un responsabile del procedimento ai sensi dell'articolo 6 della legge 7 agosto 1990, n. 241. 4. Nell'attribuzione degli incarichi le autorita' competenti si attengono a criteri di professionalita' e di rotazione. 5. Al momento dell'accettazione dell'incarico, il personale incaricato dichiara di non trovarsi, per quanto a sua conoscenza, in una situazione di conflitto di interessi e si impegna a segnalare ogni sopravvenuta situazione di conflitto, anche potenziale. 6. Ai sensi dell'articolo 1, comma 8, lettera a), del decreto-legge, le autorita' competenti si raccordano, ove necessario per lo svolgimento delle verifiche e delle ispezioni, con le autorita' di cui all'articolo 7 del decreto legislativo 18 maggio 2018, n. 65, anche al fine di avvalersi di personale dipendente esperto nei settori di cui al medesimo decreto legislativo.
Note all'art. 15: - Si riporta il testo dell'art. 29 del citato decreto legislativo 7 marzo 2005, n. 82: «Art. 29 (Qualificazione dei fornitori di servizi). - 1. I soggetti che intendono fornire servizi fiduciari qualificati o svolgere l'attivita' di gestore di posta elettronica certificata presentano all'AgID domanda di qualificazione, secondo le modalita' fissate dalle Linee guida. 2. Ai fini della qualificazione, i soggetti di cui al comma 1 devono possedere i requisiti di cui all'articolo 24 del Regolamento (UE) 23 luglio 2014, n. 910/2014, disporre di requisiti di onorabilita', affidabilita', tecnologici e organizzativi compatibili con la disciplina europea, nonche' di garanzie assicurative adeguate rispetto all'attivita' svolta. Con decreto del Presidente del Consiglio dei ministri, o del Ministro delegato per l'innovazione tecnologica e la digitalizzazione, sentita l'AgID, nel rispetto della disciplina europea, sono definiti i predetti requisiti in relazione alla specifica attivita' che i soggetti di cui al comma 1 intendono svolgere. Il predetto decreto determina altresi' i criteri per la fissazione delle tariffe dovute all'AgID per lo svolgimento delle predette attivita', nonche' i requisiti e le condizioni per lo svolgimento delle attivita' di cui al comma 1 da parte di amministrazioni pubbliche. [3. Fatto salvo quanto previsto dall'articolo 44-bis, comma 3, del presente decreto e dall'articolo 14, comma 3, del decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, il richiedente deve inoltre possedere i requisiti individuati con decreto del Presidente del Consiglio dei ministri da fissare in base ai seguenti criteri: a) per quanto riguarda il capitale sociale, graduazione entro il limite massimo di cinque milioni di euro, in proporzione al livello di servizio offerto; b) per quanto riguarda le garanzie assicurative, graduazione in modo da assicurarne l'adeguatezza in proporzione al livello di servizio offerto.]. 4. La domanda di qualificazione si considera accolta qualora non venga comunicato all'interessato il provvedimento di diniego entro novanta giorni dalla data di presentazione della stessa. 5. Il termine di cui al comma 4, puo' essere sospeso una sola volta entro trenta giorni dalla data di presentazione della domanda, esclusivamente per la motivata richiesta di documenti che integrino o completino la documentazione presentata e che non siano gia' nella disponibilita' di AgID o che questo non possa acquisire autonomamente. In tale caso, il termine riprende a decorrere dalla data di ricezione della documentazione integrativa. 6. A seguito dell'accoglimento della domanda, AgID dispone l'iscrizione del richiedente in un apposito elenco di fiducia pubblico, tenuto da AgID stesso e consultabile anche in via telematica, ai fini dell'applicazione della disciplina in questione. 7. - 8. 9. Alle attivita' previste dal presente articolo si fa fronte nell'ambito delle risorse di AgID, senza nuovi o maggiori oneri per la finanza pubblica.». - Si riporta il testo dell'art. 1, comma 2-bis, del citato decreto-legge 21 settembre 2019, n. 105, convertito con modificazioni, dalla legge 18 novembre 2019, n. 133: «Art. 1 (Perimetro di sicurezza nazionale cibernetica). - (Omissis). 2-bis. L'elencazione dei soggetti individuati ai sensi del comma 2, lettera a), e' contenuta in un atto amministrativo, adottato dal Presidente del Consiglio dei ministri, su proposta del CISR, entro trenta giorni dalla data di entrata in vigore del decreto del Presidente del Consiglio dei ministri di cui al comma 2. Il predetto atto amministrativo, per il quale e' escluso il diritto di accesso, non e' soggetto a pubblicazione, fermo restando che a ciascun soggetto e' data, separatamente, comunicazione senza ritardo dell'avvenuta iscrizione nell'elenco. L'aggiornamento del predetto atto amministrativo e' effettuato con le medesime modalita' di cui al presente comma.». - Si riporta il testo dell'art. 42 della legge 3 agosto 2007, n. 124 «Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto»: «Art. 42 (Classifiche di segretezza). - 1. Le classifiche di segretezza sono attribuite per circoscrivere la conoscenza di informazioni, documenti, atti, attivita' o cose ai soli soggetti che abbiano necessita' di accedervi in ragione delle proprie funzioni istituzionali. 1-bis. Per la trattazione di informazioni classificate segretissimo, segreto e riservatissimo e' necessario altresi' il possesso del nulla osta di sicurezza (NOS). 2. La classifica di segretezza e' apposta, e puo' essere elevata, dall'autorita' che forma il documento, l'atto o acquisisce per prima la notizia, ovvero e' responsabile della cosa, o acquisisce dall'estero documenti, atti, notizie o cose. 3. Le classifiche attribuibili sono: segretissimo, segreto, riservatissimo, riservato. Le classifiche sono attribuite sulla base dei criteri ordinariamente seguiti nelle relazioni internazionali. 4. Chi appone la classifica di segretezza individua, all'interno di ogni atto o documento, le parti che devono essere classificate e fissa specificamente il grado di classifica corrispondente ad ogni singola parte. 5. La classifica di segretezza e' automaticamente declassificata a livello inferiore quando sono trascorsi cinque anni dalla data di apposizione; decorso un ulteriore periodo di cinque anni, cessa comunque ogni vincolo di classifica. 6. La declassificazione automatica non si applica quando, con provvedimento motivato, i termini di efficacia del vincolo sono prorogati dal soggetto che ha proceduto alla classifica o, nel caso di proroga oltre il termine di quindici anni, dal Presidente del Consiglio dei ministri. 7. Il Presidente del Consiglio dei ministri verifica il rispetto delle norme in materia di classifiche di segretezza. Con apposito regolamento sono determinati l'ambito dei singoli livelli di segretezza, i soggetti cui e' conferito il potere di classifica e gli uffici che, nell'ambito della pubblica amministrazione, sono collegati all'esercizio delle funzioni di informazione per la sicurezza della Repubblica, nonche' i criteri per l'individuazione delle materie oggetto di classifica e i modi di accesso nei luoghi militari o in quelli definiti di interesse per la sicurezza della Repubblica. 8. Qualora l'autorita' giudiziaria ordini l'esibizione di documenti classificati per i quali non sia opposto il segreto di Stato, gli atti sono consegnati all'autorita' giudiziaria richiedente, che ne cura la conservazione con modalita' che ne tutelino la riservatezza, garantendo il diritto delle parti nel procedimento a prenderne visione senza estrarne copia. 9. Chiunque illegittimamente distrugge documenti del DIS o dei servizi di informazione per la sicurezza, in ogni stadio della declassificazione, nonche' quelli privi di ogni vincolo per decorso dei termini, e' punito con la reclusione da uno a cinque anni.». - Si riporta il testo dell'art. 1, comma 8, del citato decreto-legge 21 settembre 2019, n. 105, convertito con modificazioni, dalla legge 18 novembre 2019, n. 133: «Art. 1 (Perimetro di sicurezza nazionale cibernetica). - (Omissis). 8. I soggetti di cui agli articoli 12 e 14 del decreto legislativo 18 maggio 2018, n. 65, e quelli di cui all'articolo 16-ter, comma 2, del codice delle comunicazioni elettroniche di cui al decreto legislativo 1° agosto 2003, n. 259, inclusi nel perimetro di sicurezza nazionale cibernetica: a) osservano le misure di sicurezza previste, rispettivamente, dai predetti decreti legislativi, ove di livello almeno equivalente a quelle adottate ai sensi del comma 3, lettera b), del presente articolo; le eventuali misure aggiuntive necessarie al fine di assicurare i livelli di sicurezza previsti dal presente decreto sono definite dalla Presidenza del Consiglio dei ministri, per i soggetti pubblici e per quelli di cui all'articolo 29 del codice di cui al decreto legislativo 7 marzo 2005, n. 82, di cui al comma 2-bis, e dal Ministero dello sviluppo economico per i soggetti privati di cui al medesimo comma, avvalendosi anche del CVCN; il Ministero dello sviluppo economico e la Presidenza del Consiglio dei ministri si raccordano, ove necessario, con le autorita' competenti di cui all'articolo 7 del decreto legislativo 18 maggio 2018, n. 65; b) assolvono l'obbligo di notifica di cui al comma 3, lettera a), che costituisce anche adempimento, rispettivamente, dell'obbligo di notifica di cui agli articoli 12 e 14 del decreto legislativo 18 maggio 2018, n. 65, e dell'analogo obbligo previsto ai sensi dell'articolo 16-ter del codice di cui al decreto legislativo 1° agosto 2003, n. 259, e delle correlate disposizioni attuative; a tal fine, oltre a quanto previsto dal comma 3, lettera a), anche in relazione alle disposizioni di cui all'articolo 16-ter del codice di cui al decreto legislativo 1° agosto 2003, n. 259, il CSIRT italiano inoltra le notifiche ricevute ai sensi del predetto comma 3, lettera a), all'autorita' competente di cui all'articolo 7 del decreto legislativo 18 maggio 2018, n. 65.». - Si riporta il testo dell'art. 7 del citato decreto legislativo 18 maggio 2018, n. 65: «Art. 7 (Autorita' nazionali competenti e punto di contatto unico). - 1. Sono designate quali Autorita' competenti NIS per i settori e sottosettori di cui all'allegato II e per i servizi di cui all'allegato III: a) il Ministero dello sviluppo economico per il settore energia, sottosettori energia elettrica, gas e petrolio e per il settore infrastrutture digitali, sottosettori IXP, DNS, TLD, nonche' per i servizi digitali; b) il Ministero delle infrastrutture e dei trasporti per il settore trasporti, sottosettori aereo, ferroviario, per vie d'acqua e su strada; c) il Ministero dell'economia e delle finanze per il settore bancario e per il settore infrastrutture dei mercati finanziari, in collaborazione con le autorita' di vigilanza di settore, Banca d'Italia e Consob, secondo modalita' di collaborazione e di scambio di informazioni stabilite con decreto del Ministro dell'economia e delle finanze; d) il Ministero della salute per l'attivita' di assistenza sanitaria, come definita dall'articolo 3, comma 1, lettera a), del decreto legislativo 4 marzo 2014, n. 38, prestata dagli operatori dipendenti o incaricati dal medesimo Ministero o convenzionati con lo stesso e le Regioni e le Province autonome di Trento e di Bolzano, direttamente o per il tramite delle Autorita' sanitarie territorialmente competenti, per le attivita' di assistenza sanitaria prestata dagli operatori autorizzati e accreditati delle Regioni o dalle Province autonome negli ambiti territoriali di rispettiva competenza; e) il Ministero dell'ambiente e della tutela del territorio e del mare e le Regioni e le Province autonome di Trento e di Bolzano, direttamente o per il tramite delle Autorita' territorialmente competenti, in merito al settore fornitura e distribuzione di acqua potabile. 2. Le Autorita' competenti NIS sono responsabili dell'attuazione del presente decreto con riguardo ai settori di cui all'allegato II e ai servizi di cui all'allegato III e vigilano sull'applicazione del presente decreto a livello nazionale esercitando altresi' le relative potesta' ispettive e sanzionatorie. 3. Il Dipartimento delle informazioni per la sicurezza (DIS) e' designato quale punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi. 4. Il punto di contatto unico svolge una funzione di collegamento per garantire la cooperazione transfrontaliera delle autorita' competenti NIS con le autorita' competenti degli altri Stati membri, nonche' con il gruppo di cooperazione di cui all'articolo 10 e la rete di CSIRT di cui all'articolo 11. 5. Il punto di contatto unico collabora nel gruppo di cooperazione in modo effettivo, efficiente e sicuro con i rappresentanti designati dagli altri Stati. 6. Le autorita' competenti NIS e il punto di contatto unico consultano, conformemente alla normativa vigente, l'autorita' di contrasto ed il Garante per la protezione dei dati personali e collaborano con essi. 7. La Presidenza del Consiglio dei ministri comunica tempestivamente alla Commissione europea la designazione del punto di contatto unico e quella delle autorita' competenti NIS, i relativi compiti e qualsiasi ulteriore modifica. Alle designazioni sono assicurate idonee forme di pubblicita'. 8. Agli oneri derivanti dal presente articolo pari a 1.300.000 euro a decorrere dal 2018, si provvede ai sensi dell'articolo 22.».