Art. 40
Attuazione
1. Con uno o piu' decreti del Presidente del Consiglio dei
ministri, adottati anche in deroga all'articolo 17 della legge 23
agosto 1988, n. 400, su proposta dell'Agenzia per la cybersicurezza
nazionale, sentito il Tavolo per l'attuazione della disciplina NIS di
cui all'articolo 12 e previo parere del Comitato interministeriale
per la cybersicurezza, di cui all'articolo 4 del decreto-legge 14
giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4
agosto 2021, n. 109:
a) sono definiti i criteri per l'applicazione della clausola di
salvaguardia di cui all'articolo 3, comma 4;
b) sono stabiliti i criteri, le procedure e le modalita' di cui
all'articolo 34, comma 10;
c) sono individuate le modalita' di applicazione, nell'ambito del
procedimento sanzionatorio, degli strumenti deflattivi del
contenzioso di cui all'articolo 38, comma 15.
2. Con uno o piu' decreti del Presidente del Consiglio dei
ministri, adottati anche in deroga all'articolo 17 della legge 23
agosto 1988, n. 400, su proposta dell'Agenzia per la cybersicurezza
nazionale, d'intesa con le Autorita' di settore NIS interessate,
sentito il Tavolo per l'attuazione della disciplina NIS e previo
parere del Comitato interministeriale per la cybersicurezza:
a) possono essere stabiliti ulteriori criteri di identificazione
delle tipologie di soggetto di cui agli allegati I e II, nonche'
delle ulteriori tipologie di soggetto di cui all'articolo 3;
b) possono essere individuate ulteriori categorie di pubbliche
amministrazioni di cui all'articolo 3, commi 6 e 7, a cui si applica
il presente decreto;
c) sono stabilite le modalita' di raccordo e di collaborazione
tra l'Agenzia per la cybersicurezza nazionale e le Autorita' di
settore NIS ai fini del presente decreto.
3. Con uno o piu' decreti del Presidente del Consiglio dei
ministri, adottati anche in deroga all'articolo 17 della legge 23
agosto 1988, n. 400, su proposta dell'Agenzia per la cybersicurezza
nazionale, d'intesa con le Amministrazioni interessate, sentito il
Tavolo per l'attuazione della disciplina NIS, previo parere del
Comitato interministeriale per la cybersicurezza, sono stabilite, ove
necessario, le modalita' di raccordo e collaborazione di cui
all'articolo 14.
4. Con una o piu' determinazioni dell'Agenzia per la cybersicurezza
nazionale, su proposta delle Autorita' di settore NIS interessate,
sentito il Tavolo per l'attuazione della disciplina NIS:
a) sono individuati, ove necessario, i soggetti ai quali si
applica la clausola di salvaguardia di cui all'articolo 3, comma 4;
b) sono individuati i soggetti ai quali si applica il presente
decreto ai sensi dell'articolo 3, commi 8 e 9.
5. Con una o piu' determinazioni dell'Agenzia per la cybersicurezza
nazionale, sentito il Tavolo per l'attuazione della disciplina NIS:
a) ai sensi degli articoli 3 e 6, e' stabilito l'elenco dei
soggetti essenziali e dei soggetti importanti di cui all'articolo 7,
comma 2;
b) sono stabiliti i termini, le modalita' nonche' i procedimenti
di utilizzo e accesso di cui all'articolo 7, comma 6, le eventuali
ulteriori informazioni che i soggetti devono fornire ai sensi dei
commi 1 e 4 del medesimo articolo, nonche' i termini, le modalita' e
i procedimenti di designazione dei rappresentanti di cui all'articolo
5, comma 3;
c) possono essere definiti ulteriori disposizioni per
l'organizzazione e per il funzionamento del Tavolo per l'attuazione
della disciplina NIS di cui all'articolo 12;
d) e' adottata, d'intesa con il Ministero della giustizia, la
politica nazionale di divulgazione coordinata delle vulnerabilita' di
cui all'articolo 16, comma 4;
e) possono essere imposte condizioni per le informazioni messe a
disposizione dalle autorita' competenti e dal CSIRT Italia nel
contesto degli accordi di condivisione delle informazioni sulla
sicurezza informatica di cui all'articolo 17, comma 3;
f) sono stabilite le modalita' con cui i soggetti essenziali e i
soggetti importanti notificano all'Autorita' nazionale competente NIS
la loro partecipazione agli accordi di condivisione delle
informazioni sulla sicurezza informatica di cui all'articolo 17,
comma 4;
g) possono essere designati gli esperti di sicurezza informatica
di cui all'articolo 21, comma 1, nonche' individuate, se necessario,
le modalita' per l'esecuzione della revisione tra pari di cui al
medesimo articolo 21;
h) puo' essere imposto l'utilizzo di prodotti TIC, servizi TIC e
processi TIC certificati di cui all'articolo 27, definendo i relativi
termini, criteri e modalita';
i) sono stabilite le categorie di rilevanza nonche' le modalita'
e i criteri per l'elencazione, caratterizzazione e categorizzazione
delle attivita' e dei servizi, a valenza multisettoriale e, ove
opportuno, settoriale, di cui all'articolo 30;
l) sono stabiliti obblighi proporzionati e graduali, a valenza
multisettoriale e, ove opportuno, settoriale, di cui all'articolo 31,
le modalita' di applicazione dei medesimi obblighi per i soggetti che
svolgono attivita' in piu' settori o sottosettori e per i soggetti di
cui all'articolo 32, commi 1 e 2;
m) sono stabiliti i criteri per la determinazione dell'importo
delle sanzioni ai sensi dell'articolo 38, comma 2.
6. Sono esclusi dall'accesso e non sono soggetti a pubblicazione:
a) i decreti di cui al comma 3;
b) le determinazioni di cui al comma 4, lettera b), e al comma 5,
lettera a);
c) atti, documenti, e informazioni relativi o comunque collegati
alle notifiche degli incidenti o la cui divulgazione o il cui accesso
possono comunque arrecare un possibile pregiudizio alla sicurezza
nazionale nello spazio cibernetico.
7. Entro trenta giorni dalla data di entrata in vigore del presente
decreto sono adottati:
a) i decreti del Presidente del Consiglio dei ministri di cui al
comma 1, lettera a), e al comma 3;
b) le determinazioni dell'Agenzia per la cybersicurezza nazionale
di cui al comma 4, lettera b), e al comma 5, lettere b) e c).
8. Entro sei mesi dalla data di entrata in vigore del presente
decreto, sono adottati:
a) i decreti del Presidente del Consiglio dei ministri di cui al
comma 1, lettere b) e c), e al comma 2, lettera c);
b) le determinazioni dell'Agenzia per la cybersicurezza nazionale
di cui al comma 5, lettere d), f) e l).
9. Entro diciotto mesi dalla data di entrata in vigore del presente
decreto, sono adottate le determinazioni dell'Agenzia per la
cybersicurezza nazionale di cui al comma 5, lettera i).
10. I decreti del Presidente del Consiglio dei ministri di cui al
presente articolo sono aggiornati periodicamente e, comunque, ogni
tre anni.
11. Le determinazioni dell'Agenzia per la cybersicurezza nazionale
di cui al presente articolo sono aggiornate periodicamente e,
comunque, ogni due anni.
Note all'art. 40:
- Si riporta il testo dell'art. 17 della citata legge
23 agosto 1988, n. 400 (Disciplina dell'attivita' di
Governo e ordinamento della Presidenza del Consiglio dei
Ministri):
«Art. 17 (Regolamenti). - 1. Con decreto del
Presidente della Repubblica, previa deliberazione del
Consiglio dei ministri, sentito il parere del Consiglio di
Stato che deve pronunziarsi entro novanta giorni dalla
richiesta, possono essere emanati regolamenti per
disciplinare:
a) l'esecuzione delle leggi e dei decreti
legislativi nonche' dei regolamenti comunitari;
b) l'attuazione e l'integrazione delle leggi e dei
decreti legislativi recanti norme di principio, esclusi
quelli relativi a materie riservate alla competenza
regionale;
c) le materie in cui manchi la disciplina da parte
di leggi o di atti aventi forza di legge, sempre che non si
tratti di materie comunque riservate alla legge;
d) l'organizzazione ed il funzionamento delle
amministrazioni pubbliche secondo le disposizioni dettate
dalla legge;
e).
2. Con decreto del Presidente della Repubblica,
previa deliberazione del Consiglio dei ministri, sentito il
Consiglio di Stato e previo parere delle Commissioni
parlamentari competenti in materia, che si pronunciano
entro trenta giorni dalla richiesta, sono emanati i
regolamenti per la disciplina delle materie, non coperte da
riserva assoluta di legge prevista dalla Costituzione, per
le quali le leggi della Repubblica, autorizzando
l'esercizio della potesta' regolamentare del Governo,
determinano le norme generali regolatrici della materia e
dispongono l'abrogazione delle norme vigenti, con effetto
dall'entrata in vigore delle norme regolamentari.
3. Con decreto ministeriale possono essere adottati
regolamenti nelle materie di competenza del Ministro o di
autorita' sottordinate al Ministro, quando la legge
espressamente conferisca tale potere. Tali regolamenti, per
materie di competenza di piu' ministri, possono essere
adottati con decreti interministeriali, ferma restando la
necessita' di apposita autorizzazione da parte della legge.
I regolamenti ministeriali ed interministeriali non possono
dettare norme contrarie a quelle dei regolamenti emanati
dal Governo. Essi debbono essere comunicati al Presidente
del Consiglio dei ministri prima della loro emanazione.
4. I regolamenti di cui al comma 1 ed i regolamenti
ministeriali ed interministeriali, che devono recare la
denominazione di "regolamento", sono adottati previo parere
del Consiglio di Stato, sottoposti al visto ed alla
registrazione della Corte dei conti e pubblicati nella
Gazzetta Ufficiale.
4-bis. L'organizzazione e la disciplina degli uffici
dei Ministeri sono determinate, con regolamenti emanati ai
sensi del comma 2, su proposta del Ministro competente
d'intesa con il Presidente del Consiglio dei ministri e con
il Ministro del tesoro, nel rispetto dei principi posti dal
decreto legislativo 3 febbraio 1993, n. 29, e successive
modificazioni, con i contenuti e con l'osservanza dei
criteri che seguono:
a) riordino degli uffici di diretta collaborazione
con i ministri ed i Sottosegretari di Stato, stabilendo che
tali uffici hanno esclusive competenze di supporto
dell'organo di direzione politica e di raccordo tra questo
e l'amministrazione;
b) individuazione degli uffici di livello
dirigenziale generale, centrali e periferici, mediante
diversificazione tra strutture con funzioni finali e con
funzioni strumentali e loro organizzazione per funzioni
omogenee e secondo criteri di flessibilita' eliminando le
duplicazioni funzionali;
c) previsione di strumenti di verifica periodica
dell'organizzazione e dei risultati;
d) indicazione e revisione periodica della
consistenza elle piante organiche;
e) previsione di decreti ministeriali di natura non
regolamentare per la definizione dei compiti delle unita'
dirigenziali nell'ambito degli uffici dirigenziali
generali.
4-ter. Con regolamenti da emanare ai sensi del comma
1 del presente articolo, si provvede al periodico riordino
delle disposizioni regolamentari vigenti, alla ricognizione
di quelle che sono state oggetto di abrogazione implicita e
all'espressa abrogazione di quelle che hanno esaurito la
loro funzione o sono prive di effettivo contenuto normativo
o sono comunque obsolete.».
- Si riporta il testo dell'articolo 4 del citato
decreto-legge 14 giugno 2021, n. 82:
«Art. 4 (Comitato interministeriale per la
cybersicurezza). - 1. Presso la Presidenza del Consiglio
dei ministri e' istituito il Comitato interministeriale per
la cybersicurezza (CIC), con funzioni di consulenza,
proposta e vigilanza in materia di politiche di
cybersicurezza.
2. Il Comitato:
a) propone al Presidente del Consiglio dei ministri
gli indirizzi generali da perseguire nel quadro delle
politiche di cybersicurezza nazionale;
b) esercita l'alta sorveglianza sull'attuazione
della strategia nazionale di cybersicurezza;
c) promuove l'adozione delle iniziative necessarie
per favorire l'efficace collaborazione, a livello nazionale
e internazionale, tra i soggetti istituzionali e gli
operatori privati interessati alla cybersicurezza, nonche'
per la condivisione delle informazioni e per l'adozione di
migliori pratiche e di misure rivolte all'obiettivo della
cybersicurezza e allo sviluppo industriale, tecnologico e
scientifico in materia di cybersicurezza;
d) esprime il parere sul bilancio preventivo e sul
bilancio consuntivo dell'Agenzia per la cybersicurezza
nazionale.
3. Il Comitato e' presieduto dal Presidente del
Consiglio dei ministri ed e' composto dall'Autorita'
delegata, ove istituita, dal Ministro degli affari esteri e
della cooperazione internazionale, dal Ministro
dell'interno, dal Ministro della giustizia, dal Ministro
della difesa, dal Ministro dell'economia e delle finanze,
dal Ministro dello sviluppo economico, dal Ministro della
transizione ecologica, dal Ministro dell'universita' e
della ricerca, dal Ministro delegato per l'innovazione
tecnologica e la transizione digitale e dal Ministro delle
infrastrutture e della mobilita' sostenibili.
4. Il direttore generale dell'Agenzia per la
cybersicurezza nazionale svolge le funzioni di segretario
del Comitato.
5. Il Presidente del Consiglio dei ministri puo'
chiamare a partecipare alle sedute del Comitato, anche a
seguito di loro richiesta, senza diritto di voto, altri
componenti del Consiglio dei ministri, nonche' altre
autorita' civili e militari di cui, di volta in volta,
ritenga necessaria la presenza in relazione alle questioni
da trattare.
6. Il Comitato svolge altresi' le funzioni gia'
attribuite al Comitato interministeriale per la sicurezza
della Repubblica (CISR), di cui all'articolo 5 della legge
3 agosto 2007, n. 124, dal decreto-legge perimetro e dai
relativi provvedimenti attuativi, fatta eccezione per
quelle previste dall'articolo 5 del medesimo decreto-legge
perimetro.».