Art. 28
Disposizioni finali
1. All'articolo 7, comma 1, del decreto-legge 14 giugno 2021, n.
82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109,
la lettera z) e' sostituita dalla seguente:
«z) per le finalita' di cui al presente articolo, puo' concludere
accordi di collaborazione, comunque denominati, con soggetti privati,
costituire e partecipare a partenariati pubblico-privato nel
territorio nazionale, nonche', previa autorizzazione del Presidente
del Consiglio dei ministri, a consorzi, fondazioni o societa' con
soggetti pubblici e privati, italiani o di Paesi appartenenti
all'Unione europea. Sulla base dell'interesse nazionale e previa
autorizzazione del Presidente del Consiglio dei ministri, puo'
altresi' partecipare a consorzi, fondazioni o societa' con soggetti
pubblici e privati di Paesi della NATO ovvero di Paesi extraeuropei
con i quali siano stati sottoscritti accordi di cooperazione o di
partenariato per lo sviluppo di sistemi di intelligenza artificiale».
2. Alla legge 28 giugno 2024, n. 90, sono apportate le seguenti
modificazioni:
a) all'articolo 1, comma 1, le parole: «di cui all'articolo 1,
comma 3-bis, del decreto-legge 21 settembre 2019, n. 105, convertito,
con modificazioni, dalla legge 18 novembre 2019, n. 133, come
modificato dall'articolo 3 della presente legge» sono sostituite
dalle seguenti: «adottata con determinazione tecnica del direttore
generale dell'Agenzia per la cybersicurezza nazionale»;
b) nel capo I, dopo l'articolo 15 e' aggiunto il seguente:
«Art. 15-bis (Disposizioni di coordinamento). - 1. Ogni
riferimento al decreto legislativo 18 maggio 2018, n. 65, e' da
intendersi alle corrispondenti disposizioni di cui al decreto
legislativo 4 settembre 2024, n. 138, a decorrere dalla data in cui
le stesse acquistano efficacia».
La presente legge, munita del sigillo dello Stato, sara' inserita
nella Raccolta ufficiale degli atti normativi della Repubblica
italiana. E' fatto obbligo a chiunque spetti di osservarla e di farla
osservare come legge dello Stato.
Data a Roma, addi' 23 settembre 2025
MATTARELLA
Meloni, Presidente del Consiglio
dei ministri
Nordio, Ministro della giustizia
Visto, il Guardasigilli: Nordio
Note all'art. 28:
- Si riporta il testo dell'articolo 7, comma 1, lettera
z), del citato decreto-legge 14 giugno 2021, n. 82:
«Art. 7 (Funzioni dell'Agenzia per la cybersicurezza
nazionale). - 1. L'Agenzia:
a) e' Autorita' nazionale per la cybersicurezza e, in
relazione a tale ruolo, assicura, nel rispetto delle
competenze attribuite dalla normativa vigente ad altre
amministrazioni, ferme restando le attribuzioni del
Ministro dell'interno in qualita' di autorita' nazionale di
pubblica sicurezza, ai sensi della legge 1° aprile 1981, n.
121, il coordinamento tra i soggetti pubblici coinvolti in
materia di cybersicurezza a livello nazionale e promuove la
realizzazione di azioni comuni dirette ad assicurare la
sicurezza e la resilienza cibernetiche per lo sviluppo
della digitalizzazione del Paese, del sistema produttivo e
delle pubbliche amministrazioni, nonche' per il
conseguimento dell'autonomia, nazionale ed europea,
riguardo a prodotti e processi informatici di rilevanza
strategica a tutela degli interessi nazionali nel settore.
Per le reti, i sistemi informativi e i servizi informatici
attinenti alla gestione delle informazioni classificate
restano fermi sia quanto previsto dal regolamento adottato
ai sensi dell'articolo 4, comma 3, lettera l), della legge
n. 124 del 2007, sia le competenze dell'Ufficio centrale
per la segretezza di cui all'articolo 9 della medesima
legge n. 124 del 2007;
b) predispone la strategia nazionale di
cybersicurezza;
c) svolge ogni necessaria attivita' di supporto al
funzionamento del Nucleo per la cybersicurezza, di cui
all'articolo 8;
d) e' Autorita' nazionale competente NIS e Punto di
contatto unico NIS di cui all'articolo 2, comma 1, lettere
d) ed e), del decreto legislativo NIS, a tutela dell'unita'
giuridica dell'ordinamento;
d-bis) e' Autorita' nazionale di gestione delle crisi
informatiche di cui all'articolo 2, comma 1, lettera g),
del decreto legislativo NIS;
d-ter) e' CSIRT nazionale, denominato CSIRT Italia,
di cui all'articolo 2, comma 1, lettera i), del decreto
legislativo NIS;
e) e' Autorita' nazionale di certificazione della
cybersicurezza ai sensi dell'articolo 58 del regolamento
(UE) 2019/881 del Parlamento europeo e del Consiglio, del
17 aprile 2019, e assume tutte le funzioni in materia di
certificazione di sicurezza cibernetica gia' attribuite al
Ministero dello sviluppo economico dall'ordinamento
vigente, comprese quelle relative all'accertamento delle
violazioni e all'irrogazione delle sanzioni; nello
svolgimento dei compiti di cui alla presente lettera:
1) accredita, ai sensi dell'articolo 60, paragrafo
1, del regolamento (UE) 2019/881 del Parlamento europeo e
del Consiglio, le strutture specializzate del Ministero
della difesa e del Ministero dell'interno quali organismi
di valutazione della conformita' per i sistemi di
rispettiva competenza;
2) delega, ai sensi dell'articolo 56, paragrafo 6,
lettera b), del regolamento (UE) 2019/881 del Parlamento
europeo e del Consiglio, il Ministero della difesa e il
Ministero dell'interno, attraverso le rispettive strutture
accreditate di cui al numero 1) della presente legge, al
rilascio del certificato europeo di sicurezza cibernetica;
e-bis) e' Autorita' competente per l'esecuzione dei
compiti previsti dal regolamento delegato (UE) 2024/1366
della Commissione, dell'11 marzo 2024, che integra il
regolamento (UE) 2019/943 del Parlamento europeo e del
Consiglio
f) assume tutte le funzioni in materia di
cybersicurezza gia' attribuite dalle disposizioni vigenti
al Ministero dello sviluppo economico, ivi comprese quelle
relative:
1) al perimetro di sicurezza nazionale cibernetica,
di cui al decreto-legge perimetro e ai relativi
provvedimenti attuativi, ivi incluse le funzioni attribuite
al Centro di valutazione e certificazione nazionale ai
sensi del decreto-legge perimetro, le attivita' di
ispezione e verifica di cui all'articolo 1, comma 6,
lettera c), del decreto-legge perimetro e quelle relative
all'accertamento delle violazioni e all'irrogazione delle
sanzioni amministrative previste dal medesimo decreto,
fatte salve quelle di cui all'articolo 3 del regolamento
adottato con decreto del Presidente del Consiglio dei
ministri 30 luglio 2020, n. 131;
2) alla sicurezza e all'integrita' delle
comunicazioni elettroniche, di cui agli articoli 16-bis e
16-ter del decreto legislativo 1° agosto 2003, n. 259, e
relative disposizioni attuative;
3) alla sicurezza delle reti e dei sistemi
informativi, di cui al decreto legislativo NIS;
g) partecipa, per gli ambiti di competenza, al gruppo
di coordinamento istituito ai sensi dei regolamenti di cui
all'articolo 1, comma 8, del decreto-legge 15 marzo 2012,
n. 21, convertito, con modificazioni, dalla legge 11 maggio
2012, n. 56;
h) assume tutte le funzioni attribuite alla
Presidenza del Consiglio dei ministri in materia di
perimetro di sicurezza nazionale cibernetica, di cui al
decreto-legge perimetro e ai relativi provvedimenti
attuativi, ivi incluse le attivita' di ispezione e verifica
di cui all'articolo 1, comma 6, lettera c), del
decreto-legge perimetro e quelle relative all'accertamento
delle violazioni e all'irrogazione delle sanzioni
amministrative previste dal medesimo decreto, fatte salve
quelle di cui all'articolo 3 del regolamento adottato con
decreto del Presidente del Consiglio dei ministri n. 131
del 2020;
i) assume tutte le funzioni gia' attribuite al
Dipartimento delle informazioni per la sicurezza (DIS), di
cui all'articolo 4 della legge 3 agosto 2007, n. 124, dal
decreto-legge perimetro e dai relativi provvedimenti
attuativi e supporta il Presidente del Consiglio dei
ministri ai fini dell'articolo 1, comma 19-bis, del
decreto-legge perimetro;
l) provvede, sulla base delle attivita' di competenza
del Nucleo per la cybersicurezza di cui all'articolo 8,
alle attivita' necessarie per l'attuazione e il controllo
dell'esecuzione dei provvedimenti assunti dal Presidente
del Consiglio dei ministri ai sensi dell'articolo 5 del
decreto-legge perimetro;
m) assume tutte le funzioni in materia di
cybersicurezza gia' attribuite all'Agenzia per l'Italia
digitale dalle disposizioni vigenti e, in particolare,
quelle di cui all'articolo 51 del decreto legislativo 7
marzo 2005, n. 82, nonche' quelle in materia di adozione di
linee guida contenenti regole tecniche di cybersicurezza ai
sensi dell'articolo 71 del medesimo decreto legislativo.
L'Agenzia assume, altresi', i compiti di cui all'articolo
33-septies, comma 4, del decreto-legge 18 ottobre 2012, n.
179, convertito, con modificazioni, dalla legge 17 dicembre
2012, n. 221, gia' attribuiti all'Agenzia per l'Italia
digitale;
m-bis) provvede, anche attraverso un'apposita sezione
nell'ambito della strategia di cui alla lettera b), allo
sviluppo e alla diffusione di standard, linee guida e
raccomandazioni al fine di rafforzare la cybersicurezza dei
sistemi informatici, alla valutazione della sicurezza dei
sistemi crittografici nonche' all'organizzazione e alla
gestione di attivita' di divulgazione finalizzate a
promuovere l'utilizzo della crittografia, anche a vantaggio
della tecnologia blockchain, come strumento di
cybersicurezza. L'Agenzia, anche per il rafforzamento
dell'autonomia industriale e tecnologica dell'Italia,
promuove altresi' la collaborazione con centri universitari
e di ricerca per la valorizzazione dello sviluppo di nuovi
algoritmi proprietari, la ricerca e il conseguimento di
nuove capacita' crittografiche nazionali nonche' la
collaborazione internazionale con gli organismi esteri che
svolgono analoghe funzioni. A tale fine, e' istituito
presso l'Agenzia, nell'ambito delle risorse umane,
strumentali e finanziarie disponibili a legislazione
vigente e senza nuovi o maggiori oneri a carico della
finanza pubblica, il Centro nazionale di crittografia, il
cui funzionamento e' disciplinato con provvedimento del
direttore generale dell'Agenzia stessa. Il Centro nazionale
di crittografia svolge le funzioni di centro di competenza
nazionale per tutti gli aspetti della crittografia in
ambito non classificato, ferme restando le competenze
dell'Ufficio centrale per la segretezza, di cui
all'articolo 9 della legge 3 agosto 2007, n. 124, con
riferimento alle informazioni e alle attivita' previste dal
regolamento adottato ai sensi dell'articolo 4, comma 3,
lettera l), della citata legge n. 124 del 2007, nonche' le
competenze degli organismi di cui agli articoli 4, 6 e 7
della medesima legge;
m-ter) provvede alla qualificazione dei servizi cloud
per la pubblica amministrazione nel rispetto della
disciplina dell'Unione europea e del regolamento di cui
all'articolo 33-septies, comma 4, del decreto-legge 18
ottobre 2012, n. 179, convertito, con modificazioni, dalla
legge 17 dicembre 2012, n. 221;
n) sviluppa capacita' nazionali di prevenzione,
monitoraggio, rilevamento, analisi e risposta, per
prevenire e gestire gli incidenti di sicurezza informatica
e gli attacchi informatici, anche attraverso il CSIRT
Italia di cui all'articolo 2, comma 1, lettera i) del
decreto legislativo NIS. A tale fine, promuove iniziative
di partenariato pubblico-privato per rendere effettive tali
capacita';
n-bis) nell'ambito delle funzioni di cui al primo
periodo della lettera n), svolge ogni attivita' diretta
all'analisi e al supporto per il contenimento e il
ripristino dell'operativita' dei sistemi compromessi, con
la collaborazione dei soggetti pubblici o privati che hanno
subito incidenti di sicurezza informatica o attacchi
informatici. La mancata collaborazione di cui al primo
periodo e' valutata ai fini dell'applicazione delle
sanzioni previste dall'articolo 1, commi 10 e 14, del
decreto-legge perimetro, per i soggetti di cui all'articolo
1, comma 2-bis, del medesimo decreto-legge perimetro, i
soggetti essenziali e i soggetti importanti di cui
all'articolo 6 del decreto legislativo NIS, del decreto
legislativo NIS e di cui all'articolo 40, comma 3, alinea,
del codice delle comunicazioni elettroniche, di cui al
decreto legislativo 1° agosto 2003, n. 259; restano esclusi
gli organi dello Stato preposti alla prevenzione,
all'accertamento e alla repressione dei reati, alla tutela
dell'ordine e della sicurezza pubblica e alla difesa e
sicurezza militare dello Stato, nonche' gli organismi di
informazione per la sicurezza di cui agli articoli 4, 6 e 7
della legge 3 agosto 2007, n. 124;
n-ter) provvede alla raccolta, all'elaborazione e
alla classificazione dei dati relativi alle notifiche di
incidenti ricevute dai soggetti che a cio' siano tenuti in
osservanza delle disposizioni vigenti. Tali dati sono resi
pubblici nell'ambito della relazione prevista dall'articolo
14, comma 1, quali dati ufficiali di riferimento degli
attacchi informatici portati ai soggetti che operano nei
settori rilevanti per gli interessi nazionali nel campo
della cybersicurezza. Agli adempimenti previsti dalla
presente lettera si provvede con le risorse umane,
strumentali e finanziarie disponibili a legislazione
vigente;
o) partecipa alle esercitazioni nazionali e
internazionali che riguardano la simulazione di eventi di
natura cibernetica al fine di innalzare la resilienza del
Paese;
p) cura e promuove la definizione ed il mantenimento
di un quadro giuridico nazionale aggiornato e coerente nel
dominio della cybersicurezza, tenendo anche conto degli
orientamenti e degli sviluppi in ambito internazionale. A
tal fine, l'Agenzia esprime pareri non vincolanti sulle
iniziative legislative o regolamentari concernenti la
cybersicurezza;
q) coordina, in raccordo con il Ministero degli
affari esteri e della cooperazione internazionale, la
cooperazione internazionale nella materia della
cybersicurezza. Nell'ambito dell'Unione europea e a livello
internazionale, l'Agenzia cura i rapporti con i competenti
organismi, istituzioni ed enti, nonche' segue nelle
competenti sedi istituzionali le tematiche di
cybersicurezza, fatta eccezione per gli ambiti in cui la
legge attribuisce specifiche competenze ad altre
amministrazioni. In tali casi, e' comunque assicurato il
raccordo con l'Agenzia al fine di garantire posizioni
nazionali unitarie e coerenti con le politiche di
cybersicurezza definite dal Presidente del Consiglio dei
ministri;
r) perseguendo obiettivi di eccellenza, supporta
negli ambiti di competenza, mediante il coinvolgimento del
sistema dell'universita' e della ricerca nonche' del
sistema produttivo nazionali, lo sviluppo di competenze e
capacita' industriali, tecnologiche e scientifiche. A tali
fini, l'Agenzia puo' promuovere, sviluppare e finanziare
specifici progetti ed iniziative, volti anche a favorire il
trasferimento tecnologico dei risultati della ricerca nel
settore.
L'Agenzia assicura il necessario raccordo con le altre
amministrazioni a cui la legge attribuisce competenze in
materia di cybersicurezza e, in particolare, con il
Ministero della difesa per gli aspetti inerenti alla
ricerca militare. L'Agenzia puo' altresi' promuovere la
costituzione di aree dedicate allo sviluppo
dell'innovazione finalizzate a favorire la formazione e il
reclutamento di personale nei settori avanzati dello
sviluppo della cybersicurezza, nonche' promuovere la
realizzazione di studi di fattibilita' e di analisi
valutative finalizzati a tale scopo;
s) stipula accordi bilaterali e multilaterali, anche
mediante il coinvolgimento del settore privato e
industriale, con istituzioni, enti e organismi di altri
Paesi per la partecipazione dell'Italia a programmi di
cybersicurezza, assicurando il necessario raccordo con le
altre amministrazioni a cui la legge attribuisce competenze
in materia di cybersicurezza, ferme restando le competenze
del Ministero degli affari esteri e della cooperazione
internazionale;
t) promuove, sostiene e coordina la partecipazione
italiana a progetti e iniziative dell'Unione europea e
internazionali, anche mediante il coinvolgimento di
soggetti pubblici e privati nazionali, nel campo della
cybersicurezza e dei correlati servizi applicativi, ferme
restando le competenze del Ministero degli affari esteri e
della cooperazione internazionale. L'Agenzia assicura il
necessario raccordo con le altre amministrazioni a cui la
legge attribuisce competenze in materia di cybersicurezza
e, in particolare, con il Ministero della difesa per gli
aspetti inerenti a progetti e iniziative in collaborazione
con la NATO e con l'Agenzia europea per la difesa;
u) svolge attivita' di comunicazione e promozione
della consapevolezza in materia di cybersicurezza, al fine
di contribuire allo sviluppo di una cultura nazionale in
materia;
v) promuove la formazione, la crescita
tecnico-professionale e la qualificazione delle risorse
umane nel campo della cybersicurezza, in particolare
favorendo l'attivazione di percorsi formativi universitari
in materia, anche attraverso l'assegnazione di borse di
studio, di dottorato e assegni di ricerca, sulla base di
apposite convenzioni con soggetti pubblici e privati; nello
svolgimento di tali compiti, l'Agenzia puo' avvalersi anche
delle strutture formative e delle capacita' della
Presidenza del Consiglio dei ministri, del Ministero della
difesa e del Ministero dell'interno, secondo termini e
modalita' da definire con apposito decreto del Presidente
del Consiglio dei ministri, di concerto con i Ministri
interessati;
v-bis) puo' predisporre attivita' di formazione
specifica riservate ai giovani che aderiscono al servizio
civile regolate sulla base di apposite convenzioni. In ogni
caso, il servizio prestato e', a tutti gli effetti,
riconosciuto come servizio civile;
z) per le finalita' di cui al presente articolo, puo'
concludere accordi di collaborazione, comunque denominati,
con soggetti privati, costituire e partecipare a
partenariati pubblico-privato nel territorio nazionale,
nonche', previa autorizzazione del Presidente del Consiglio
dei ministri, a consorzi, fondazioni o societa' con
soggetti pubblici e privati, italiani o di Paesi
appartenenti all'Unione europea. Sulla base dell'interesse
nazionale e previa autorizzazione del Presidente del
Consiglio dei ministri, puo' altresi' partecipare a
consorzi, fondazioni o societa' con soggetti pubblici e
privati di Paesi della NATO ovvero di Paesi extraeuropei
con i quali siano stati sottoscritti accordi di
cooperazione o di partenariato per lo sviluppo di sistemi
di intelligenza artificiale.
aa) e' designata quale Centro nazionale di
coordinamento ai sensi dell'articolo 6 del regolamento (UE)
2021/887 del Parlamento europeo e del Consiglio del 20
maggio 2021, che istituisce il Centro europeo di competenza
per la cybersicurezza nell'ambito industriale, tecnologico
e della ricerca e la rete dei centri nazionali di
coordinamento.
1-bis. Anche ai fini dell'esercizio delle funzioni di
cui al comma 1, lettere r), s), t), u), v), z) e aa),
presso l'Agenzia e' istituito, con funzioni di consulenza e
di proposta, un Comitato tecnico-scientifico, presieduto
dal direttore generale della medesima Agenzia, o da un
dirigente da lui delegato, e composto da personale della
stessa Agenzia e da qualificati rappresentanti
dell'industria, degli enti di ricerca, dell'accademia e
delle associazioni del settore della sicurezza, designati
con decreto del Presidente del Consiglio dei ministri. La
composizione e l'organizzazione del Comitato
tecnico-scientifico sono disciplinate secondo le modalita'
e i criteri definiti dal regolamento di cui all'articolo 6,
comma 1.
Per la partecipazione al Comitato tecnico-scientifico
non sono previsti gettoni di presenza, compensi o rimborsi
di spese.
2. Nell'ambito dell'Agenzia sono nominati, con decreto
del Presidente del Consiglio dei ministri, il
rappresentante nazionale, e il suo sostituto, nel Consiglio
di direzione del Centro europeo di competenza per la
cybersicurezza nell'ambito industriale, tecnologico e della
ricerca, ai sensi dell'articolo 12 del regolamento (UE)
2021/887.
3.
4. Il Centro di valutazione e certificazione nazionale,
istituito presso il Ministero dello sviluppo economico, e'
trasferito presso l'Agenzia.
5. Nel rispetto delle competenze del Garante per la
protezione dei dati personali, l'Agenzia, per le finalita'
di cui al presente decreto, consulta il Garante e collabora
con esso, anche in relazione agli incidenti che comportano
violazioni di dati personali. L'Agenzia e il Garante
possono stipulare appositi protocolli d'intenti che
definiscono altresi' le modalita' della loro collaborazione
nell'ambito delle risorse disponibili a legislazione
vigente e senza nuovi o maggiori oneri per la finanza
pubblica.».
- Si riporta il testo degli articoli 1 della legge 28
giugno 2024 n. 901, recante: «Disposizioni in materia di
rafforzamento della cybersicurezza nazionale e di reati
informatici.», pubblicata nella Gazzetta Ufficiale 2 luglio
2024, n. 153, come modificato dalla presente legge:
«Art. 1 (Obblighi di notifica di incidenti). - 1. Le
pubbliche amministrazioni centrali individuate ai sensi
dell'articolo 1, comma 3, della legge 31 dicembre 2009, n.
196, le regioni e le province autonome di Trento e di
Bolzano, le citta' metropolitane, i comuni con popolazione
superiore a 100.000 abitanti e, comunque, i comuni
capoluoghi di regione, nonche' le societa' di trasporto
pubblico urbano con bacino di utenza non inferiore a
100.000 abitanti, le societa' di trasporto pubblico
extraurbano operanti nell'ambito delle citta' metropolitane
e le aziende sanitarie locali segnalano e notificano, con
le modalita' e nei termini di cui al comma 2 del presente
articolo, gli incidenti indicati nella tassonomia adottata
con determinazione tecnica del direttore generale
dell'Agenzia per la cybersicurezza nazionale, aventi
impatto su reti, sistemi informativi e servizi informatici.
Tra i soggetti di cui al presente comma sono altresi'
comprese le rispettive societa' in house che forniscono
servizi informatici, i servizi di trasporto di cui al primo
periodo del presente comma ovvero servizi di raccolta,
smaltimento o trattamento di acque reflue urbane,
domestiche o industriali, come definite ai sensi
dell'articolo 2, punti 1), 2) e 3), della direttiva
91/271/CEE del Consiglio, del 21 maggio 1991, o di gestione
dei rifiuti, come definita ai sensi dell'articolo 3, punto
9), della direttiva 2008/98/CE del Parlamento europeo e del
Consiglio, del 19 novembre 2008.
2. I soggetti di cui al comma 1 segnalano, senza
ritardo e comunque entro il termine massimo di ventiquattro
ore dal momento in cui ne sono venuti a conoscenza a
seguito delle evidenze comunque ottenute, qualunque
incidente riconducibile a una delle tipologie individuate
nella tassonomia di cui al comma 1 ed effettuano, entro
settantadue ore a decorrere dal medesimo momento, la
notifica completa di tutti gli elementi informativi
disponibili. La segnalazione e la successiva notifica sono
effettuate tramite le apposite procedure disponibili nel
sito internet istituzionale dell'Agenzia per la
cybersicurezza nazionale.
3. Per i comuni con popolazione superiore a 100.000
abitanti e i comuni capoluoghi di regione, per le societa'
di trasporto pubblico urbano con bacino di utenza non
inferiore a 100.000 abitanti, per le societa' di trasporto
pubblico extraurbano operanti nell'ambito delle citta'
metropolitane, per le aziende sanitarie locali e per le
societa' in house che forniscono servizi informatici, i
servizi di trasporto di cui al presente comma ovvero
servizi di raccolta, smaltimento o trattamento di acque
reflue urbane, domestiche o industriali, come definite ai
sensi dell'articolo 2, punti 1), 2) e 3), della direttiva
91/271/CEE del Consiglio, del 21 maggio 1991, o di gestione
dei rifiuti, come definita ai sensi dell'articolo 3, punto
9), della direttiva 2008/98/CE del Parlamento europeo e del
Consiglio, del 19 novembre 2008, gli obblighi di cui ai
commi 1 e 2 del presente articolo si applicano a decorrere
dal centottantesimo giorno successivo alla data di entrata
in vigore della presente legge.
4. Qualora i soggetti di cui al comma 1 effettuino
notifiche volontarie di incidenti al di fuori dei casi
indicati nella tassonomia di cui al medesimo comma 1, si
applicano le disposizioni dell'articolo 18, commi 3, 4 e 5,
del decreto legislativo 18 maggio 2018, n. 65.
5. Nel caso di inosservanza dell'obbligo di notifica di
cui ai commi 1 e 2, l'Agenzia per la cybersicurezza
nazionale comunica all'interessato che la reiterazione
dell'inosservanza, nell'arco di cinque anni, comportera'
l'applicazione delle disposizioni di cui al comma 6 e puo'
disporre, nei dodici mesi successivi all'accertamento del
ritardo o dell'omissione, l'invio di ispezioni, anche al
fine di verificare l'attuazione, da parte dei soggetti
interessati dall'incidente, di interventi di rafforzamento
della resilienza agli stessi, direttamente indicati
dall'Agenzia per la cybersicurezza nazionale ovvero
previsti da apposite linee guida adottate dalla medesima
Agenzia. Le modalita' di tali ispezioni sono disciplinate
con determinazione del direttore generale dell'Agenzia per
la cybersicurezza nazionale, pubblicata nella Gazzetta
Ufficiale.
6. Nei casi di reiterata inosservanza, nell'arco di
cinque anni, dell'obbligo di notifica di cui ai commi 1 e
2, l'Agenzia per la cybersicurezza nazionale applica
altresi', nel rispetto delle disposizioni dell'articolo 17,
comma 4-quater, del decreto-legge 14 giugno 2021, n. 82,
convertito, con modificazioni, dalla legge 4 agosto 2021,
n. 109, introdotto dall'articolo 11 della presente legge,
una sanzione amministrativa pecuniaria da euro 25.000 a
euro 125.000 a carico dei soggetti di cui al comma 1 del
presente articolo. La violazione delle disposizioni del
comma 1 del presente articolo puo' costituire causa di
responsabilita' disciplinare e amministrativo-contabile per
i funzionari e i dirigenti responsabili.
7. Fermi restando gli obblighi e le sanzioni, anche
penali, previsti da altre norme di legge, le disposizioni
del presente articolo non si applicano:
a) ai soggetti di cui all'articolo 3, comma 1,
lettere g) e i), del decreto legislativo 18 maggio 2018, n.
65, e a quelli di cui all'articolo 1, comma 2-bis, del
decreto-legge 21 settembre 2019, n. 105, convertito, con
modificazioni, dalla legge 18 novembre 2019, n. 133;
b) agli organi dello Stato preposti alla prevenzione,
all'accertamento e alla repressione dei reati, alla tutela
dell'ordine e della sicurezza pubblica e alla difesa e
sicurezza militare dello Stato e agli organismi di
informazione per la sicurezza di cui agli articoli 4, 6 e 7
della legge 3 agosto 2007, n. 124.».