Art. 28
Ridefinizione dei poteri speciali in materia di servizi di
comunicazione elettronica a banda larga basati sulla tecnologia 5G
e cloud
1. L'articolo 1-bis del decreto-legge 15 marzo 2012, n. 21,
convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, e'
sostituito dal seguente:
«Art. 1-bis (Poteri speciali inerenti ai servizi di comunicazione
elettronica a banda larga con tecnologia 5G, basati sulla tecnologia
cloud e altri attivi). - 1. Ai fini dell'esercizio dei poteri
speciali di cui al presente articolo, costituiscono attivita' di
rilevanza strategica per il sistema di difesa e sicurezza nazionale i
servizi di comunicazione elettronica a banda larga basati sulla
tecnologia 5G. Ai medesimi fini di cui al presente articolo,
ulteriori servizi, beni, rapporti, attivita' e tecnologie rilevanti
ai fini della sicurezza cibernetica, ivi inclusi quelli relativi alla
tecnologia cloud, possono essere individuati con uno o piu' decreti
del Presidente del Consiglio dei ministri, di concerto con il
Ministro dello sviluppo economico, il Ministro dell'interno, il
Ministro della difesa, il Ministro degli affari esteri e della
cooperazione internazionale, il Ministro per l'innovazione
tecnologica e la transizione digitale, e con gli altri Ministri
competenti per settore, e sentita l'Agenzia per la cybersicurezza
nazionale, anche in deroga all'articolo 17 della legge 23 agosto
1988, n. 400, previo parere delle Commissioni parlamentari
competenti, che e' reso entro trenta giorni dalla data di
trasmissione degli schemi di decreto, decorsi i quali i decreti sono
adottati anche in mancanza di parere.
2. Fermi gli obblighi previsti ai sensi del decreto-legge 21
settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18
novembre 2019, n. 133, le imprese che, anche attraverso contratti o
accordi, intendano acquisire, a qualsiasi titolo, beni o servizi
relativi alla progettazione, alla realizzazione, alla manutenzione e
alla gestione delle attivita' di cui al comma 1, ovvero componenti ad
alta intensita' tecnologica funzionali alla predetta realizzazione o
gestione, notificano, prima di procedere alla predetta acquisizione,
alla Presidenza del Consiglio dei ministri un piano annuale nel quale
sono contenuti: il settore interessato dalla notifica; dettagliati
dati identificativi del soggetto notificante; il programma di
acquisti; dettagliati dati identificativi dei relativi, anche
potenziali, fornitori; descrizione dei beni, dei servizi e delle
componenti ad alta intensita' tecnologica funzionali alla
progettazione, alla realizzazione, alla manutenzione e alla gestione
delle attivita' di cui al comma 1; un'informativa completa sui
contratti in corso e sulle prospettive di sviluppo della rete 5G,
ovvero degli ulteriori sistemi e attivi di cui al comma 1; ogni
ulteriore informazione funzionale a fornire un dettagliato quadro
delle modalita' di sviluppo dei sistemi di digitalizzazione del
notificante, nonche' dell'esatto adempimento alle condizioni e alle
prescrizioni imposte a seguito di precedenti notifiche;
un'informativa completa relativa alle eventuali comunicazioni
effettuate ai sensi dell'articolo 1, comma 6, lettera a), del
decreto-legge n. 105 del 2019, convertito, con modificazioni, dalla
legge n. 133 del 2019, ai fini dello svolgimento delle verifiche di
sicurezza da parte del Centro di valutazione e certificazione
nazionale (CVCN), inclusiva dell'esito della valutazione, ove
disponibile, e delle relative prescrizioni, qualora imposte. Con uno
dei decreti di cui al comma 1, possono altresi' essere individuati
ulteriori contenuti del piano annuale, eventuali ulteriori criteri e
modalita' con cui procedere alla notifica del medesimo piano, oltre
ad eventuali tipologie di attivita' escluse dall'obbligo di notifica,
anche in considerazione delle ridotte dimensioni dell'operazione. Il
piano di cui al presente comma include altresi' l'informativa
completa sui contratti o sugli accordi relativi ai servizi di
comunicazione elettronica a banda larga basati sulla tecnologia 5G
gia' autorizzati, in relazione ai quali resta ferma l'efficacia dei
provvedimenti autorizzativi gia' adottati.
3. La notifica di cui di cui al comma 2 e' trasmessa annualmente,
prima di procedere all'attuazione del piano, salva la possibilita' di
aggiornare, previa notifica ai sensi del medesimo comma 2 alla
Presidenza del Consiglio dei ministri, il piano medesimo in corso di
anno, con cadenza quadrimestrale. Entro trenta giorni dalla notifica,
con decreto del Presidente del Consiglio dei ministri, adottato su
conforme delibera del Consiglio dei ministri, e' approvato il piano
annuale di cui al comma 2, previa eventuale imposizione di
prescrizioni o condizioni, ovvero ne e' negata l'approvazione con
l'esercizio del potere di veto. Salvo diversa previsione nel decreto
di approvazione del piano, rimane ferma l'efficacia dei decreti del
Presidente del Consiglio dei ministri gia' adottati alla data di
entrata in vigore del presente articolo. Se e' necessario svolgere
approfondimenti riguardanti aspetti tecnici anche relativi alla
valutazione di possibili fattori di vulnerabilita', che potrebbero
compromettere l'integrita' e la sicurezza delle reti, dei dati che vi
transitano o dei sistemi, il termine di trenta giorni di cui al
secondo periodo puo' essere prorogato fino a venti giorni,
prorogabili per una sola volta, di ulteriori venti giorni, in casi di
particolare complessita'. Se nel corso dell'istruttoria si rende
necessario richiedere informazioni al notificante, tale termine e'
sospeso, per una sola volta, fino al ricevimento delle informazioni
richieste, che sono rese entro il termine di dieci giorni. Se si
rende necessario formulare richieste istruttorie a soggetti terzi, il
predetto termine di trenta giorni e' sospeso, per una sola volta,
fino al ricevimento delle informazioni richieste, che sono rese entro
il termine di venti giorni. Le richieste di informazioni al
notificante e le richieste istruttorie a soggetti terzi successive
alla prima non sospendono i termini. In caso di incompletezza della
notifica, il termine di trenta giorni di cui al secondo periodo
decorre dal ricevimento delle informazioni o degli elementi che la
integrano. Decorsi i predetti termini, il piano si intende approvato.
4. I poteri speciali sono esercitati nella forma dell'imposizione
di specifiche prescrizioni o condizioni ogniqualvolta cio' sia
sufficiente ad assicurare la tutela degli interessi essenziali della
difesa e della sicurezza nazionale. A tal fine, sono oggetto di
valutazione anche gli elementi indicanti la presenza di fattori di
vulnerabilita' che potrebbero compromettere l'integrita' e la
sicurezza delle reti e dei dati che vi transitano, compresi quelli
individuati sulla base dei principi e delle linee guida elaborati a
livello internazionale e dall'Unione europea. Se le prescrizioni o
condizioni non risultano sufficienti ad assicurare la tutela dei
citati interessi, il Governo, tenendo conto dei contenuti del piano
notificato, dell'obsolescenza, del costo e dei tempi di sostituzione
degli apparati e dell'esigenza di non rallentare lo sviluppo della
tecnologia 5G o di altre tecnologie nel Paese, nel rispetto dei
principi di proporzionalita' e adeguatezza, approva, in tutto o in
parte, il piano per un periodo temporale, anche limitato, indicando
un termine per l'eventuale sostituzione di determinati beni o servizi
ovvero non approva il piano esercitando il potere di veto.
5. Salvo quanto previsto dal presente comma, se il soggetto
notificante inizia l'esecuzione di contratti o accordi,
successivamente alla data di entrata in vigore della presente
disposizione, compresi nella notifica, prima che sia decorso il
termine per l'approvazione del piano, il Governo puo' ingiungere
all'impresa, stabilendo il relativo termine, di ripristinare a
proprie spese la situazione anteriore all'esecuzione del predetto
contratto o accordo. Salvo che il fatto costituisca reato, chiunque
non osserva gli obblighi di notifica di cui al presente articolo
ovvero le disposizioni contenute nel provvedimento di esercizio dei
poteri speciali e' soggetto alla sanzione amministrativa pecuniaria
fino al tre per cento del fatturato del soggetto tenuto alla
notifica. I contratti eventualmente stipulati in violazione delle
prescrizioni o delle condizioni contenute nel provvedimento di
esercizio dei poteri speciali sono nulli. Il Governo puo' altresi'
ingiungere all'impresa, stabilendo il relativo termine, di
ripristinare a proprie spese la situazione anteriore alla violazione,
applicando una sanzione amministrativa pecuniaria sino a un
dodicesimo di quella prevista al secondo periodo per ogni mese di
ritardo nell'adempimento, commisurata al ritardo. Analoga sanzione
puo' essere applicata per il ritardo nell'adempimento
dell'ingiunzione di cui al primo periodo. Nei casi di violazione
degli obblighi di notifica di cui al presente articolo, anche in
assenza della notifica, la Presidenza del Consiglio dei ministri puo'
avviare d'ufficio il procedimento ai fini dell'eventuale esercizio
dei poteri speciali. A tale scopo, trovano applicazione i termini e
le norme procedurali previsti dal presente articolo. Il termine di
trenta giorni di cui al comma 3 decorre dalla conclusione del
procedimento di accertamento della violazione dell'obbligo di
notifica.
6. Per l'esercizio dei poteri speciali di cui al presente
articolo il gruppo di coordinamento per l'esercizio dei poteri
speciali e' composto dai rappresentanti della Presidenza del
Consiglio dei ministri, del Ministero dello sviluppo economico, del
Ministero dell'economia e delle finanze, del Ministero dell'interno,
del Ministero della difesa, del Ministero degli affari esteri e della
cooperazione internazionale, dal Ministro per l'innovazione
tecnologica e la transizione digitale, ove previsto, nonche' dai
rappresentanti dell'Agenzia per la cybersicurezza nazionale. Il
gruppo di coordinamento si avvale anche del Centro di valutazione e
certificazione nazionale (CVCN) e delle articolazioni tecniche dei
Ministeri dell'interno e della difesa, per le valutazioni tecniche
della documentazione relativa al piano annuale di cui al comma 2, e
ai suoi eventuali aggiornamenti, propedeutiche all'esercizio dei
poteri speciali e relative ai beni e alle componenti ad alta
intensita' tecnologica funzionali alla progettazione, alla
realizzazione, alla manutenzione e alla gestione delle attivita' di
cui al comma 1 nonche' ad altri possibili fattori di vulnerabilita'
che potrebbero compromettere l'integrita' e la sicurezza delle reti,
dei dati che vi transitano o dei sistemi.
7. Le attivita' di monitoraggio, tese alla verifica
dell'osservanza delle prescrizioni e delle condizioni impartite con
il provvedimento di esercizio dei poteri speciali, alla analisi della
relativa adeguatezza e alla verifica dell'adozione di adeguate
misure, anche tecnologiche, attuative delle medesime prescrizioni o
condizioni sono svolte da un comitato composto da uno o piu'
rappresentanti della Presidenza del Consiglio dei ministri, del
Ministero dello sviluppo economico, del Ministero della difesa, del
Ministro per l'innovazione tecnologica e la transizione digitale, o,
se non nominato, della struttura della Presidenza del Consiglio dei
ministri competente per l'innovazione tecnologica e la
digitalizzazione, nonche' dell'Agenzia per la cybersicurezza
nazionale. Per le attivita' di monitoraggio, il comitato si avvale
anche del Centro di valutazione e certificazione nazionale (CVCN), e
delle articolazioni tecniche dei Ministeri dell'interno e della
difesa. Ai lavori del comitato di monitoraggio possono essere
chiamati a partecipare altri rappresentanti dei Ministeri di cui al
comma 6. Al fine del concreto esercizio delle attivita' di
monitoraggio il soggetto interessato comunica, con la periodicita'
indicata con il provvedimento di esercizio dei poteri speciali, ogni
attivita' esecutiva posta in essere, ivi inclusa la stipulazione dei
contratti ad essa riferiti, fornendo ogni opportuno dettaglio tecnico
ed evidenziando le ragioni idonee ad assicurare la conformita' della
medesima al piano approvato ai sensi del comma 3. Il soggetto
interessato trasmette altresi' una relazione periodica semestrale
sulle attivita' in corso. E' fatta salva la possibilita' per il
comitato di monitoraggio di disporre ispezioni e verifiche tecniche,
anche con le modalita' di cui all'articolo 2-bis, relativamente ai
beni e alle componenti ad alta intensita' tecnologica funzionali alla
progettazione, alla realizzazione, alla manutenzione e alla gestione
delle attivita' di cui al comma 1 nonche' ad altri possibili fattori
di vulnerabilita' che potrebbero compromettere l'integrita' e la
sicurezza delle reti, dei dati che vi transitano o dei sistemi,
oggetto del provvedimento di esercizio dei poteri speciali.
L'inosservanza delle prescrizioni o delle condizioni contenute nel
provvedimento di approvazione ovvero qualsiasi altra circostanza
idonea a incidere sul provvedimento approvativo e' segnalata al
gruppo di coordinamento per l'esercizio dei poteri speciali di cui al
comma 6, il quale puo' proporre al Consiglio dei ministri
l'applicazione delle sanzioni previste dal comma 5, la revoca o la
modifica del provvedimento autorizzativo e il divieto di esercizio
delle attivita' funzionali alla progettazione, alla realizzazione,
alla manutenzione e alla gestione delle attivita' di cui al comma 1.
8. Per le attivita' previste dal presente articolo ai componenti
del gruppo di coordinamento di cui al comma 6 e a quelli del Comitato
di monitoraggio di cui al comma 7 non spettano compensi, gettoni di
presenza, rimborsi spese o altri emolumenti comunque denominati.
9. Con decreto del Presidente del Consiglio dei ministri, sentito
il Gruppo di coordinamento costituito ai sensi del comma 6, anche in
deroga all'articolo 17 della legge 23 agosto 1988, n. 400, possono
essere individuate misure di semplificazione delle modalita' di
notifica, dei termini e delle procedure relativi all'istruttoria ai
fini dell'eventuale esercizio dei poteri di cui al presente
articolo.».
2. In sede di prima applicazione, il piano di cui al comma 2
dell'articolo 1-bis del citato decreto-legge n. 21 del 2012,
convertito, con modificazioni, dalla legge n. 56 del 2012, modificato
dal comma 1 del presente articolo, include altresi' l'informativa
completa sui contratti o sugli accordi relativi ai servizi di
comunicazione elettronica a banda larga basati sulla tecnologia 5G
gia' autorizzati. Ferma l'efficacia dei decreti del Presidente del
Consiglio dei ministri gia' adottati ai sensi dell'articolo 1-bis del
decreto-legge n. 21 del 2012, convertito, con modificazioni, dalla
legge n. 56 del 2012, i procedimenti in corso alla data di entrata in
vigore del presente decreto sono dichiarati estinti dal gruppo di
coordinamento di cui al predetto articolo 1-bis e il relativo esame
e' effettuato in sede di valutazione del piano annuale, fermo
restando quanto previsto dall'articolo 1-bis, commi 3 e 5, del
decreto-legge n. 21 del 2012, convertito, con modificazioni, dalla
legge n. 56 del 2012.
3. Il comma 10 dell'articolo 16 del decreto-legge 14 giugno 2021,
n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n.
109, e' abrogato.
Riferimenti normativi
- Si riporta il testo dell'articolo 1-bis, del
decreto-legge 15 marzo 2012, n.21, convertito, con
modificazioni, dalla legge 11 maggio 2012, n.56 (Norme in
materia di poteri speciali sugli assetti societari nei
settori della difesa e della sicurezza nazionale, nonche'
per le attivita' di rilevanza strategica nei settori
dell'energia, dei trasporti e delle comunicazioni) come
modificato dalla presente legge:
«Art. 1-bis (Poteri speciali inerenti alle reti di
telecomunicazione elettronica a banda larga con tecnologia
5G, basati sulla tecnologia cloud e altri attivi). - 1. Ai
fini dell'esercizio dei poteri speciali di cui al presente
articolo, costituiscono attivita' di rilevanza strategica
per il sistema di difesa e sicurezza nazionale i servizi di
comunicazione elettronica a banda larga basati sulla
tecnologia 5G. Ai medesimi fini di cui al presente
articolo, ulteriori servizi, beni, rapporti, attivita' e
tecnologie rilevanti ai fini della sicurezza cibernetica,
ivi inclusi quelli relativi alla tecnologia cloud, possono
essere individuati con uno o piu' decreti del Presidente
del Consiglio dei ministri, di concerto con il Ministro
dello sviluppo economico, il Ministro dell'interno, il
Ministro della difesa, il Ministro degli affari esteri
della cooperazione internazionale, il Ministro per
l'innovazione tecnologica e la transizione digitale, e con
gli altri Ministri competenti per settore, e sentita
l'Agenzia per la cybersicurezza nazionale, anche in deroga
all'articolo 17 della legge 23 agosto 1988, n. 400, previo
parere delle Commissioni parlamentari competenti, che e'
reso entro trenta giorni dalla data di trasmissione degli
schemi di decreto, decorsi i quali i decreti sono adottati
anche in mancanza di parere.
2. Fermi gli obblighi previsti ai sensi del
decreto-legge 21 settembre 2019, n. 105, convertito, con
modificazioni, dalla legge 18 novembre 2019, n. 133, le
imprese che, anche attraverso contratti o accordi,
intendano acquisire, a qualsiasi titolo, beni o servizi
relativi alla progettazione, alla realizzazione, alla
manutenzione e alla gestione delle attivita' di cui al
comma 1, ovvero componenti ad alta intensita' tecnologica
funzionali alla predetta realizzazione o gestione,
notificano, prima di procedere alla predetta acquisizione,
alla Presidenza del Consiglio dei ministri un piano annuale
nel quale sono contenuti: il settore interessato dalla
notifica; dettagliati dati identificativi del soggetto
notificante; il programma di acquisti; dettagliati dati
identificativi dei relativi, anche potenziali, fornitori;
dettagliata descrizione, comprensiva delle specifiche
tecniche, dei beni, dei servizi e delle componenti ad alta
intensita' tecnologica funzionali alla progettazione, alla
realizzazione, alla manutenzione e alla gestione delle
attivita' di cui al comma 1; un'informativa completa sui
contratti in corso e sulle prospettive di sviluppo della
rete 5G, ovvero degli ulteriori sistemi e attivi di cui al
comma 1; ogni ulteriore informazione funzionale a fornire
un dettagliato quadro delle modalita' di sviluppo dei
sistemi di digitalizzazione del notificante, nonche'
dell'esatto adempimento alle condizioni e alle prescrizioni
imposte a seguito di precedenti notifiche; un'informativa
completa relativa alle eventuali comunicazioni effettuate
ai sensi dell'articolo 1, comma 6, lettera a), del
decreto-legge n. 105 del 2019, convertito, con
modificazioni, dalla legge n. 133 del 2019, ai fini dello
svolgimento delle verifiche di sicurezza da parte del
Centro di valutazione e certificazione nazionale (CVCN),
inclusiva dell'esito della valutazione, ove disponibile, e
delle relative prescrizioni, qualora imposte. Con uno dei
decreti di cui al comma 1, possono altresi' essere
individuati ulteriori contenuti del piano annuale,
eventuali ulteriori criteri e modalita' con cui procedere
alla notifica del medesimo piano, oltre ad eventuali
tipologie di attivita' escluse dall'obbligo di notifica,
anche in considerazione delle ridotte dimensioni
dell'operazione.
3. La notifica di cui di cui al comma 2 e' trasmessa
annualmente, prima di procedere all'attuazione del piano,
salva la possibilita' di aggiornare, previa notifica ai
sensi del medesimo comma 2 alla Presidenza del Consiglio
dei ministri, il piano medesimo in corso di anno, con
cadenza quadrimestrale. Entro trenta giorni dalla notifica,
con decreto del Presidente del Consiglio dei ministri,
adottato su conforme delibera del Consiglio dei ministri,
e' approvato il piano annuale di cui al comma 2, previa
eventuale imposizione di prescrizioni o condizioni, ovvero
ne e' negata l'approvazione con l'esercizio del potere di
veto. Salvo diversa previsione nel decreto di approvazione
del piano, rimane ferma l'efficacia dei decreti del
Presidente del Consiglio dei ministri gia' adottati alla
data di entrata in vigore del presente articolo. Se e'
necessario svolgere approfondimenti riguardanti aspetti
tecnici anche relativi alla valutazione di possibili
fattori di vulnerabilita', che potrebbero compromettere
l'integrita' e la sicurezza delle reti, dei dati che vi
transitano o dei sistemi, il termine di trenta giorni di
cui al secondo periodo puo' essere prorogato fino a venti
giorni, prorogabile per una sola volta, di ulteriori venti
giorni, in casi di particolare complessita'. Se nel corso
dell'istruttoria si rende necessario richiedere
informazioni al notificante, tale termine e' sospeso, per
una sola volta, fino al ricevimento delle informazioni
richieste, che sono rese entro il termine di dieci giorni.
Se si rende necessario formulare richieste istruttorie a
soggetti terzi, il predetto termine di trenta giorni e'
sospeso, per una sola volta, fino al ricevimento delle
informazioni richieste, che sono rese entro il termine di
venti giorni. Le richieste di informazioni al notificante e
le richieste istruttorie a soggetti terzi successive alla
prima non sospendono i termini. In caso di incompletezza
della notifica, il termine di trenta giorni di cui al
secondo periodo decorre dal ricevimento delle informazioni
o degli elementi che la integrano. Decorsi i predetti
termini, il piano si intende approvato.
4. I poteri speciali sono esercitati nella forma
dell'imposizione di specifiche prescrizioni o condizioni
ogniqualvolta cio' sia sufficiente ad assicurare la tutela
degli interessi essenziali della difesa e della sicurezza
nazionale. A tal fine, sono oggetto di valutazione anche
gli elementi indicanti la presenza di fattori di
vulnerabilita' che potrebbero compromettere l'integrita' e
la sicurezza delle reti e dei dati che vi transitano,
compresi quelli individuati sulla base dei principi e delle
linee guida elaborati a livello internazionale e
dall'Unione europea. Se le prescrizioni o condizioni non
risultano sufficienti ad assicurare la tutela dei citati
interessi, il Governo, tenendo conto dei contenuti del
piano notificato, dell'obsolescenza, del costo e dei tempi
di sostituzione degli apparati e dell'esigenza di non
rallentare lo sviluppo della tecnologia 5G o di altre
tecnologie nel Paese, nel rispetto dei principi di
proporzionalita' e adeguatezza, approva, in tutto o in
parte, il piano per un periodo temporale, anche limitato,
indicando un termine per l'eventuale sostituzione di
determinati beni o servizi ovvero non approva il piano
esercitando il potere di veto.
5. Salvo quanto previsto dal presente comma, se il
soggetto notificante inizia l'esecuzione di contratti o
accordi, successivi all'entrata in vigore del presente
articolo, compresi nella notifica prima che sia decorso il
termine per l'approvazione del piano, il Governo puo'
ingiungere all'impresa, stabilendo il relativo termine, di
ripristinare a proprie spese la situazione anteriore
all'esecuzione del predetto contratto o accordo. Salvo che
il fatto costituisca reato, chiunque non osserva gli
obblighi di notifica di cui al presente articolo ovvero le
disposizioni contenute nel provvedimento di esercizio dei
poteri speciali e' soggetto alla sanzione amministrativa
pecuniaria fino al tre per cento del fatturato del soggetto
tenuto alla notifica. I contratti eventualmente stipulati
in violazione delle prescrizioni o delle condizioni
contenute nel provvedimento di esercizio dei poteri
speciali sono nulli. Il Governo puo' altresi' ingiungere
all'impresa, stabilendo il relativo termine, di
ripristinare a proprie spese la situazione anteriore alla
violazione, applicando una sanzione amministrativa
pecuniaria sino a un dodicesimo di quella prevista al
periodo precedente per ogni mese di ritardo
nell'adempimento, commisurata al ritardo. Analoga sanzione
puo' essere applicata per il ritardo nell'adempimento
dell'ingiunzione di cui al primo periodo. Nei casi di
violazione degli obblighi di notifica di cui al presente
articolo, anche in assenza della notifica, la Presidenza
del Consiglio dei ministri puo' avviare d'ufficio il
procedimento ai fini dell'eventuale esercizio dei poteri
speciali. A tale scopo, trovano applicazione i termini e le
norme procedurali previsti dal presente articolo. Il
termine di trenta giorni di cui al comma 3 decorre dalla
conclusione del procedimento di accertamento della
violazione dell'obbligo di notifica.
6. Per l'esercizio dei poteri speciali di cui al
presente articolo il gruppo di coordinamento per
l'esercizio dei poteri speciali e' composto dai
rappresentanti della Presidenza del Consiglio dei ministri,
del Ministero dello sviluppo economico, del Ministero
dell'economia e delle finanze, del Ministero dell'interno,
del Ministero della difesa, del Ministero degli affari
esteri e della cooperazione internazionale, dal Ministro
per l'innovazione tecnologica e la transizione digitale,
ove previsto, nonche' dai rappresentanti dell'Agenzia per
la cybersicurezza nazionale. Il gruppo di coordinamento si
avvale anche del Centro di valutazione e certificazione
nazionale (CVCN) e delle articolazioni tecniche dei
Ministeri dell'interno e della difesa, per le valutazioni
tecniche della documentazione relativa al piano annuale di
cui al comma 2, e ai suoi eventuali aggiornamenti,
propedeutiche all'esercizio dei poteri speciali e relative
ai beni e alle componenti ad alta intensita' tecnologica
funzionali alla progettazione, alla realizzazione, alla
manutenzione e alla gestione delle attivita' di cui al
comma 1 nonche' ad altri possibili fattori di
vulnerabilita' che potrebbero compromettere l'integrita' e
la sicurezza delle reti, dei dati che vi transitano o dei
sistemi.
7. Le attivita' di monitoraggio, tese alla verifica
dell'osservanza delle prescrizioni e delle condizioni
impartite con il provvedimento di esercizio dei poteri
speciali, alla analisi della relativa adeguatezza e alla
verifica dell'adozione di adeguate misure, anche
tecnologiche, attuative delle medesime prescrizioni o
condizioni sono svolte da un comitato composto da uno o
piu' rappresentanti della Presidenza del Consiglio dei
ministri, del Ministero dello sviluppo economico, del
Ministero della difesa, del Ministero per l'innovazione
tecnologica e la transizione digitale, o, se non nominato,
della struttura della Presidenza del Consiglio dei ministri
competente per l'innovazione tecnologica e la
digitalizzazione, dell'Agenzia per la cybersicurezza
nazionale. Per le attivita' di monitoraggio, il comitato si
avvale anche del Centro di valutazione e certificazione
nazionale (CVCN), e delle articolazioni tecniche dei
Ministeri dell'interno e della difesa. Ai lavori del
comitato di monitoraggio possono essere chiamati a
partecipare altri rappresentanti dei Ministeri di cui al
comma 6. Al fine del concreto esercizio delle attivita' di
monitoraggio il soggetto interessato comunica con la
periodicita' indicata con il provvedimento di esercizio dei
poteri speciali, ogni attivita' esecutiva posta in essere,
ivi inclusa la stipulazione dei contratti ad essa riferiti,
fornendo ogni opportuno dettaglio tecnico ed evidenziando
le ragioni idonee ad assicurare la conformita' della
medesima al piano approvato ai sensi del comma 3. Il
soggetto interessato trasmette altresi', una relazione
periodica semestrale sulle attivita' in corso. E' fatta
salva la possibilita' per il comitato di monitoraggio di
disporre ispezioni e verifiche tecniche, anche con le
modalita' di cui all'articolo 2-bis, relativamente ai beni
e alle componenti ad alta intensita' tecnologica funzionali
alla progettazione, alla realizzazione, alla manutenzione e
alla gestione delle attivita' di cui al comma 1 nonche' ad
altri possibili fattori di vulnerabilita' che potrebbero
compromettere l'integrita' e la sicurezza delle reti, dei
dati che vi transitano o dei sistemi, oggetto del
provvedimento di esercizio dei poteri speciali.
L'inosservanza delle prescrizioni o delle condizioni
contenute nel provvedimento di approvazione ovvero
qualsiasi altra circostanza idonea a incidere sul
provvedimento approvativo e' segnalata al gruppo di
coordinamento dell'esercizio dei poteri speciali di cui al
comma 6, il quale puo' proporre al Consiglio dei ministri
l'applicazione delle sanzioni previste dal comma 5, la
revoca o la modifica del provvedimento autorizzativo e il
divieto di esercizio delle attivita' funzionali alla
progettazione, alla realizzazione, alla manutenzione e alla
gestione delle attivita' di cui al comma 1.
8. Per le attivita' previste dal presente articolo ai
componenti del gruppo di coordinamento di cui al comma 6 e
a quelli del Comitato di monitoraggio di cui al comma 7 non
spettano compensi, gettoni di presenza, rimborsi spese o
altri emolumenti comunque denominati.
9. Con decreto del Presidente del Consiglio dei
ministri, sentito il Gruppo di coordinamento costituito ai
sensi del comma 6, anche in deroga all'articolo 17 della
legge 23 agosto 1988, n. 400, possono essere individuate
misure di semplificazione delle modalita' di notifica, dei
termini e delle procedure relativi all'istruttoria ai fini
dell'eventuale esercizio dei poteri di cui al presente
articolo.».
- Si riporta il testo dell'articolo 16, del
decreto-legge 14 giugno 2021, n.82, convertito, con
modificazioni, dalla legge 4 agosto 2021, n.109
(Disposizioni urgenti in materia di cybersicurezza,
definizione dell'architettura nazionale di cybersicurezza e
istituzione dell'Agenzia per la cybersicurezza nazionale)
come modificato dalla presente legge:
«Art. 16 (Altre modificazioni). - 1. All'articolo 3,
comma 1-bis, della legge 3 agosto 2007, n. 124, dopo le
parole: «della presente legge» sono aggiunte le seguenti:
«e in materia di cybersicurezza».
2. All'articolo 38 della legge n. 124 del 2007, il
comma 1-bis e' abrogato a decorrere dal 1°(gradi) gennaio
2023.
3. La denominazione: «CSIRT Italia» sostituisce, ad
ogni effetto e ovunque presente in provvedimenti
legislativi e regolamentari, la denominazione: «CSIRT
Italiano».
4. Nel decreto-legge perimetro le parole: «Comitato
interministeriale per la sicurezza della Repubblica (CISR)»
e «CISR», ovunque ricorrano, sono rispettivamente
sostituite dalle seguenti: «Comitato interministeriale per
la cybersicurezza (CIC)» e «CIC», fatta eccezione per le
disposizioni di cui all'articolo 5 del medesimo
decreto-legge.
5. Nel decreto-legge perimetro ogni riferimento al
Dipartimento delle informazioni per la sicurezza, o al DIS,
ovunque ricorra, e' da intendersi riferito all'Agenzia per
la cybersicurezza nazionale, fatta eccezione per le
disposizioni dell'articolo 1, commi 2, lettera b), e 2-ter,
del medesimo decreto-legge perimetro, e ogni riferimento al
Nucleo per la sicurezza cibernetica e' da intendersi
riferito al Nucleo per la cybersicurezza.
6. Nel decreto-legge perimetro:
a) ogni riferimento al Ministero dello sviluppo
economico e alla Presidenza del Consiglio dei ministri,
ovunque ricorra, e' da intendersi riferito all'Agenzia per
la cybersicurezza nazionale;
b) all'articolo 1, comma 8, lettera a), le parole
da: «definite dalla Presidenza del Consiglio dei ministri»
a: «decreto legislativo 18 maggio 2018, n. 65» sono
sostituite dalle seguenti: «definite dall'Agenzia per la
cybersicurezza nazionale»;
c) all'articolo 1, comma 8, lettera b), le
parole: «all'autorita' competente» sono sostituite dalle
seguenti: «autorita' nazionale competente NIS».
7. Nei provvedimenti di natura regolamentare e
amministrativa la cui adozione e' prevista dall'articolo 1
del decreto-legge perimetro, ogni riferimento al CISR e al
DIS deve intendersi rispettivamente riferito al CIC e
all'Agenzia per la cybersicurezza nazionale.
8. Nei provvedimenti di natura regolamentare e
amministrativa la cui adozione e' prevista dall'articolo 1
del decreto-legge perimetro, ogni riferimento al Ministero
dello sviluppo economico e alla struttura della Presidenza
del Consiglio dei ministri competente per la innovazione
tecnologica e la digitalizzazione, ovunque ricorra, deve
intendersi riferito all'Agenzia per la cybersicurezza
nazionale, fatta eccezione per le disposizioni di cui
all'articolo 3 del decreto del Presidente del Consiglio dei
ministri 30 luglio 2020, n. 131.
9. Al decreto-legge perimetro sono apportate le
seguenti modificazioni:
a) all'articolo 1, comma 6, lettera a), dopo il
primo periodo e' inserito il seguente: «L'obbligo di
comunicazione di cui alla presente lettera e' efficace a
decorrere dal trentesimo giorno successivo alla
pubblicazione nella Gazzetta Ufficiale della Repubblica
italiana del decreto del Presidente del Consiglio dei
ministri che, sentita l'Agenzia per la cybersicurezza
nazionale, attesta l'operativita' del CVCN e comunque dal
30 giugno 2022.»;
a-bis) all'articolo 1, comma 7, lettera c), le
parole: "dell'organismo tecnico di supporto al CISR" sono
sostituite dalle seguenti: "del Tavolo interministeriale di
cui all'articolo 6 del decreto del Presidente del Consiglio
dei ministri 30 luglio 2020, n. 131";
a-ter) all'articolo 1, comma 2, la lettera b) e'
sostituita dalla seguente:
"b) sono definiti, sulla base di un'analisi del
rischio e di un criterio di gradualita' che tenga conto
delle specificita' dei diversi settori di attivita', i
criteri con i quali i soggetti di cui al comma 2-bis
predispongono e aggiornano con cadenza almeno annuale un
elenco delle reti, dei sistemi informativi e dei servizi
informatici di cui al comma 1, di rispettiva pertinenza,
comprensivo della relativa architettura e componentistica,
fermo restando che, per le reti, i sistemi informativi e i
servizi informatici attinenti alla gestione delle
informazioni classificate, si applica quanto previsto dal
regolamento adottato ai sensi dell'articolo 4, comma 3,
lettera l), della legge 3 agosto 2007, n. 124;
all'elaborazione di tali criteri provvede, adottando
opportuni moduli organizzativi, il Tavolo interministeriale
di cui all'articolo 6 del regolamento di cui al decreto del
Presidente del Consiglio dei ministri 30 luglio 2020, n.
131; entro sei mesi dalla data della comunicazione,
prevista dal comma 2-bis, a ciascuno dei soggetti iscritti
nell'elenco di cui al medesimo comma, i soggetti pubblici e
quelli di cui all'articolo 29 del codice
dell'amministrazione digitale, di cui al decreto
legislativo 7 marzo 2005, n. 82, nonche' quelli privati, di
cui al citato comma 2-bis, trasmettono tali elenchi
all'Agenzia per la cybersicurezza nazionale, anche per le
attivita' di prevenzione, preparazione e gestione di crisi
cibernetiche affidate al Nucleo per la cybersicurezza; il
Dipartimento delle informazioni per la sicurezza, l'Agenzia
informazioni e sicurezza esterna (AISE) e l'Agenzia
informazioni e sicurezza interna (AISI) ai fini
dell'esercizio delle funzioni istituzionali previste dagli
articoli 1, comma 3-bis, 4, 6 e 7 della legge n. 124 del
2007, nonche' l'organo del Ministero dell'interno per la
sicurezza e per la regolarita' dei servizi di
telecomunicazione di cui all'articolo 7-bis del
decreto-legge 27 luglio 2005, n. 144, convertito, con
modificazioni, dalla legge 31 luglio 2005, n. 155, accedono
a tali elenchi per il tramite della piattaforma digitale di
cui all'articolo 9, comma 1, del regolamento di cui al
decreto del Presidente del Consiglio dei ministri n. 131
del 2020, costituita presso l'Agenzia per la cybersicurezza
nazionale";
a-quater) all'articolo 1, dopo il comma 2-bis e'
inserito il seguente:
"2-ter. Gli elenchi dei soggetti di cui alla
lettera a) del comma 2 del presente articolo sono trasmessi
al Dipartimento delle informazioni per la sicurezza, che
provvede anche a favore dell'AISE e dell'AISI ai fini
dell'esercizio delle funzioni istituzionali previste dagli
articoli 1, comma 3-bis, 4, 6 e 7 della legge 3 agosto
2007, n. 124";
b) all'articolo 3, il comma 2 e' abrogato;
c) a decorrere dalla data in cui diviene efficace
l'obbligo di comunicazione disciplinato dalla lettera a),
all'articolo 3:
1) il comma 1 e' sostituito dal seguente: «1. I
soggetti che intendono procedere all'acquisizione, a
qualsiasi titolo, di beni, servizi e componenti di cui
all'articolo 1-bis, comma 2, del decreto-legge 15 marzo
2012, n. 21, convertito, con modificazioni, dalla legge 11
maggio 2012, n. 56, sono obbligati ad effettuare la
comunicazione di cui all'articolo 1, comma 6, lettera a),
per lo svolgimento delle verifiche di sicurezza da parte
del CVCN sulla base delle procedure, modalita' e termini
previsti dal regolamento di attuazione. Ai fornitori dei
predetti beni, servizi e componenti si applica l'articolo
1, comma 6, lettera b).»;
2) il comma 3 e' abrogato;
10. (Abrogato).
11. All'articolo 135, comma 1, del codice del
processo amministrativo, di cui all'allegato 1 al decreto
legislativo 2 luglio 2010, n. 104, dopo la lettera h), e'
aggiunta la seguente: «h-bis) le controversie aventi ad
oggetto i provvedimenti dell'Agenzia per la cybersicurezza
nazionale;» e alla lettera o) le parole: «e dell'AISE» sono
sostituite dalle seguenti: «, dell'AISE e dell'Agenzia per
la cybersicurezza nazionale».
12. Alla legge 22 aprile 2021, n. 53, sono apportate
le seguenti modificazioni:
a) all'articolo 4, comma 1, lettera b), dopo le
parole: «Ministero dello sviluppo economico» sono aggiunte
le seguenti: «e l'Agenzia per la cybersicurezza nazionale»;
b) all'articolo 18, ogni riferimento al Ministero
dello sviluppo economico, ovunque ricorra, deve intendersi
riferito all'Agenzia per la cybersicurezza nazionale.
13. All'articolo 33-septies, comma 4, del
decreto-legge 18 ottobre 2012, n. 179, convertito, con
modificazioni, dalla legge 17 dicembre 2012, n. 221, le
parole: «L'AgID» sono sostituite dalle seguenti: «L'Agenzia
per la cybersicurezza nazionale» e sono aggiunte, in fine,
le seguenti parole: «nonche' le modalita' del procedimento
di qualificazione dei servizi cloud per la pubblica
amministrazione».
14. Al decreto legislativo 1°(gradi) agosto 2003, n.
259, sono apportate le seguenti modificazioni:
a) agli articoli 16-bis e 16-ter, ogni riferimento
al Ministero dello sviluppo economico, ovunque ricorra,
deve intendersi riferito all'Agenzia per la cybersicurezza
nazionale;
b) all'articolo 16-ter, comma 1, le parole:
«Ministro dello sviluppo economico» sono sostituite dalle
seguenti: «Presidente del Consiglio dei ministri»;
c) all'articolo 16-ter, comma 2, lettera b), le
parole: «, in collaborazione con gli Ispettorati
territoriali del Ministero dello sviluppo economico,» sono
soppresse.».