Art. 29
Rafforzamento della disciplina cyber
1. Al fine di prevenire pregiudizi alla sicurezza delle reti, dei
sistemi informativi e dei servizi informatici delle amministrazioni
pubbliche di cui all'articolo 1, comma 2, del decreto legislativo 30
marzo 2001, n. 165, derivanti dal rischio che le aziende produttrici
di prodotti e servizi tecnologici di sicurezza informatica legate
alla Federazione Russa non siano in grado di fornire servizi e
aggiornamenti ai propri prodotti appartenenti alle categorie
individuate al comma 3, in conseguenza della crisi in Ucraina, le
medesime amministrazioni procedono tempestivamente alla
diversificazione dei prodotti in uso.
2. Fermo restando quanto previsto dall'articolo 1, comma 2, lettera
a), del decreto-legge 16 luglio 2020, n. 76, convertito, con
modificazioni, dalla legge 11 settembre 2020, n. 120, le stazioni
appaltanti, che procedono ai sensi del comma 1, provvedono
all'acquisto di un ulteriore prodotto o servizio tecnologico di
sicurezza informatica di cui al comma 3 e connessi servizi di
supporto mediante gli strumenti di acquisto messi a disposizione
dalle centrali di committenza, ovvero, laddove non sussistano o non
siano comunque disponibili nell'ambito di tali strumenti, mediante la
procedura negoziata senza previa pubblicazione del bando di cui
all'articolo 63 del decreto legislativo 16 aprile 2016, n. 50, anche
in deroga a quanto disposto dal comma 6, secondo periodo, del
medesimo articolo 63.
3. Le categorie di prodotti e servizi di cui al comma 1 sono
indicate con circolare dell'Agenzia per la cybersicurezza nazionale,
tra quelle volte ad assicurare le seguenti funzioni di sicurezza:
a) sicurezza dei dispositivi (endpoint security), ivi compresi
applicativi antivirus, antimalware ed «endpoint detection and
response» (EDR);
b) «web application firewall» (WAF);
4. Dall'attuazione dei commi 1, 2 e 3 non derivano effetti che
possano costituire presupposto per l'azione di responsabilita' di cui
all'articolo 1 della legge 14 gennaio 1994, n. 20. Le amministrazioni
interessate provvedono agli adempimenti previsti dai commi 1, 2 e 3
con le risorse umane, finanziarie e strumentali disponibili a
legislazione vigente.
5. All'articolo 5, comma 1, del decreto-legge 21 settembre 2019, n.
105, convertito, con modificazioni, dalla legge 18 novembre 2019, n.
133, dopo le parole «fattore di rischio o alla sua mitigazione,» sono
inserite le seguenti: «in deroga ad ogni disposizione vigente, nel
rispetto dei principi generali dell'ordinamento giuridico e» e, dopo
il primo periodo sono aggiunti i seguenti: «Laddove nelle
determinazioni di cui al presente comma sia recata deroga alle leggi
vigenti anche ai fini delle ulteriori necessarie misure correlate
alla disattivazione o all'interruzione, le stesse determinazioni
devono contenere l'indicazione delle principali norme a cui si
intende derogare e tali deroghe devono essere specificamente
motivate. Le determinazioni di cui al presente comma non sono
soggetti al controllo preventivo di legittimita' di cui all'articolo
3 della legge 14 gennaio 1994, n. 20.».
6. Al fine di consentire il piu' rapido avvio delle attivita'
strumentali alla tutela della sicurezza nazionale nello spazio
cibernetico, all'articolo 12 del decreto-legge 14 giugno 2021, n. 82,
convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109,
dopo il comma 8 e' aggiunto il seguente: «8-bis. In relazione alle
assunzioni a tempo determinato di cui al comma 2, lettera b), i
relativi contratti per lo svolgimento delle funzioni volte alla
tutela della sicurezza nazionale nello spazio cibernetico attribuite
all'Agenzia, possono prevedere una durata massima di quattro anni,
rinnovabile per periodi non superiori ad ulteriori complessivi
quattro anni. Delle assunzioni e dei rinnovi disposti ai sensi del
presente comma e' data comunicazione al COPASIR nell'ambito della
relazione di cui all'articolo 14, comma 2.».