IL PRESIDENTE DELLA REPUBBLICA
Visti gli articoli 76 e 87, quinto comma, della Costituzione;
Vista la legge 23 agosto 1988, n. 400, recante «Disciplina
dell'attivita' di Governo e ordinamento della Presidenza del
Consiglio dei ministri» e, in particolare, l'articolo 14;
Vista la legge 24 dicembre 2012, n. 234, recante «Norme generali
sulla partecipazione dell'Italia alla formazione e all'attuazione
della normativa e delle politiche dell'Unione europea» e, in
particolare, gli articoli 31 e 32;
Vista la legge 21 febbraio 2024, n. 15, recante «Delega al Governo
per il recepimento delle direttive europee e l'attuazione di altri
atti dell'Unione europea - Legge di delegazione europea 2022-2023» e,
in particolare, l'articolo 5, che reca principi e criteri direttivi
per l'esercizio della delega per il recepimento della direttiva (UE)
2022/2557, relativa alla resilienza dei soggetti critici;
Vista la direttiva (UE) 2022/2557 del Parlamento europeo e del
Consiglio, del 14 dicembre 2022, relativa alla resilienza dei
soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del
Consiglio, del 27 aprile 2016, relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche' alla
libera circolazione di tali dati e che abroga la direttiva 95/46/CE
(regolamento generale sulla protezione dei dati);
Visto il regolamento (UE) 2022/2554 del Parlamento europeo e del
Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa
digitale per il settore finanziario e che modifica i regolamenti (CE)
n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e
(UE) 2016/1011;
Vista la direttiva (UE) 2022/2555 del Parlamento europeo e del
Consiglio, del 14 dicembre 2022, relativa a misure per un livello
comune elevato di cibersicurezza nell'Unione, recante modifica del
regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che
abroga la direttiva (UE) 2016/1148 (direttiva NIS 2);
Visto il regolamento delegato (UE) 2023/2450 della Commissione, del
25 luglio 2023, che integra la direttiva (UE) 2022/2557 del
Parlamento europeo e del Consiglio stabilendo un elenco di servizi
essenziali;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante
«Codice in materia di protezione dei dati personali, recante
disposizioni per l'adeguamento dell'ordinamento nazionale al
regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio,
del 27 aprile 2016, relativo alla protezione delle persone fisiche
con riguardo al trattamento dei dati personali, nonche' alla libera
circolazione di tali dati e che abroga la direttiva 95/46/CE»;
Visto il decreto-legge 27 luglio 2005, n. 144, convertito, con
modificazioni, dalla legge 31 luglio 2005, n. 155, recante «Misure
urgenti per il contrasto del terrorismo internazionale»;
Vista la legge 3 agosto 2007, n. 124, recante «Sistema di
informazione per la sicurezza della Repubblica e nuova disciplina del
segreto»;
Visto il decreto legislativo 11 aprile 2011, n. 61, recante
«Attuazione della direttiva 2008/114/CE recante l'individuazione e la
designazione delle infrastrutture critiche europee e la valutazione
della necessita' di migliorarne la protezione»;
Visto il decreto legislativo 23 giugno 2011, n. 118, recante
«Disposizioni in materia di armonizzazione dei sistemi contabili e
degli schemi di bilancio delle Regioni, degli enti locali e dei loro
organismi, a norma degli articoli 1 e 2 della legge 5 maggio 2009, n.
42»;
Visto il decreto-legge 14 giugno 2021, n. 82, convertito, con
modificazioni, dalla legge 4 agosto 2021, n. 109, recante
«Disposizioni urgenti in materia di cybersicurezza, definizione
dell'architettura nazionale di cybersicurezza e istituzione
dell'Agenzia per la cybersicurezza nazionale»;
Vista la preliminare deliberazione del Consiglio dei ministri,
adottata nella riunione del 10 giugno 2024;
Acquisito il parere del Garante per la protezione dei dati
personali, reso nella seduta del 18 luglio 2024;
Acquisito il parere della Conferenza unificata di cui all'articolo
8 del decreto legislativo 28 agosto 1997, n. 281, reso nella seduta
dell'11 luglio 2024;
Acquisiti i pareri delle competenti Commissioni della Camera dei
deputati e del Senato della Repubblica;
Vista la deliberazione del Consiglio dei ministri, adottata nella
riunione del 7 agosto 2024;
Sulla proposta del Presidente del Consiglio dei ministri e del
Ministro per gli affari europei, il Sud, le politiche di coesione e
il PNRR, di concerto con i Ministri per gli affari regionali e le
autonomie, per la protezione civile e le politiche del mare, degli
affari esteri e della cooperazione internazionale, dell'interno,
della giustizia, della difesa, dell'economia e delle finanze, delle
imprese e del made in Italy, dell'ambiente e della sicurezza
energetica, delle infrastrutture e dei trasporti, della salute e
dell'agricoltura, della sovranita' alimentare e delle foreste;
E m a n a
il seguente decreto legislativo:
Art. 1
Oggetto e ambito di applicazione
1. Il presente decreto stabilisce:
a) misure volte a garantire che i servizi essenziali per il
mantenimento di funzioni vitali della societa', di attivita'
economiche, della salute e della sicurezza pubbliche o dell'ambiente,
di cui all'articolo 2, comma 1, lettera e), siano forniti senza
impedimenti nonche' criteri per l'individuazione dei soggetti critici
di cui all'articolo 2, comma 1, lettera a);
b) obblighi per i soggetti critici di cui all'articolo 2, comma
1, lettera a), volti a rafforzarne la resilienza, fino al
raggiungimento di un livello elevato, e a rafforzarne la capacita' di
fornire i servizi essenziali di cui all'articolo 2, comma 1, lettera
e), nel mercato interno, al fine di migliorarne il funzionamento;
c) misure per il sostegno nell'adempimento degli obblighi imposti
dal presente decreto ai soggetti critici di cui all'articolo 2, comma
1, lettera a);
d) disposizioni riguardanti la vigilanza e l'irrogazione di
sanzioni nei confronti dei soggetti critici di cui all'articolo 2,
comma 1, lettera a);
e) disposizioni riguardanti l'individuazione dei soggetti critici
di particolare rilevanza europea, di cui all'articolo 17, e le
missioni di consulenza della Commissione europea finalizzate a
valutare le misure predisposte da tali soggetti per adempiere ai
propri obblighi, di cui all'articolo 18;
f) disposizioni per la predisposizione della strategia nazionale
per la resilienza dei soggetti critici, di cui all'articolo 6;
g) la disciplina della valutazione del rischio da parte dello
Stato, di cui all'articolo 7, e della valutazione del rischio da
parte dei soggetti critici, di cui all'articolo 13;
h) l'istituzione del Comitato interministeriale per la
resilienza, di cui all'articolo 4, nonche' l'individuazione delle
autorita' settoriali competenti e del punto di contatto unico, di cui
all'articolo 5;
i) le modalita' di cooperazione con gli altri Stati membri e con
la Commissione europea, inclusa la partecipazione nazionale al gruppo
per la resilienza dei soggetti critici di cui all'articolo 19.
2. Fermo restando quanto previsto dall'articolo 10, il presente
decreto non si applica alle materie disciplinate dalle disposizioni
nazionali di attuazione della direttiva (UE) 2022/2555 del Parlamento
europeo e del Consiglio, del 14 dicembre 2022, le cui misure sulla
gestione dei rischi della cibersicurezza sono basate su un approccio
multirischio che mira a proteggere anche l'ambiente fisico dei
sistemi informatici da eventi che possono avere origini diverse.
3. Qualora gli obblighi previsti per i soggetti critici di adottare
misure per rafforzare la loro resilienza siano oggetto di uno
specifico atto giuridico dell'Unione europea, si applicano le
disposizioni di detto atto giuridico nella misura in cui gli effetti
di tali obblighi siano almeno equivalenti a quelli degli obblighi di
cui al presente decreto. In tale circostanza non si applicano le
disposizioni in materia di vigilanza ed esecuzione di cui al presente
decreto.
4. Fatto salvo quanto previsto dall'articolo 346 del Trattato sul
funzionamento dell'Unione europea, se l'applicazione del presente
decreto comporta la comunicazione di informazioni riservate ai sensi
delle disposizioni nazionali o delle disposizioni dell'Unione
europea, tale comunicazione e' limitata a quanto strettamente
necessario ai fini dell'applicazione medesima e le informazioni
scambiate sono esclusivamente quelle pertinenti e commisurate allo
scopo. In ogni caso, la comunicazione di cui al primo periodo tutela
la riservatezza di tali informazioni, nonche' la sicurezza e gli
interessi commerciali dei soggetti critici di cui all'articolo 2,
comma 1, lettera a). Gli obblighi stabiliti dal presente decreto non
comportano la comunicazione di informazioni la cui divulgazione
sarebbe contraria agli interessi essenziali dello Stato in materia di
sicurezza nazionale, di difesa o di pubblica sicurezza.
5. Resta impregiudicata la responsabilita' dello Stato di tutelare
la sicurezza nazionale, la difesa e le altre funzioni essenziali
dello Stato, tra cui la garanzia dell'integrita' territoriale dello
Stato e il mantenimento dell'ordine pubblico.
6. Il presente decreto non si applica agli organi e alle
articolazioni della pubblica amministrazione, nonche' agli enti di
cui all'articolo 2, comma 1, lettera l), che operano nei settori
della pubblica sicurezza, della difesa nazionale o dell'attivita' di
contrasto, compresi l'indagine, l'accertamento e il perseguimento di
reati, nonche' agli organismi di informazione per la sicurezza di cui
alla legge 3 agosto 2007, n. 124, all'Agenzia per la cybersicurezza
nazionale di cui al decreto-legge 14 giugno 2021, n. 82, convertito,
con modificazioni, dalla legge 4 agosto 2021, n. 109. Esso non si
applica, altresi', al Parlamento, alla Banca d'Italia, all'Unita' di
informazione finanziaria per l'Italia di cui all'articolo 6 del
decreto legislativo 21 novembre 2007, n. 231 e agli organi
giudiziari.
7. Con uno o piu' decreti del Presidente del Consiglio dei
ministri, di concerto, per gli ambiti di rispettiva competenza, con i
Ministri della giustizia, dell'interno e della difesa, sentito il
Comitato interministeriale per la resilienza di cui all'articolo 4,
sono individuati specifici soggetti critici che svolgono attivita'
principalmente nei settori della pubblica sicurezza, della protezione
civile, della difesa o dell'attivita' di contrasto, accertamento e
perseguimento di reati, ovvero che forniscono servizi esclusivamente
agli organi, alle articolazioni o agli enti della pubblica
amministrazione di cui al comma 6, ai quali, nell'espletamento di
tali attivita' o servizi, non si applicano le disposizioni di cui
all'articolo 12 e ai capi III, IV e VI del presente decreto.
8. Resta ferma l'applicazione del codice in materia di protezione
dei dati personali, di cui al decreto legislativo 30 giugno 2003, n.
196.
9. Con decreto del Presidente del Consiglio dei ministri, da
adottare ai sensi dell'articolo 43 della legge 3 agosto 2007, n. 124,
sono individuati specifici soggetti critici che svolgono attivita'
principalmente o forniscono servizi esclusivamente per gli organismi
di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della
legge n. 124 del 2007, ai quali, nell'espletamento delle predette
attivita' o servizi, non si applicano le disposizioni di cui
all'articolo 12 e ai capi III, IV e VI del presente decreto.
N O T E
Avvertenza:
Il testo delle note qui pubblicato e' stato redatto
dall'amministrazione competente per materia, ai sensi
dell'art. 10, commi 2 e 3, del testo unico delle
disposizioni sulla promulgazione delle leggi,
sull'emanazione dei decreti del Presidente della Repubblica
e sulle pubblicazioni ufficiali della Repubblica italiana,
approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo
fine di facilitare la lettura delle disposizioni di legge
modificate o alle quali e' operato il rinvio. Restano
invariati il valore e l'efficacia degli atti legislativi
qui trascritti.
- Per le direttive CEE vengono forniti gli estremi di
pubblicazione nella Gazzetta Ufficiale delle Comunita'
europee (GUUE).
Note alle premesse:
- L'art. 76 della Costituzione stabilisce che
l'esercizio della funzione legislativa non puo' essere
delegato al Governo se non con determinazione di principi e
criteri direttivi e soltanto per tempo limitato e per
oggetti definiti.
- L'art. 87, quinto comma, della Costituzione
conferisce al Presidente della Repubblica il potere di
promulgare le leggi ed emanare i decreti aventi valore di
legge e i regolamenti.
- Si riporta l'articolo 14 della legge 23 agosto 1988,
n. 400 (Disciplina dell'attivita' di Governo e ordinamento
della Presidenza del Consiglio dei Ministri), pubblicato
nella Gazzetta Ufficiale n. 214 del 12 settembre 1988, S.O.
n. 86:
«Art. 14 (Decreti legislativi). - 1. I decreti
legislativi adottati dal Governo ai sensi dell'articolo 76
della Costituzione sono emanati dal Presidente della
Repubblica con la denominazione di "decreto legislativo" e
con l'indicazione, nel preambolo, della legge di
delegazione, della deliberazione del Consiglio dei ministri
e degli altri adempimenti del procedimento prescritti dalla
legge di delegazione.
2. L'emanazione del decreto legislativo deve avvenire
entro il termine fissato dalla legge di delegazione; il
testo del decreto legislativo adottato dal Governo e'
trasmesso al Presidente della Repubblica, per la
emanazione, almeno venti giorni prima della scadenza.
3. Se la delega legislativa si riferisce ad una
pluralita' di oggetti distinti suscettibili di separata
disciplina, il Governo puo' esercitarla mediante piu' atti
successivi per uno o piu' degli oggetti predetti. In
relazione al termine finale stabilito dalla legge di
delegazione, il Governo informa periodicamente le Camere
sui criteri che segue nell'organizzazione dell'esercizio
della delega.
4. In ogni caso, qualora il termine previsto per
l'esercizio della delega ecceda i due anni, il Governo e'
tenuto a richiedere il parere delle Camere sugli schemi dei
decreti delegati. Il parere e' espresso dalle Commissioni
permanenti delle due Camere competenti per materia entro
sessanta giorni, indicando specificamente le eventuali
disposizioni non ritenute corrispondenti alle direttive
della legge di delegazione. Il Governo, nei trenta giorni
successivi, esaminato il parere, ritrasmette, con le sue
osservazioni e con eventuali modificazioni, i testi alle
Commissioni per il parere definitivo che deve essere
espresso entro trenta giorni.».
- Si riportano gli articoli 31 e 32 della legge 24
dicembre 2012, n. 234 (Norme generali sulla partecipazione
dell'Italia alla formazione e all'attuazione della
normativa e delle politiche dell'Unione europea),
pubblicata nella Gazzetta Ufficiale n. 3 del 4 gennaio
2013:
«Art. 31 (Procedure per l'esercizio delle deleghe
legislative conferite al Governo con la legge di
delegazione europea). - 1. In relazione alle deleghe
legislative conferite con la legge di delegazione europea
per il recepimento delle direttive, il Governo adotta i
decreti legislativi entro il termine di quattro mesi
antecedenti a quello di recepimento indicato in ciascuna
delle direttive; per le direttive il cui termine cosi'
determinato sia gia' scaduto alla data di entrata in vigore
della legge di delegazione europea, ovvero scada nei tre
mesi successivi, il Governo adotta i decreti legislativi di
recepimento entro tre mesi dalla data di entrata in vigore
della medesima legge; per le direttive che non prevedono un
termine di recepimento, il Governo adotta i relativi
decreti legislativi entro dodici mesi dalla data di entrata
in vigore della legge di delegazione europea.
2. I decreti legislativi sono adottati, nel rispetto
dell'articolo 14 della legge 23 agosto 1988, n. 400, su
proposta del Presidente del Consiglio dei Ministri o del
Ministro per gli affari europei e del Ministro con
competenza prevalente nella materia, di concerto con i
Ministri degli affari esteri, della giustizia,
dell'economia e delle finanze e con gli altri Ministri
interessati in relazione all'oggetto della direttiva. I
decreti legislativi sono accompagnati da una tabella di
concordanza tra le disposizioni in essi previste e quelle
della direttiva da recepire, predisposta
dall'amministrazione con competenza istituzionale
prevalente nella materia.
3. La legge di delegazione europea indica le
direttive in relazione alle quali sugli schemi dei decreti
legislativi di recepimento e' acquisito il parere delle
competenti Commissioni parlamentari della Camera dei
deputati e del Senato della Repubblica. In tal caso gli
schemi dei decreti legislativi sono trasmessi, dopo
l'acquisizione degli altri pareri previsti dalla legge,
alla Camera dei deputati e al Senato della Repubblica
affinche' su di essi sia espresso il parere delle
competenti Commissioni parlamentari. Decorsi quaranta
giorni dalla data di trasmissione, i decreti sono emanati
anche in mancanza del parere. Qualora il termine per
l'espressione del parere parlamentare di cui al presente
comma ovvero i diversi termini previsti dai commi 4 e 9
scadano nei trenta giorni che precedono la scadenza dei
termini di delega previsti ai commi 1 o 5 o
successivamente, questi ultimi sono prorogati di tre mesi.
4. Gli schemi dei decreti legislativi recanti
recepimento delle direttive che comportino conseguenze
finanziarie sono corredati della relazione tecnica di cui
all'articolo 17, comma 3, della legge 31 dicembre 2009, n.
196. Su di essi e' richiesto anche il parere delle
Commissioni parlamentari competenti per i profili
finanziari. Il Governo, ove non intenda conformarsi alle
condizioni formulate con riferimento all'esigenza di
garantire il rispetto dell'articolo 81, quarto comma, della
Costituzione, ritrasmette alle Camere i testi, corredati
dei necessari elementi integrativi d'informazione, per i
pareri definitivi delle Commissioni parlamentari competenti
per i profili finanziari, che devono essere espressi entro
venti giorni.
5. Entro ventiquattro mesi dalla data di entrata in
vigore di ciascuno dei decreti legislativi di cui al comma
1, nel rispetto dei principi e criteri direttivi fissati
dalla legge di delegazione europea, il Governo puo'
adottare, con la procedura indicata nei commi 2, 3 e 4,
disposizioni integrative e correttive dei decreti
legislativi emanati ai sensi del citato comma 1, fatto
salvo il diverso termine previsto dal comma 6.
6. Con la procedura di cui ai commi 2, 3 e 4 il
Governo puo' adottare disposizioni integrative e correttive
di decreti legislativi emanati ai sensi del comma 1, al
fine di recepire atti delegati dell'Unione europea di cui
all'articolo 290 del Trattato sul funzionamento dell'Unione
europea, che modificano o integrano direttive recepite con
tali decreti legislativi. Le disposizioni integrative e
correttive di cui al primo periodo sono adottate nel
termine di cui al comma 5 o nel diverso termine fissato
dalla legge di delegazione europea. Resta ferma la
disciplina di cui all'articolo 36 per il recepimento degli
atti delegati dell'Unione europea che recano meri
adeguamenti tecnici.
7. I decreti legislativi di recepimento delle
direttive previste dalla legge di delegazione europea,
adottati, ai sensi dell'articolo 117, quinto comma, della
Costituzione, nelle materie di competenza legislativa delle
regioni e delle province autonome, si applicano alle
condizioni e secondo le procedure di cui all'articolo 41,
comma 1.
8. I decreti legislativi adottati ai sensi
dell'articolo 33 e attinenti a materie di competenza
legislativa delle regioni e delle province autonome sono
emanati alle condizioni e secondo le procedure di cui
all'articolo 41, comma 1.
9. Il Governo, quando non intende conformarsi ai
pareri parlamentari di cui al comma 3, relativi a sanzioni
penali contenute negli schemi di decreti legislativi
recanti attuazione delle direttive, ritrasmette i testi,
con le sue osservazioni e con eventuali modificazioni, alla
Camera dei deputati e al Senato della Repubblica. Decorsi
venti giorni dalla data di ritrasmissione, i decreti sono
emanati anche in mancanza di nuovo parere.»
«Art. 32 (Principi e criteri direttivi generali di
delega per l'attuazione del diritto dell'Unione europea). -
1. Salvi gli specifici principi e criteri direttivi
stabiliti dalla legge di delegazione europea e in aggiunta
a quelli contenuti nelle direttive da attuare, i decreti
legislativi di cui all'articolo 31 sono informati ai
seguenti principi e criteri direttivi generali:
a) le amministrazioni direttamente interessate
provvedono all'attuazione dei decreti legislativi con le
ordinarie strutture amministrative, secondo il principio
della massima semplificazione dei procedimenti e delle
modalita' di organizzazione e di esercizio delle funzioni e
dei servizi;
b) ai fini di un migliore coordinamento con le
discipline vigenti per i singoli settori interessati dalla
normativa da attuare, sono introdotte le occorrenti
modificazioni alle discipline stesse, anche attraverso il
riassetto e la semplificazione normativi con l'indicazione
esplicita delle norme abrogate, fatti salvi i procedimenti
oggetto di semplificazione amministrativa ovvero le materie
oggetto di delegificazione;
c) gli atti di recepimento di direttive dell'Unione
europea non possono prevedere l'introduzione o il
mantenimento di livelli di regolazione superiori a quelli
minimi richiesti dalle direttive stesse, ai sensi
dell'articolo 14, commi 24-bis, 24-ter e 24-quater, della
legge 28 novembre 2005, n. 246 ;
d) al di fuori dei casi previsti dalle norme penali
vigenti, ove necessario per assicurare l'osservanza delle
disposizioni contenute nei decreti legislativi, sono
previste sanzioni amministrative e penali per le infrazioni
alle disposizioni dei decreti stessi. Le sanzioni penali,
nei limiti, rispettivamente, dell'ammenda fino a 150.000
euro e dell'arresto fino a tre anni, sono previste, in via
alternativa o congiunta, solo nei casi in cui le infrazioni
ledano o espongano a pericolo interessi costituzionalmente
protetti. In tali casi sono previste: la pena dell'ammenda
alternativa all'arresto per le infrazioni che espongano a
pericolo o danneggino l'interesse protetto; la pena
dell'arresto congiunta a quella dell'ammenda per le
infrazioni che rechino un danno di particolare gravita'.
Nelle predette ipotesi, in luogo dell'arresto e
dell'ammenda, possono essere previste anche le sanzioni
alternative di cui agli articoli 53 e seguenti del decreto
legislativo 28 agosto 2000, n. 274, e la relativa
competenza del giudice di pace. La sanzione amministrativa
del pagamento di una somma non inferiore a 150 euro e non
superiore a 150.000 euro e' prevista per le infrazioni che
ledono o espongono a pericolo interessi diversi da quelli
indicati dalla presente lettera. Nell'ambito dei limiti
minimi e massimi previsti, le sanzioni indicate dalla
presente lettera sono determinate nella loro entita',
tenendo conto della diversa potenzialita' lesiva
dell'interesse protetto che ciascuna infrazione presenta in
astratto, di specifiche qualita' personali del colpevole,
comprese quelle che impongono particolari doveri di
prevenzione, controllo o vigilanza, nonche' del vantaggio
patrimoniale che l'infrazione puo' recare al colpevole
ovvero alla persona o all'ente nel cui interesse egli
agisce. Ove necessario per assicurare l'osservanza delle
disposizioni contenute nei decreti legislativi, sono
previste inoltre le sanzioni amministrative accessorie
della sospensione fino a sei mesi e, nei casi piu' gravi,
della privazione definitiva di facolta' e diritti derivanti
da provvedimenti dell'amministrazione, nonche' sanzioni
penali accessorie nei limiti stabiliti dal codice penale.
Al medesimo fine e' prevista la confisca obbligatoria delle
cose che servirono o furono destinate a commettere
l'illecito amministrativo o il reato previsti dai medesimi
decreti legislativi, nel rispetto dei limiti stabiliti
dall'articolo 240, terzo e quarto comma, del codice penale
e dall'articolo 20 della legge 24 novembre 1981, n. 689, e
successive modificazioni. Entro i limiti di pena indicati
nella presente lettera sono previste sanzioni anche
accessorie identiche a quelle eventualmente gia' comminate
dalle leggi vigenti per violazioni omogenee e di pari
offensivita' rispetto alle infrazioni alle disposizioni dei
decreti legislativi. Nelle materie di cui all'articolo 117,
quarto comma, della Costituzione, le sanzioni
amministrative sono determinate dalle regioni;
e) al recepimento di direttive o all'attuazione di
altri atti dell'Unione europea che modificano precedenti
direttive o atti gia' attuati con legge o con decreto
legislativo si procede, se la modificazione non comporta
ampliamento della materia regolata, apportando le
corrispondenti modificazioni alla legge o al decreto
legislativo di attuazione della direttiva o di altro atto
modificato;
f) nella redazione dei decreti legislativi di cui
all'articolo 31 si tiene conto delle eventuali
modificazioni delle direttive dell'Unione europea comunque
intervenute fino al momento dell'esercizio della delega;
g) quando si verifichino sovrapposizioni di
competenze tra amministrazioni diverse o comunque siano
coinvolte le competenze di piu' amministrazioni statali, i
decreti legislativi individuano, attraverso le piu'
opportune forme di coordinamento, rispettando i principi di
sussidiarieta', differenziazione, adeguatezza e leale
collaborazione e le competenze delle regioni e degli altri
enti territoriali, le procedure per salvaguardare
l'unitarieta' dei processi decisionali, la trasparenza, la
celerita', l'efficacia e l'economicita' nell'azione
amministrativa e la chiara individuazione dei soggetti
responsabili;
h) qualora non siano di ostacolo i diversi termini
di recepimento, vengono attuate con un unico decreto
legislativo le direttive che riguardano le stesse materie o
che comunque comportano modifiche degli stessi atti
normativi;
i) e' assicurata la parita' di trattamento dei
cittadini italiani rispetto ai cittadini degli altri Stati
membri dell'Unione europea e non puo' essere previsto in
ogni caso un trattamento sfavorevole dei cittadini
italiani.».
- Si riporta l'articolo 5 della legge 21 febbraio 2024,
n. 15 (Delega al Governo per il recepimento delle direttive
europee e l'attuazione di altri atti dell'Unione europea -
Legge di delegazione europea 2022-2023), pubblicata nella
Gazzetta Ufficiale 24 febbraio, n. 15:
«Art. 5. (Principi e criteri direttivi per
l'esercizio della delega per il recepimento della direttiva
(UE) 2022/2557, relativa alla resilienza dei soggetti
critici e che abroga la direttiva 2008/114/CE del
Consiglio). - 1. Nell'esercizio della delega per il
recepimento della direttiva (UE) 2022/2557 del Parlamento
europeo e del Consiglio, del 14 dicembre 2022, il Governo
osserva, oltre ai principi e criteri direttivi di cui
all'articolo 32 della legge 24 dicembre 2012, n. 234, anche
i seguenti principi e criteri direttivi specifici:
a) escludere dall'ambito di applicazione delle
disposizioni di recepimento della direttiva (UE) 2022/2557
gli enti della pubblica amministrazione operanti nei
settori di cui all'articolo 1, paragrafo 6, della direttiva
medesima, compresi gli organismi di informazione per la
sicurezza ai quali si applicano le disposizioni della legge
3 agosto 2007, n. 124;
b) avvalersi della facolta' di cui all'articolo 1,
paragrafo 7, della direttiva (UE) 2022/2557 , prevedendo
che con uno o piu' decreti del Presidente del Consiglio dei
ministri, su proposta delle competenti amministrazioni di
settore, siano individuati gli specifici soggetti critici
la cui attivita' principale ricade nei settori ivi indicati
o che forniscono servizi esclusivamente agli enti della
pubblica amministrazione di cui all'articolo 1, paragrafo
6, della medesima direttiva, ai quali non si applicano, in
tutto o in parte, le disposizioni di attuazione
dell'articolo 11 e dei capi III, IV e VI della medesima
direttiva;
c) istituire o designare, ai sensi dell'articolo 9
della direttiva (UE) 2022/2557, una o piu' autorita'
competenti, con riferimento ai settori di cui all'allegato
alla medesima direttiva; in caso di istituzione o
designazione di un'unica autorita' competente, istituire o
designare presso quest'ultima un punto di contatto unico,
ai sensi dell'articolo 9, paragrafo 2, della direttiva (UE)
2022/2557;
d) istituire o designare, ai sensi dell'articolo 9,
paragrafo 2, della direttiva (UE) 2022/2557 , un punto di
contatto unico, cui sono attribuite anche le funzioni di
assicurare il collegamento con la Commissione europea e la
cooperazione con i Paesi terzi, di coordinare le attivita'
di sostegno di cui all'articolo 10 della citata direttiva
(UE) 2022/2557 , di ricevere da parte dei soggetti critici,
contestualmente alle autorita' competenti di cui alla
lettera c) del presente comma, le notifiche degli incidenti
ai sensi dell'articolo 15 della medesima direttiva (UE)
2022/2557 , di promuovere le attivita' di ricerca e
formazione in materia di resilienza delle infrastrutture
critiche, nonche' di coordinare l'attivita' delle autorita'
competenti di cui alla citata lettera c);
e) avvalersi della facolta', ai sensi dell'articolo
7, paragrafo 2, lettera a), della direttiva (UE) 2022/2557,
di individuare servizi essenziali aggiuntivi rispetto
all'elenco contenuto nell'atto delegato di cui all'articolo
5, paragrafo 1, della medesima direttiva;
f) prevedere che, ai sensi dell'articolo 7,
paragrafo 2, secondo comma, della direttiva (UE) 2022/2557,
le soglie ivi previste possano essere presentate come tali
o in forma aggregata;
g) prevedere, ai sensi dell'articolo 8 della
direttiva (UE) 2022/2557, ove necessario, misure atte a
conseguire un livello di resilienza piu' elevato per i
soggetti critici del settore bancario, del settore delle
infrastrutture dei mercati finanziari e del settore delle
infrastrutture digitali;
h) introdurre, ai sensi dell'articolo 22 della
direttiva (UE) 2022/2557, sanzioni penali e amministrative
efficaci, proporzionate e dissuasive, anche, ove
necessario, in deroga a quanto previsto dall'articolo 32,
comma 1, lettera d), della legge 24 dicembre 2012, n. 234,
e dalla legge 24 novembre 1981, n. 689, nonche' introdurre
strumenti deflativi del contenzioso, quali, in particolare,
la diffida ad adempiere;
i) prevedere che le autorita' di cui alla lettera
c) possano irrogare sanzioni amministrative ai sensi
dell'articolo 22 della direttiva (UE) 2022/2557;
l) prevedere la facolta', anche per le autorita' di
cui alla lettera c), nell'ambito delle rispettive
competenze, di adottare una disciplina secondaria, secondo
quanto previsto dalle disposizioni attuative del presente
articolo;
m) assicurare, in attuazione degli articoli 1 , 4 ,
6 , 8 , 9 , 19 e 21 della direttiva (UE) 2022/2557 , il
coordinamento tra le disposizioni adottate per il
recepimento della medesima direttiva, le disposizioni di
recepimento della direttiva (UE) 2022/2555 del Parlamento
europeo e del Consiglio, del 14 dicembre 2022 , nonche' le
disposizioni del regolamento (UE) 2022/2554 del Parlamento
europeo e del Consiglio, del 14 dicembre 2022, ivi comprese
le disposizioni nazionali di adeguamento a quest'ultimo;
n) curare il coordinamento delle disposizioni
vigenti, operando le necessarie modifiche o abrogazioni
espresse e, in particolare, modificando o abrogando
l'articolo 211-bis del decreto-legge 19 maggio 2020, n. 34,
convertito, con modificazioni, dalla legge 17 luglio 2020,
n. 77, nonche', ai sensi dell'articolo 27 della direttiva
(UE) 2022/2557, il decreto legislativo 11 aprile 2011, n.
61;
o) nell'attuazione del presente articolo, tenere
ferme le vigenti attribuzioni dell'autorita' giudiziaria
relativamente alla ricezione delle notizie di reato, del
Ministero dell'interno in materia di tutela dell'ordine e
della sicurezza pubblica e di difesa civile, del Ministero
della difesa in materia di difesa e sicurezza dello Stato,
del Dipartimento della protezione civile della Presidenza
del Consiglio dei ministri in materia di previsione,
prevenzione e mitigazione dei rischi, del Ministero delle
imprese e del made in Italy in materia di resilienza fisica
delle reti di comunicazione elettronica nonche'
dell'Agenzia per la cybersicurezza nazionale in materia di
cybersicurezza e resilienza nazionale nello spazio
cibernetico, istituendo un tavolo di coordinamento tra il
punto di contatto unico di cui alle lettere c) e d) e la
Commissione interministeriale tecnica di difesa civile in
relazione alla formulazione e attuazione degli obiettivi di
resilienza nazionale. Restano ferme le attribuzioni degli
organismi preposti alla tutela della sicurezza nazionale ai
sensi della legge 3 agosto 2007, n. 124;
p) favorire la piu' ampia tutela dei lavoratori
nello svolgimento delle attivita' ritenute critiche o
sensibili, anche prevedendo disposizioni speciali, in
raccordo con la normativa dell'Unione europea.».
- La direttiva (UE) 2022/2557 del Parlamento europeo e
del Consiglio, del 14 dicembre 2022, relativa alla
resilienza dei soggetti critici e che abroga la direttiva
2008/114/CE del Consiglio e' pubblicata nella Gazzetta
ufficiale dell'Unione europea del 27 dicembre 2022, n. L
333.
- Il regolamento (UE) 2016/679 del Parlamento europeo e
del Consiglio, del 27 aprile 2016, relativo alla protezione
delle persone fisiche con riguardo al trattamento dei dati
personali, nonche' alla libera circolazione di tali dati e
che abroga la direttiva 95/46/CE (regolamento generale
sulla protezione dei dati) e' pubblicato nella Gazzetta
ufficiale dell'Unione europea del 4 maggio 2026, n. L 119.
- Il regolamento (UE) 2022/2554 del Parlamento europeo
e del Consiglio, del 14 dicembre 2022, relativo alla
resilienza operativa digitale per il settore finanziario e
che modifica i regolamenti (CE) n. 1060/2009, (UE) n.
648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE)
2016/1011 e' pubblicato nella Gazzetta ufficiale
dell'Unione europea del 27 dicembre 2022, n. L 333.
- La direttiva (UE) 2022/2555 del Parlamento europeo e
del Consiglio, del 14 dicembre 2022, relativa a misure per
un livello comune elevato di cibersicurezza nell'Unione,
recante modifica del regolamento (UE) n. 910/2014 e della
direttiva (UE) 2018/1972 e che abroga la direttiva (UE)
2016/1148 (direttiva NIS 2) e' pubblicata nella Gazzetta
ufficiale dell'Unione europea del 27 dicembre 2022, n. L
333.
- Il regolamento delegato (UE) 2023/2450 della
Commissione, del 25 luglio 2023, che integra la direttiva
(UE) 2022/2557 del Parlamento europeo e del Consiglio
stabilendo un elenco di servizi essenziali, e' pubblicato
nella Gazzetta ufficiale dell'Unione europea del 30 ottobre
2023, serie L.
- Il decreto legislativo 30 giugno 2003, n. 196 (Codice
in materia di protezione dei dati personali, recante
disposizioni per l'adeguamento dell'ordinamento nazionale
al regolamento (UE) n. 2016/679 del Parlamento europeo e
del Consiglio, del 27 aprile 2016, relativo alla protezione
delle persone fisiche con riguardo al trattamento dei dati
personali, nonche' alla libera circolazione di tali dati e
che abroga la direttiva 95/46/CE) e' pubblicato nella
Gazzetta Ufficiale n. 174 del 29 luglio 2003, S.O. n. 123.
- Il decreto-legge 27 luglio 2005, n. 144, convertito,
con modificazioni, dalla legge 31 luglio 2005, n. 155
(Misure urgenti per il contrasto del terrorismo
internazionale) e' pubblicato nella Gazzetta Ufficiale n.
173 del 27 luglio 2005.
- La legge 3 agosto 2007, n. 124 (Sistema di
informazione per la sicurezza della Repubblica e nuova
disciplina del segreto) e' pubblicata nella Gazzetta
Ufficiale n. 187 del 13 agosto 2007.
- Il decreto legislativo 11 aprile 2011, n. 61
(Attuazione della direttiva 2008/114/CE recante
l'individuazione e la designazione delle infrastrutture
critiche europee e la valutazione della necessita' di
migliorarne la protezione), abrogato dal presente decreto,
a partire dal 18 ottobre 2024, e' pubblicato nella Gazzetta
Ufficiale n. 102 del 4 maggio 2011.
- Il decreto legislativo 23 giugno 2011, n. 118
(Disposizioni in materia di armonizzazione dei sistemi
contabili e degli schemi di bilancio delle Regioni, degli
enti locali e dei loro organismi, a norma degli articoli 1
e 2 della legge 5 maggio 2009, n. 42) e' pubblicato nella
Gazzetta Ufficiale n. 172 del 26 luglio 2011.
- Il decreto-legge 14 giugno 2021, n. 82, convertito, con
modificazioni, dalla legge 4 agosto 2021, n. 109
(Disposizioni urgenti in materia di cybersicurezza,
definizione dell'architettura nazionale di cybersicurezza e
istituzione dell'Agenzia per la cybersicurezza nazionale)
e' pubblicato nella Gazzetta Ufficiale n. 140 del 14 giugno
2021.
Note all'art. 1:
- Per la direttiva (UE) 2022/2555 del Parlamento
europeo e del Consiglio, del 14 dicembre 2022, relativa a
misure per un livello comune elevato di cibersicurezza
nell'Unione, recante modifica del regolamento (UE) n.
910/2014 e della direttiva (UE) 2018/1972 e che abroga la
direttiva (UE) 2016/1148 (direttiva NIS 2) si rinvia alle
note alle premesse.
- Il Trattato sul funzionamento dell'Unione europea e'
pubblicato nella Gazzetta ufficiale dell'Unione europea del
7 giugno 2016, n. C 202.
- Per la legge 3 agosto 2007, n. 124 (Sistema di
informazione per la sicurezza della Repubblica e nuova
disciplina del segreto) si rinvia alle note alle premesse.
- Per il decreto-legge 14 giugno 2021, n. 82,
convertito, con modificazioni, dalla legge 4 agosto 2021,
n. 109 (Disposizioni urgenti in materia di cybersicurezza,
definizione dell'architettura nazionale di cybersicurezza e
istituzione dell'Agenzia per la cybersicurezza nazionale)
si rinvia alle note alle premesse.
- Si riporta l'articolo 6 del decreto legislativo 21
novembre 2007, n. 231 (Attuazione della direttiva
2005/60/CE concernente la prevenzione dell'utilizzo del
sistema finanziario a scopo di riciclaggio dei proventi di
attivita' criminose e di finanziamento del terrorismo
nonche' della direttiva 2006/70/CE che ne reca misure di
esecuzione), pubblicato nella Gazzetta Ufficiale n. 290 del
14 dicembre 2007, S.O.:
«Art. 6. (Unita' d'informazione finanziaria). - 1.
L'Unita' di informazione finanziaria per l'Italia (UIF),
istituita presso la Banca d'Italia, e' autonoma e
operativamente indipendente. In attuazione di tale
principio, la Banca d'Italia ne disciplina con regolamento
l'organizzazione e il funzionamento, ivi compresa la
riservatezza delle informazioni acquisite, attribuendole i
mezzi finanziari e le risorse idonei ad assicurare
l'efficace perseguimento dei suoi fini istituzionali. Alla
UIF e al personale addetto si applica l'articolo 24, comma
6-bis, della legge 28 dicembre 2005, n. 262.
2. Il Direttore della UIF, al quale compete in
autonomia la responsabilita' della gestione, e' nominato
con provvedimento del Direttorio della Banca d'Italia, su
proposta del Governatore della Banca d'Italia, tra persone
dotate di adeguati requisiti di onorabilita',
professionalita' e conoscenza del sistema finanziario. Il
mandato ha la durata di cinque anni ed e' rinnovabile una
sola volta.
3. Per l'efficace svolgimento dei compiti fissati
dalla legge e dagli obblighi internazionali, presso la UIF
e' costituito un Comitato di esperti, del quale fanno parte
il Direttore e quattro membri, dotati di adeguati requisiti
di onorabilita' e professionalita'. I componenti del
Comitato sono nominati, nel rispetto del principio
dell'equilibrio di genere, con decreto del Ministro
dell'economia e delle finanze, sentito il Governatore della
Banca d'Italia, e restano in carica tre anni, rinnovabili
per altri tre. La partecipazione al Comitato non da' luogo
a compensi. Il Comitato e' convocato dal Direttore della
UIF con cadenza almeno semestrale e svolge funzioni di
consulenza e ausilio a supporto dell'azione della UIF. Il
Comitato cura, altresi', la redazione di un parere
sull'azione dell'UIF, che forma parte integrante della
documentazione trasmessa al Parlamento ai sensi del comma
8.
4. La UIF esercita le seguenti funzioni:
a) riceve le segnalazioni di operazioni sospette e
ne effettua l'analisi finanziaria;
b) analizza i flussi finanziari, al fine di
individuare e prevenire fenomeni di riciclaggio di denaro e
di finanziamento del terrorismo;
c) puo' sospendere, per un massimo di cinque giorni
lavorativi, operazioni sospette, anche su richiesta del
Nucleo speciale di polizia valutaria della Guardia di
finanza, della Direzione investigativa antimafia e
dell'autorita' giudiziaria ovvero su richiesta di un'altra
FIU, ove non ne derivi pregiudizio per il corso delle
indagini. La UIF provvede a dare immediata notizia della
sospensione all'autorita' che ne ha fatto richiesta;
d) avuto riguardo alle caratteristiche dei soggetti
obbligati, emana istruzioni, pubblicate nella Gazzetta
Ufficiale della Repubblica italiana, sui dati e le
informazioni che devono essere contenuti nelle segnalazioni
di operazioni sospette e nelle comunicazioni oggettive,
sulla relativa tempistica nonche' sulle modalita' di tutela
della riservatezza dell'identita' del segnalante;
e) al fine di agevolare l'individuazione delle
operazioni sospette, emana e aggiorna periodicamente,
previa presentazione al Comitato di sicurezza finanziaria,
indicatori di anomalia, pubblicati nella Gazzetta Ufficiale
della Repubblica italiana e in apposita sezione del proprio
sito istituzionale;
f) effettua, anche attraverso ispezioni, verifiche
al fine di accertare il rispetto delle disposizioni in
materia di prevenzione e contrasto del riciclaggio e del
finanziamento del terrorismo, con riguardo alle
segnalazioni di operazioni sospette e ai casi di omessa
segnalazione di operazioni sospette, nonche' con riguardo
alle comunicazioni alla UIF previste dal presente decreto e
ai casi di omissione delle medesime, anche avvalendosi
della collaborazione del Nucleo speciale di polizia
valutaria della Guardia di finanza;
g) in relazione ai propri compiti, accerta e
contesta ovvero trasmette alle autorita' di vigilanza di
settore le violazioni degli obblighi di cui al presente
decreto di cui viene a conoscenza nell'esercizio delle
proprie funzioni istituzionali;
h) assicura la tempestiva trasmissione alla
Direzione nazionale antimafia e antiterrorismo dei dati,
delle informazioni e delle analisi, secondo quanto
stabilito dall'articolo 8, comma 1, lettera a). Assicura,
altresi', l'effettuazione delle analisi richieste dalla
Direzione nazionale antimafia e antiterrorismo ai sensi
dell'articolo 8, comma 1, lettera d).
5. Per lo svolgimento delle proprie funzioni
istituzionali, la UIF:
a) acquisisce, anche attraverso ispezioni, dati e
informazioni presso i soggetti destinatari degli obblighi
di cui al presente decreto;
b) riceve la comunicazione dei dati statistici
aggregati da parte dei soggetti obbligati tenuti a
effettuarla e le comunicazioni cui sono tenute le Pubbliche
amministrazioni, ai sensi dell'articolo 10.
6. Per l'esercizio delle funzioni di cui ai commi 4 e
5, la UIF:
a) si avvale dei dati contenuti nell'anagrafe dei
conti e dei depositi di cui all'articolo 20, comma 4, della
legge 30 dicembre 1991, n. 413, e nell'anagrafe tributaria
di cui all'articolo 37 del decreto-legge 4 luglio 2006, n.
223, convertito, con modificazioni, dalla legge 4 agosto
2006, n. 248;
b) ha accesso ai dati e alle informazioni contenute
nell'anagrafe immobiliare integrata di cui all'articolo 19
del decreto-legge 31 maggio 2010, n. 78, convertito, con
modificazioni dalla legge 30 luglio 2010, n. 122;
c) ha accesso alle informazioni sul titolare
effettivo di persone giuridiche e trust espressi, contenute
in apposita sezione del Registro delle imprese, ai sensi
dell'articolo 21 del presente decreto.
7. Avvalendosi delle informazioni raccolte nello
svolgimento delle proprie funzioni, la UIF:
a) svolge analisi e studi su singole anomalie,
riferibili a ipotesi di riciclaggio e di finanziamento del
terrorismo su specifici settori dell'economia ritenuti a
rischio, su categorie di strumenti di pagamento e su
specifiche realta' economiche territoriali, anche sulla
base dell'analisi nazionale dei rischi elaborata dal
Comitato di sicurezza finanziaria;
b) elabora e diffonde modelli e schemi
rappresentativi di comportamenti anomali sul piano
economico e finanziario riferibili a possibili attivita' di
riciclaggio e di finanziamento del terrorismo.
8. Ai fini della presentazione al Parlamento della
relazione sullo stato dell'azione di prevenzione del
riciclaggio e del finanziamento del terrorismo, il
Direttore della UIF, entro il 30 maggio di ogni anno,
trasmette al Ministro dell'economia e delle finanze, per il
tramite del Comitato di sicurezza finanziaria, gli allegati
alla medesima relazione, di cui all'articolo 4, comma 2,
del presente decreto.».
- Per il decreto legislativo 30 giugno 2003, n. 196
(Codice in materia di protezione dei dati personali,
recante disposizioni per l'adeguamento dell'ordinamento
nazionale al regolamento (UE) n. 2016/679 del Parlamento
europeo e del Consiglio, del 27 aprile 2016, relativo alla
protezione delle persone fisiche con riguardo al
trattamento dei dati personali, nonche' alla libera
circolazione di tali dati e che abroga la direttiva
95/46/CE) si rinvia alle note alle premesse.
- Si riportano gli articoli 4, 6, 7 e 43 della legge 3
agosto 2007, n. 124 (Sistema di informazione per la
sicurezza della Repubblica e nuova disciplina del segreto),
pubblicata nella Gazzetta Ufficiale n. 187 del 13 agosto
2007:
«Art. 4. (Dipartimento delle informazioni per la
sicurezza). - 1. Per lo svolgimento dei compiti di cui al
comma 3 e' istituito, presso la Presidenza del Consiglio
dei ministri, il Dipartimento delle informazioni per la
sicurezza (DIS).
2. Il Presidente del Consiglio dei ministri e
l'Autorita' delegata, ove istituita, si avvalgono del DIS
per l'esercizio delle loro competenze, al fine di
assicurare piena unitarieta' nella programmazione della
ricerca informativa del Sistema di informazione per la
sicurezza, nonche' nelle analisi e nelle attivita'
operative dei servizi di informazione per la sicurezza.
3. Il DIS svolge i seguenti compiti:
a) coordina l'intera attivita' di informazione per
la sicurezza, verificando altresi' i risultati delle
attivita' svolte dall'AISE e dall'AISI, ferma restando la
competenza dei predetti servizi relativamente alle
attivita' di ricerca informativa e di collaborazione con i
servizi di sicurezza degli Stati esteri;
b) e' costantemente informato delle operazioni di
competenza dei servizi di informazione per la sicurezza e
trasmette al Presidente del Consiglio dei ministri le
informative e le analisi prodotte dal Sistema di
informazione per la sicurezza;
c) raccoglie le informazioni, le analisi e i
rapporti provenienti dai servizi di informazione per la
sicurezza, dalle Forze armate e di polizia, dalle
amministrazioni dello Stato e da enti di ricerca anche
privati; ferma l'esclusiva competenza dell'AISE e dell'AISI
per l'elaborazione dei rispettivi piani di ricerca
operativa, elabora analisi strategiche o relative a
particolari situazioni; formula valutazioni e previsioni,
sulla scorta dei contributi analitici settoriali dell'AISE
e dell'AISI;
d) elabora, anche sulla base delle informazioni e
dei rapporti di cui alla lettera c), analisi globali da
sottoporre al CISR, nonche' progetti di ricerca
informativa, sui quali decide il Presidente del Consiglio
dei ministri, dopo avere acquisito il parere del CISR;
d-bis) sulla base delle direttive di cui
all'articolo 1, comma 3-bis, nonche' delle informazioni e
dei rapporti di cui alla lettera c) del presente comma,
coordina le attivita' di ricerca informativa finalizzate a
rafforzare la protezione cibernetica e la sicurezza
informatica nazionali;
e) promuove e garantisce, anche attraverso riunioni
periodiche, lo scambio informativo tra l'AISE, l'AISI e le
Forze di polizia; comunica al Presidente del Consiglio dei
ministri le acquisizioni provenienti dallo scambio
informativo e i risultati delle riunioni periodiche;
f) trasmette, su disposizione del Presidente del
Consiglio dei ministri, sentito il CISR, informazioni e
analisi ad amministrazioni pubbliche o enti, anche ad
ordinamento autonomo, interessati all'acquisizione di
informazioni per la sicurezza;
g) elabora, d'intesa con l'AISE e l'AISI, il piano
di acquisizione delle risorse umane e materiali e di ogni
altra risorsa comunque strumentale all'attivita' dei
servizi di informazione per la sicurezza, da sottoporre
all'approvazione del Presidente del Consiglio dei ministri;
h) sentite l'AISE e l'AISI, elabora e sottopone
all'approvazione del Presidente del Consiglio dei ministri
lo schema del regolamento di cui all'articolo 21, comma 1;
i) esercita il controllo sull'AISE e sull'AISI,
verificando la conformita' delle attivita' di informazione
per la sicurezza alle leggi e ai regolamenti, nonche' alle
direttive e alle disposizioni del Presidente del Consiglio
dei ministri. Per tale finalita', presso il DIS e'
istituito un ufficio ispettivo le cui modalita' di
organizzazione e di funzionamento sono definite con il
regolamento di cui al comma 7. Con le modalita' previste da
tale regolamento e' approvato annualmente, previo parere
del Comitato parlamentare di cui all'articolo 30, il piano
annuale delle attivita' dell'ufficio ispettivo. L'ufficio
ispettivo, nell'ambito delle competenze definite con il
predetto regolamento, puo' svolgere, anche a richiesta del
direttore generale del DIS, autorizzato dal Presidente del
Consiglio dei ministri, inchieste interne su specifici
episodi e comportamenti verificatisi nell'ambito dei
servizi di informazione per la sicurezza;
l) assicura l'attuazione delle disposizioni
impartite dal Presidente del Consiglio dei Ministri con
apposito regolamento adottato ai sensi dell'articolo 1,
comma 2, ai fini della tutela amministrativa del segreto di
Stato e delle classifiche di segretezza, vigilando altresi'
sulla loro corretta applicazione;7
m) cura le attivita' di promozione e diffusione
della cultura della sicurezza e la comunicazione
istituzionale;
n) impartisce gli indirizzi per la gestione
unitaria del personale di cui all'articolo 21, secondo le
modalita' definite dal regolamento di cui al comma 1 del
medesimo articolo;
n-bis) gestisce unitariamente, ferme restando le
competenze operative dell'AISE e dell'AISI, gli
approvvigionamenti e i servizi logistici comuni.
4. Fermo restando quanto previsto dall'articolo
118-bis del codice di procedura penale, introdotto
dall'articolo 14 della presente legge, qualora le
informazioni richieste alle Forze di polizia, ai sensi
delle lettere c) ed e) del comma 3 del presente articolo,
siano relative a indagini di polizia giudiziaria, le
stesse, se coperte dal segreto di cui all'articolo 329 del
codice di procedura penale, possono essere acquisite solo
previo nulla osta della autorita' giudiziaria competente.
L'autorita' giudiziaria puo' trasmettere gli atti e le
informazioni anche di propria iniziativa.
5. La direzione generale del DIS e' affidata ad un
dirigente di prima fascia o equiparato dell'amministrazione
dello Stato, la cui nomina e revoca spettano in via
esclusiva al Presidente del Consiglio dei ministri, sentito
il CISR. L'incarico ha la durata massima di otto anni ed e'
conferibile, senza soluzione di continuita', anche con
provvedimenti successivi, ciascuno dei quali di durata non
superiore al quadriennio. Per quanto previsto dalla
presente legge, il direttore del DIS e' il diretto
referente del Presidente del Consiglio dei ministri e
dell'Autorita' delegata, ove istituita, salvo quanto
previsto dall'articolo 6, comma 5, e dall'articolo 7, comma
5, ed e' gerarchicamente e funzionalmente sovraordinato al
personale del DIS e degli uffici istituiti nell'ambito del
medesimo Dipartimento.
6. Il Presidente del Consiglio dei ministri, sentito
il direttore generale del DIS, nomina uno o piu' vice
direttori generali; il direttore generale affida gli altri
incarichi nell'ambito del Dipartimento, ad eccezione degli
incarichi il cui conferimento spetta al Presidente del
Consiglio dei ministri.
7. L'ordinamento e l'organizzazione del DIS e degli
uffici istituiti nell'ambito del medesimo Dipartimento sono
disciplinati con apposito regolamento.
8. Il regolamento previsto dal comma 7 definisce le
modalita' di organizzazione e di funzionamento dell'ufficio
ispettivo di cui al comma 3, lettera i), secondo i seguenti
criteri:
a) agli ispettori e' garantita piena autonomia e
indipendenza di giudizio nell'esercizio delle funzioni di
controllo;
b) salva specifica autorizzazione del Presidente
del Consiglio dei ministri o dell'Autorita' delegata, ove
istituita, i controlli non devono interferire con le
operazioni in corso;
c) sono previste per gli ispettori specifiche prove
selettive e un'adeguata formazione;
d) non e' consentito il passaggio di personale
dall'ufficio ispettivo ai servizi di informazione per la
sicurezza;
e) gli ispettori, previa autorizzazione del
Presidente del Consiglio dei ministri o dell'Autorita'
delegata, ove istituita, possono accedere a tutti gli atti
conservati presso i servizi di informazione per la
sicurezza e presso il DIS; possono altresi' acquisire,
tramite il direttore generale del DIS, altre informazioni
da enti pubblici e privati.»
«Art. 6. (Agenzia informazioni e sicurezza
esterna). - 1. E' istituita l'Agenzia informazioni e
sicurezza esterna (AISE), alla quale e' affidato il compito
di ricercare ed elaborare nei settori di competenza tutte
le informazioni utili alla difesa dell'indipendenza,
dell'integrita' e della sicurezza della Repubblica, anche
in attuazione di accordi internazionali, dalle minacce
provenienti dall'estero.
2. Spettano all'AISE inoltre le attivita' in materia
di controproliferazione concernenti i materiali strategici,
nonche' le attivita' di informazione per la sicurezza, che
si svolgono al di fuori del territorio nazionale, a
protezione degli interessi politici, militari, economici,
scientifici e industriali dell'Italia.
3. E', altresi', compito dell'AISE individuare e
contrastare al di fuori del territorio nazionale le
attivita' di spionaggio dirette contro l'Italia e le
attivita' volte a danneggiare gli interessi nazionali.
4. L'AISE puo' svolgere operazioni sul territorio
nazionale soltanto in collaborazione con l'AISI, quando
tali operazioni siano strettamente connesse ad attivita'
che la stessa AISE svolge all'estero. A tal fine il
direttore generale del DIS provvede ad assicurare le
necessarie forme di coordinamento e di raccordo
informativo, anche al fine di evitare sovrapposizioni
funzionali o territoriali.
5. L'AISE risponde al Presidente del Consiglio dei
ministri.
6. L'AISE informa tempestivamente e con continuita'
il Ministro della difesa, il Ministro degli affari esteri e
il Ministro dell'interno per i profili di rispettiva
competenza.
7. Il Presidente del Consiglio dei ministri, con
proprio decreto, nomina e revoca il direttore dell'AISE,
scelto tra dirigenti di prima fascia o equiparati
dell'amministrazione dello Stato, sentito il CISR.
L'incarico ha la durata massima di otto anni ed e'
conferibile, senza soluzione di continuita', anche con
provvedimenti successivi, ciascuno dei quali di durata non
superiore al quadriennio.15
8. Il direttore dell'AISE riferisce costantemente
sull'attivita' svolta al Presidente del Consiglio dei
ministri o all'Autorita' delegata, ove istituita, per il
tramite del direttore generale del DIS. Riferisce
direttamente al Presidente del Consiglio dei ministri in
caso di urgenza o quando altre particolari circostanze lo
richiedano, informandone senza ritardo il direttore
generale del DIS; presenta al CISR, per il tramite del
direttore generale del DIS, un rapporto annuale sul
funzionamento e sull'organizzazione dell'Agenzia.
9. Il Presidente del Consiglio dei ministri nomina e
revoca, sentito il direttore dell'AISE, uno o piu' vice
direttori. Il direttore dell'AISE affida gli altri
incarichi nell'ambito dell'Agenzia.
10. L'organizzazione e il funzionamento dell'AISE
sono disciplinati con apposito regolamento.»
«Art. 7. (Agenzia informazioni e sicurezza
interna). - 1. E' istituita l'Agenzia informazioni e
sicurezza interna (AISI), alla quale e' affidato il compito
di ricercare ed elaborare nei settori di competenza tutte
le informazioni utili a difendere, anche in attuazione di
accordi internazionali, la sicurezza interna della
Repubblica e le istituzioni democratiche poste dalla
Costituzione a suo fondamento da ogni minaccia, da ogni
attivita' eversiva e da ogni forma di aggressione criminale
o terroristica.
2. Spettano all'AISI le attivita' di informazione per
la sicurezza, che si svolgono all'interno del territorio
nazionale, a protezione degli interessi politici, militari,
economici, scientifici e industriali dell'Italia.
3. E', altresi', compito dell'AISI individuare e
contrastare all'interno del territorio nazionale le
attivita' di spionaggio dirette contro l'Italia e le
attivita' volte a danneggiare gli interessi nazionali.
4. L'AISI puo' svolgere operazioni all'estero
soltanto in collaborazione con l'AISE, quando tali
operazioni siano strettamente connesse ad attivita' che la
stessa AISI svolge all'interno del territorio nazionale. A
tal fine il direttore generale del DIS provvede ad
assicurare le necessarie forme di coordinamento e di
raccordo informativo, anche al fine di evitare
sovrapposizioni funzionali o territoriali.
5. L'AISI risponde al Presidente del Consiglio dei
ministri.
6. L'AISI informa tempestivamente e con continuita'
il Ministro dell'interno, il Ministro degli affari esteri e
il Ministro della difesa per i profili di rispettiva
competenza.
7. Il Presidente del Consiglio dei ministri nomina e
revoca, con proprio decreto, il direttore dell'AISI, scelto
tra i dirigenti di prima fascia o equiparati
dell'amministrazione dello Stato, sentito il CISR.
L'incarico ha la durata massima di otto anni ed e'
conferibile, senza soluzione di continuita', anche con
provvedimenti successivi, ciascuno dei quali di durata non
superiore al quadriennio.
8. Il direttore dell'AISI riferisce costantemente
sull'attivita' svolta al Presidente del Consiglio dei
ministri o all'Autorita' delegata, ove istituita, per il
tramite del direttore generale del DIS. Riferisce
direttamente al Presidente del Consiglio dei ministri in
caso di urgenza o quando altre particolari circostanze lo
richiedano, informandone senza ritardo il direttore
generale del DIS; presenta al CISR, per il tramite del
direttore generale del DIS, un rapporto annuale sul
funzionamento e sull'organizzazione dell'Agenzia.
9. Il Presidente del Consiglio dei ministri nomina e
revoca, sentito il direttore dell'AISI, uno o piu' vice
direttori. Il direttore dell'AISI affida gli altri
incarichi nell'ambito dell'Agenzia.
10. L'organizzazione e il funzionamento dell'AISI
sono disciplinati con apposito regolamento.»
«Art. 43. (Procedura per l'adozione dei
regolamenti). - 1. Salvo che non sia diversamente
stabilito, le disposizioni regolamentari previste dalla
presente legge sono emanate entro centottanta giorni dalla
data della sua entrata in vigore, con uno o piu' decreti
del Presidente del Consiglio dei ministri adottati anche in
deroga all'articolo 17 della legge 23 agosto 1988, n. 400,
e successive modificazioni, previo parere del Comitato
parlamentare di cui all'articolo 30 e sentito il CISR.
2. I suddetti decreti stabiliscono il regime della
loro pubblicita', anche in deroga alle norme vigenti.».