sicurezza

Agenzia per la cyber security, una svolta per l’Italia digitale: ma ora lavorare sulle competenze

Il decreto-legge sull’Agenzia sulla cybersicurezza, insieme all’uscita in GU del decreto attuativo del perimetro di sicurezza nazionale cibernetica accendono una luce importante sulle prospettive di sicurezza e digitalizzazione del Paese. I temi sul tavolo e il nodo delle competenze

Pubblicato il 14 Giu 2021

Luisa Franchina

Presidente Associazione Italiana esperti in Infrastrutture Critiche

cyber security

Il puzzle tridimensionale della cyber security italiana sta ormai prendendo forma. Il decreto legge sull’Agenzia sulla cyber sicurezza, formulata con velocità e perizia dopo neanche due mesi dalla dichiarazione dell’Autorità delegata, ha acceso una luce sulle aspettative della comunità che si occupa di sicurezza cibernetica in Italia.

Si veda anche in Gazzetta Ufficiale il decreto sull’Agenzia.

L’Agenzia potrà agire con elasticità, contando su professionalità di alto livello che affrontino la sfida con motivazione e coinvolgimento e su due organismi, il Nucleo e il Comitato Interministeriale, di livello decisionale elevato e con responsabilità chiare.

Quasi contemporaneamente al decreto lege, quasi a essere di buon auspicio, esce in Gazzetta Ufficiale, praticamente invariato rispetto alle ultime bozze circolate, il dpcm 81/2021, decreto attuativo del perimetro di sicurezza nazionale cibernetica, contenente, fra le altre cose, i requisiti minimi di sicurezza per i servizi fondamentali interni al perimetro stesso.

Cybersecurity, è l’ora di una nuova governance: così accelerano l’Italia e l’Europa

Agenzia per la cybersecurity, perché è un Dpcm fondamentale

Questo Dpcm è fondamentale per l’attuazione della legge sul perimetro e per l’innalzamento del livello di sicurezza delle infrastrutture critiche italiane. È vero che già la gran parte di queste conosce e ha applicato il framework di sicurezza nazionale del CIS, la cui ultima versione è datata 2019 e contiene il framework originale rimappato considerando all’interno anche il GDPR, regolamento UE sulla privacy. In ogni caso la formulazione del requisito consentirà ora la diffusione della buona pratica attraverso il passaggio alle catene di fornitura dei servizi critici e attraverso una uniformità di azione basata su requisiti chiari e definiti, mentre prima ogni realtà poteva basarsi sul framework nazionale o su qualsiasi altro framework, tipicamente USA, esistente.

L’auspicata pratica di richiedere alle catene di fornitura (quanto meno ai fornitori fondamentali) analoghi requisiti di sicurezza rispetto a quelli cui si deve sottostare, non è solo obbligatoria, ma è soprattutto intelligente se si considera l’oggettiva dipendenza che ogni azienda ha dai propri fornitori e partner anche in termini di sicurezza (e talvolta soprattutto in termini di sicurezza, specie se usa molto outsourcing).

Se il Dpcm incoraggia a immaginare sempre più vicina l’attuazione del perimetro, per cui mancano solo due decreti attuativi; la bozza di decreto legge sull’Agenzia sulla cyber sicurezza è la materializzazione del sogno di unificare i punti di contatto e le autorità competenti e realizzare un canale di cooperazione pubblico-privato non basato, o quanto meno non solo basato su iniziative economiche, ma prima di tutto basato sulla condivisione delle informazioni, a beneficio delle potenziali vittime e delle infrastrutture critiche chiamate a supportare la continuità del sistema Paese.

Manca l’organismo per le certificazioni di prodotto

Insieme con il CVCN avremmo immaginato di vedere conferito anche l’OCSI, Organismo di certificazione per la sicurezza cibernetica di storica attività in Italia, ma ci sarà modo di vederne una naturale evoluzione nel contesto delle proposte di nuovi schemi certificativi partite dall’Europa e attualmente in discussione anche in Italia. Sicuramente il tema delle certificazioni di prodotto per la sicurezza cibernetica è un tema del futuro e si sta dipanando come un libro di aforismi verso un’enciclopedia.

Le certificazioni saranno estremamente dettagliate e diversificate a seconda delle tecnologie (dal 5G, all’IoT, alla criptazione, e così via) e l’Italia dovrà essere al passo con l’innovazione in tal senso, in modo che le certificazioni e le valutazioni divengano uno strumento di decisione tecnologica e non un bollino di compliance formale.

I temi aperti per l’Agenzia

I grandi temi di fronte all’agenzia sono chiari: l’applicazione del perimetro per innalzare il livello medio di sicurezza del Paese, l’attenzione all’emersione del fenomeno “insicurezza cibernetica”, come disegnata dalla NIS per prima, con l’obbligatorietà delle notifiche sugli incidenti rilevanti, il futuro del panorama normativo europeo con la NIS2 e la CER, ma anche con il codice delle comunicazioni e le altre norme che, seppur in parte, toccano i temi di sicurezza cibernetica, il futuro delle decisioni in materia di partner tecnologici extra europei e le certificazioni e valutazioni di prodotto.

Guerra ai ransomware, come cambia la risposta delle aziende (e degli USA)

Il nodo delle competenze

La bozza di DL tocca anche temi di assoluto rilievo come lo sviluppo di competenze nazionali, sia in termini di aziende che in termini di persone, e la possibilità di realizzare progetti condivisi tra pubblico e privato nei temi di cyber security.

La creazione di competenze è ormai un punto fondamentale e non procrastinabile. È diventato impossibile trovare personale competente in materia di sviluppo informatico, figuriamoci in materia di sicurezza cibernetica dal punto di vista tecnico. La carenza di personale è un problema serio, che ostacola le piccole e medie imprese nel prendere provvedimenti sulla materia con posture internalizzate e con tecnici in grado di guidare l’azienda in modo serio e professionale verso la transizione alla sicurezza (oltre che al digitale).

Non esiste una Italia digitalizzata che non sia sicura e non esiste una transizione digitale senza sicurezza, ma non per alzare la palla ai professionisti della cybersecurity, bensì perché una digitalizzazione non sicura rende tutti esposti a catastrofiche intrusioni, furti di dati, sabotaggi, ransomware con rapimento e riscatto delle macchine e dei dati… è una follia che porta solo a dover inserire la sicurezza in ritardo con costi aggiuntivi enormi. La sicurezza deve nascere con la digitalizzazione e ormai abbiamo imparato che essa è parte intrinseca e implicita della digitalizzazione, come la pelle è parte del corpo umano.

Ora dobbiamo lavorare sulle competenze tecnologiche per la sicurezza e per la diffusione tra i giovani della passione per questa professionalità che ha caratteristiche divertenti e interessanti e che può essere intrapresa da uomini e donne indifferentemente, purché abbiano voglia di confrontarsi con il futuro e con la bellezza del saper fare.


Il testo del decreto legge sull’Agenzia cybersecurity in Gazzetta Ufficiale

DECRETO-LEGGE 14 giugno 2021, n. 82

Disposizioni  urgenti  in  materia  di  cybersicurezza,   definizione
dell'architettura   nazionale   di   cybersicurezza   e   istituzione
dell'Agenzia per la cybersicurezza nazionale. (21G00098) 

(GU n.140 del 14-6-2021)

 

 Vigente al: 15-6-2021

 

 
                   IL PRESIDENTE DELLA REPUBBLICA 
 
  Visti gli articoli 77 e 87, quinto comma, della Costituzione; 
  Vista  la  legge  23  agosto  1988,  n.  400,  recante   disciplina
dell'attivita'  di  Governo  e  ordinamento  della   Presidenza   del
Consiglio dei ministri; 
  Considerato  che  le  vulnerabilita'  delle   reti,   dei   sistemi
informativi,  dei   servizi   informatici   e   delle   comunicazioni
elettroniche di soggetti pubblici e privati possono essere  sfruttate
al fine di provocare il malfunzionamento o l'interruzione,  totali  o
parziali, di funzioni essenziali dello Stato e di servizi  essenziali
per  il  mantenimento  di  attivita'  civili,  sociali  o  economiche
fondamentali per gli interessi dello Stato,  nonche'  di  servizi  di
pubblica utilita', con potenziali gravi ripercussioni sui  cittadini,
sulle  imprese  e  sulle  pubbliche  amministrazioni,  sino  a  poter
determinare un pregiudizio per la sicurezza nazionale; 
  Considerata la straordinaria  necessita'  e  urgenza,  nell'attuale
quadro  normativo  e  a  fronte  della  realizzazione  in  corso   di
importanti  e  strategiche  infrastrutture  tecnologiche,  anche   in
relazione a  recenti  attacchi  alle  reti  di  Paesi  europei  e  di
importanti partner internazionali idonei a determinare effetti  anche
di natura sistemica e che sottolineano ulteriormente come il  dominio
cibernetico costituisca  terreno  di  confronto  con  riflessi  sulla
sicurezza nazionale, di razionalizzare le competenze in  materia,  di
assicurare un piu' efficace coordinamento, di attuare misure  tese  a
rendere il Paese piu' sicuro e resiliente anche nel dominio digitale,
di disporre dei piu' idonei strumenti  di  immediato  intervento  che
consentano di affrontare con la  massima  efficacia  e  tempestivita'
eventuali  situazioni  di  emergenza  che  coinvolgano   profili   di
cybersicurezza; 
  Considerata altresi' la necessita' e urgenza di dare attuazione  al
Piano nazionale di ripresa e resilienza, deliberato dal Consiglio dei
ministri nella riunione del 29  aprile  2021,  che  prevede  apposite
progettualita' nell'ambito della cybersicurezza, in  particolare  per
l'istituzione  di  un'Agenzia  di  cybersicurezza  nazionale,   quale
fattore necessario per tutelare la sicurezza dello sviluppo  e  della
crescita  dell'economia  e  dell'industria  nazionale,   ponendo   la
cybersicurezza a fondamento della trasformazione digitale; 
  Ritenuto pertanto di dover  intervenire  con  urgenza  al  fine  di
ridefinire  l'architettura  italiana  di  cybersicurezza,  prevedendo
anche l'istituzione di  un'apposita  Agenzia  per  la  cybersicurezza
nazionale, per adeguarla all'evoluzione tecnologica, al  contesto  di
minaccia proveniente dallo  spazio  cibernetico,  nonche'  al  quadro
normativo europeo, e di dover raccordare,  altresi',  pure  a  tutela
dell'unita' giuridica dell'ordinamento, le disposizioni in materia di
sicurezza  delle  reti,  dei   sistemi   informativi,   dei   servizi
informatici e delle comunicazioni elettroniche; 
  Vista la deliberazione del Consiglio dei ministri,  adottata  nella
riunione del 10 giugno 2021; 
  Sulla proposta del Presidente del Consiglio dei ministri; 
 
                              E m a n a 
                     il seguente decreto-legge: 
 
                               Art. 1 
 
                             Definizioni 
 
  1. Ai fini del presente decreto si intende per: 
    a)  cybersicurezza,  l'insieme  delle  attivita'  necessarie  per
proteggere dalle  minacce  informatiche  reti,  sistemi  informativi,
servizi informatici e comunicazioni  elettroniche,  assicurandone  la
disponibilita', la confidenzialita' e  l'integrita',  e  garantendone
altresi' la resilienza; 
    b) decreto-legge perimetro, il decreto-legge 21  settembre  2019,
n. 105, convertito, con modificazioni, dalla legge 18 novembre  2019,
n. 133, recante disposizioni  urgenti  in  materia  di  perimetro  di
sicurezza nazionale cibernetica e di disciplina dei  poteri  speciali
nei settori di rilevanza strategica; 
    c) decreto legislativo NIS,  il  decreto  legislativo  18  maggio
2018, n.  65,  di  attuazione  della  direttiva  (UE)  2016/1148  del
Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure
per un livello comune elevato di sicurezza delle reti e  dei  sistemi
informativi nell'Unione; 
    d) CISR, il Comitato interministeriale  per  la  sicurezza  della
Repubblica di cui all'articolo 5 della legge 3 agosto 2007, n. 124; 
    e) DIS, il Dipartimento delle informazioni per  la  sicurezza  di
cui all'articolo 4 della legge n. 124 del 2007; 
    f) AISE,  l'Agenzia  informazioni  e  sicurezza  esterna  di  cui
all'articolo 6 della legge n. 124 del 2007; 
    g) AISI,  l'Agenzia  informazioni  e  sicurezza  interna  di  cui
all'articolo 7 della legge n. 124 del 2007; 
    h) COPASIR, il  Comitato  parlamentare  per  la  sicurezza  della
Repubblica di cui all'articolo 30 della legge n. 124 del 2007; 
    i) strategia nazionale di cybersicurezza,  la  strategia  di  cui
all'articolo 6 del decreto legislativo NIS. 
                               Art. 2 
 
        Competenze del Presidente del Consiglio dei ministri 
 
  1. Al Presidente del Consiglio dei ministri sono attribuite in  via
esclusiva: 
    a) l'alta direzione e la responsabilita' generale delle politiche
di  cybersicurezza,  anche  ai  fini  della  tutela  della  sicurezza
nazionale nello spazio cibernetico; 
    b)  l'adozione  della  strategia  nazionale  di   cybersicurezza,
sentito il Comitato interministeriale per la cybersicurezza (CIC)  di
cui all'articolo 4; 
    c) la nomina e la  revoca  del  direttore  generale  e  del  vice
direttore generale dell'Agenzia per la  cybersicurezza  nazionale  di
cui all'articolo 5. 
  2. Ai fini dell'esercizio delle competenze di cui al comma 1, lett.
a), e dell'attuazione della strategia nazionale di cybersicurezza, il
Presidente del Consiglio dei ministri, sentito il CIC, impartisce  le
direttive per la cybersicurezza ed emana ogni disposizione necessaria
per  l'organizzazione  e  il  funzionamento   dell'Agenzia   per   la
cybersicurezza nazionale. 
  3. Il Presidente del Consiglio dei ministri informa preventivamente
il presidente del COPASIR circa le nomine di cui al comma 1,  lettera
c). 
                               Art. 3 
 
                         Autorita' delegata 
 
  1. Il  Presidente  del  Consiglio  dei  ministri,  ove  lo  ritenga
opportuno, puo' delegare alla medesima Autorita' di cui  all'articolo
3 della legge n. 124 del 2007, ove istituita, le funzioni di  cui  al
presente decreto che non sono ad esso attribuite in via esclusiva. 
  2. Il  Presidente  del  Consiglio  dei  ministri  e'  costantemente
informato dall'Autorita' delegata sulle modalita' di esercizio  delle
funzioni delegate ai sensi del presente decreto e, fermo restando  il
potere di direttiva, puo' in qualsiasi momento avocare l'esercizio di
tutte o di alcune di esse. 
  3. L'Autorita' delegata, in relazione  alle  funzioni  delegate  ai
sensi del presente decreto,  partecipa  alle  riunioni  del  Comitato
interministeriale per la transizione digitale di cui  all'articolo  8
del  decreto-legge  1°   marzo   2021,   n.   22,   convertito,   con
modificazioni, dalla legge 22 aprile 2021, n. 55. 
                               Art. 4 
 
          Comitato interministeriale per la cybersicurezza 
 
  1. Presso la Presidenza del Consiglio dei ministri e' istituito  il
Comitato interministeriale per la cybersicurezza (CIC), con  funzioni
di consulenza, proposta  e  vigilanza  in  materia  di  politiche  di
cybersicurezza, anche ai fini della tutela della sicurezza  nazionale
nello spazio cibernetico. 
  2. Il Comitato: 
    a) propone al Presidente del Consiglio dei ministri gli indirizzi
generali da perseguire nel quadro delle politiche  di  cybersicurezza
nazionale; 
    b) esercita l'alta sorveglianza sull'attuazione  della  strategia
nazionale di cybersicurezza; 
    c) promuove l'adozione delle iniziative necessarie  per  favorire
l'efficace collaborazione, a livello nazionale e internazionale,  tra
i soggetti istituzionali e gli  operatori  privati  interessati  alla
cybersicurezza, nonche' per la condivisione delle informazioni e  per
l'adozione di migliori pratiche e  di  misure  rivolte  all'obiettivo
della cybersicurezza  e  allo  sviluppo  industriale,  tecnologico  e
scientifico in materia di cybersicurezza; 
    d) esprime il parere  sul  bilancio  preventivo  e  sul  bilancio
consuntivo dell'Agenzia per la cybersicurezza nazionale. 
  3. Il Comitato e'  presieduto  dal  Presidente  del  Consiglio  dei
ministri ed e' composto dall'Autorita' delegata, ove  istituita,  dal
Ministro degli affari esteri e della cooperazione internazionale, dal
Ministro dell'interno, dal Ministro  della  giustizia,  dal  Ministro
della  difesa,  dal  Ministro  dell'economia  e  delle  finanze,  dal
Ministro dello sviluppo economico,  dal  Ministro  della  transizione
ecologica,  dal  Ministro  dell'universita'  e  della  ricerca,   dal
Ministro delegato per  l'innovazione  tecnologica  e  la  transizione
digitale e  dal  Ministro  delle  infrastrutture  e  della  mobilita'
sostenibili. 
  4.  Il  direttore  generale  dell'Agenzia  svolge  le  funzioni  di
segretario del Comitato. 
  5. Il  Presidente  del  Consiglio  dei  ministri  puo'  chiamare  a
partecipare alle  sedute  del  Comitato,  anche  a  seguito  di  loro
richiesta, senza diritto di voto, altri componenti del Consiglio  dei
ministri, il direttore generale del DIS, il direttore  dell'AISE,  il
direttore dell'AISI, nonche' altre autorita'  civili  e  militari  di
cui, di volta in volta, ritenga necessaria la presenza  in  relazione
alle questioni da trattare. 
  6. Il Comitato svolge altresi' le funzioni gia' attribuite al  CISR
dal decreto-legge perimetro e dai relativi  provvedimenti  attuativi,
fatta eccezione per quelle  previste  dall'articolo  5  del  medesimo
decreto-legge perimetro. 
                               Art. 5 
 
               Agenzia per la cybersicurezza nazionale 
 
  1. E' istituita, a tutela degli interessi nazionali nel campo della
cybersicurezza, anche ai fini della tutela della sicurezza  nazionale
nello spazio cibernetico, l'Agenzia per la cybersicurezza  nazionale,
denominata ai fini del presente decreto «Agenzia», con sede in Roma. 
  2. L'Agenzia ha personalita' giuridica di diritto  pubblico  ed  e'
dotata  di  autonomia  regolamentare,  amministrativa,  patrimoniale,
organizzativa, contabile e finanziaria, nei limiti di quanto previsto
dal presente decreto. Il Presidente  del  Consiglio  dei  ministri  e
l'Autorita' delegata, ove istituita, si  avvalgono  dell'Agenzia  per
l'esercizio delle competenze di cui al presente decreto. 
  3. Il direttore generale  dell'Agenzia  e'  nominato  tra  soggetti
appartenenti a una delle categorie di cui all'articolo 18,  comma  2,
della  legge  n.  400  del  1988,  in  possesso  di  una  documentata
esperienza  di  elevato  livello  nella  gestione  di   processi   di
innovazione.  Gli  incarichi  del  direttore  generale  e  del   vice
direttore generale hanno la durata massima di  quattro  anni  e  sono
rinnovabili, con successivi provvedimenti, per una durata complessiva
massima di ulteriori  quattro  anni.  Il  Direttore  generale  ed  il
vicedirettore generale, ove provenienti da pubbliche  amministrazioni
di cui all'articolo 1, comma 2,  del  decreto  legislativo  30  marzo
2001, n. 165, sono collocati fuori ruolo o in posizione di comando  o
altra analoga posizione, secondo gli ordinamenti di appartenenza. Per
quanto  previsto  dal  presente  decreto,   il   direttore   generale
dell'Agenzia e' il diretto referente del Presidente del Consiglio dei
ministri  e   dell'Autorita'   delegata,   ove   istituita,   ed   e'
gerarchicamente   e   funzionalmente   sovraordinato   al   personale
dell'Agenzia. Il  direttore  generale  ha  la  rappresentanza  legale
dell'Agenzia. 
  4. L'attivita' dell'Agenzia e'  regolata  dal  presente  decreto  e
dalle disposizioni la cui adozione e' prevista dallo stesso. 
  5.  L'Agenzia  puo'  richiedere,  anche  sulla  base  di   apposite
convenzioni e nel rispetto degli ambiti di  precipua  competenza,  la
collaborazione di altri organi dello Stato, di altre amministrazioni,
delle forze di polizia o di enti pubblici per lo svolgimento dei suoi
compiti istituzionali. 
  6. Il COPASIR puo'  chiedere  l'audizione  del  direttore  generale
dell'Agenzia su questioni di propria competenza. 
                               Art. 6 
 
     Organizzazione dell'Agenzia per la cybersicurezza nazionale 
 
  1. L'organizzazione e il funzionamento dell'Agenzia  sono  definiti
da  un  apposito  regolamento  che  ne   prevede,   in   particolare,
l'articolazione fino ad un numero massimo di otto uffici  di  livello
dirigenziale generale, nonche' fino ad un numero  massimo  di  trenta
articolazioni di livello dirigenziale non generale nell'ambito  delle
risorse disponibili. 
  2. Sono organi dell'Agenzia il direttore generale e il Collegio dei
revisori dei conti. Con  il  regolamento  di  cui  al  comma  1  sono
disciplinati altresi': 
    a) le funzioni  del  direttore  generale  e  del  vice  direttore
generale dell'Agenzia; 
    b) la composizione e il funzionamento del Collegio  dei  revisori
dei conti; 
    c) l'istituzione di eventuali sedi secondarie. 
  3. Il regolamento di cui al comma 1 e' adottato,  entro  centoventi
giorni dalla data di entrata in vigore della legge di conversione del
presente decreto,  con  decreto  del  Presidente  del  Consiglio  dei
ministri, di concerto con il Ministro dell'economia e delle  finanze,
anche in deroga all'articolo 17 della legge 23 agosto 1988,  n.  400,
previo parere del COPASIR, sentito il CIC. 
                               Art. 7 
 
        Funzioni dell'Agenzia per la cybersicurezza nazionale 
 
  1. L'Agenzia: 
    a) e' Autorita' nazionale per la cybersicurezza e, in relazione a
tale ruolo, assicura, nel rispetto delle competenze attribuite  dalla
normativa  vigente  ad  altre  amministrazioni,  ferme  restando   le
attribuzioni del  Ministro  dell'interno  in  qualita'  di  autorita'
nazionale di pubblica sicurezza, ai sensi della legge 1° aprile 1981,
n. 121, il coordinamento tra i soggetti pubblici coinvolti in materia
di cybersicurezza a livello nazionale e promuove la realizzazione  di
azioni comuni dirette ad assicurare  la  sicurezza  e  la  resilienza
cibernetiche per lo sviluppo della digitalizzazione  del  Paese,  del
sistema produttivo e delle pubbliche amministrazioni, nonche' per  il
conseguimento  dell'autonomia,  nazionale  ed  europea,  riguardo   a
prodotti e processi informatici  di  rilevanza  strategica  a  tutela
degli interessi  nazionali  nel  settore.  Per  le  reti,  i  sistemi
informativi e i servizi informatici  attinenti  alla  gestione  delle
informazioni classificate  restano  fermi  sia  quanto  previsto  dal
regolamento adottato ai sensi dell'articolo 4, comma 3,  lettera  l),
della legge n. 124 del 2007, sia le competenze dell'Ufficio  centrale
per la segretezza di cui all'articolo 9 della medesima legge  n.  124
del 2007; 
    b) predispone la strategia nazionale di cybersicurezza; 
    c) svolge ogni necessaria attivita' di supporto al  funzionamento
del Nucleo per la cybersicurezza, di cui all'articolo 8; 
    d) e' Autorita' nazionale competente e punto di contatto unico in
materia di sicurezza delle reti e dei  sistemi  informativi,  per  le
finalita' di cui al decreto legislativo  NIS,  a  tutela  dell'unita'
giuridica dell'ordinamento, ed e' competente  all'accertamento  delle
violazioni e all'irrogazione delle sanzioni  amministrative  previste
dal medesimo decreto; 
    e) e' Autorita' nazionale di certificazione della  cybersicurezza
ai  sensi  dell'articolo  58  del  regolamento  (UE)   2019/881   del
Parlamento europeo e del Consiglio, del  17  aprile  2019,  e  assume
tutte  le  funzioni  in  materia  di  certificazione   di   sicurezza
cibernetica gia' attribuite al  Ministero  dello  sviluppo  economico
dall'ordinamento vigente, comprese quelle  relative  all'accertamento
delle violazioni e all'irrogazione delle sanzioni; nello  svolgimento
dei compiti di cui alla presente lettera: 
      1)  accredita,  ai  sensi  dell'articolo  60,  comma   1,   del
regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio,  le
strutture specializzate del Ministero della difesa  e  del  Ministero
dell'interno quali organismi di valutazione della conformita'  per  i
sistemi di rispettiva competenza; 
      2) delega, ai sensi dell'articolo 56, comma 6, lettera b),  del
regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio,  il
Ministero della difesa e il  Ministero  dell'interno,  attraverso  le
rispettive strutture accreditate di cui al punto 1), al rilascio  del
certificato europeo di sicurezza cibernetica; 
    f) assume tutte le funzioni in  materia  di  cybersicurezza  gia'
attribuite dalle disposizioni vigenti  al  Ministero  dello  sviluppo
economico, ivi comprese quelle relative: 
      1) al perimetro di sicurezza nazionale cibernetica, di  cui  al
decreto-legge perimetro e ai relativi  provvedimenti  attuativi,  ivi
incluse  le  funzioni  attribuite  al   Centro   di   valutazione   e
certificazione nazionale ai sensi  del  decreto-legge  perimetro,  le
attivita' di ispezione e verifica di cui  all'articolo  1,  comma  6,
lettera  c),  del   decreto-legge   perimetro   e   quelle   relative
all'accertamento delle violazioni e  all'irrogazione  delle  sanzioni
amministrative previste dal medesimo decreto, fatte salve  quelle  di
cui  all'articolo  3  del  regolamento  adottato  con   decreto   del
Presidente del Consiglio dei ministri 30 luglio 2020, n. 131; 
      2)  alla  sicurezza  e   all'integrita'   delle   comunicazioni
elettroniche, di cui  agli  articoli  16-bis  e  16-ter  del  decreto
legislativo  1°  agosto  2003,  n.  259,  e   relative   disposizioni
attuative; 
      3) alla sicurezza delle reti e dei sistemi informativi, di  cui
al decreto legislativo NIS; 
    g)  partecipa,  per  gli  ambiti  di  competenza,  al  gruppo  di
coordinamento istituito ai sensi dei regolamenti di cui  all'articolo
1, comma 8, del decreto-legge 15 marzo 2012, n. 21,  convertito,  con
modificazioni, dalla legge 11 maggio 2012, n. 56; 
    h) assume  tutte  le  funzioni  attribuite  alla  Presidenza  del
Consiglio dei ministri in materia di perimetro di sicurezza nazionale
cibernetica,  di  cui  al  decreto-legge  perimetro  e  ai   relativi
provvedimenti attuativi, ivi incluse  le  attivita'  di  ispezione  e
verifica  di  cui  all'articolo  1,  comma   6,   lettera   c),   del
decreto-legge perimetro  e  quelle  relative  all'accertamento  delle
violazioni e all'irrogazione delle sanzioni  amministrative  previste
dal medesimo decreto, fatte salve quelle di cui  all'articolo  3  del
regolamento adottato con decreto del  Presidente  del  Consiglio  dei
ministri n. 131 del 2020; 
    i)  assume  tutte  le  funzioni  gia'  attribuite  al   DIS   dal
decreto-legge perimetro e  dai  relativi  provvedimenti  attuativi  e
supporta  il  Presidente  del  Consiglio   dei   ministri   ai   fini
dell'articolo 1, comma 19-bis, del decreto-legge perimetro; 
    l) provvede, sulla base delle attivita' di competenza del  Nucleo
per  la  cybersicurezza  di  cui  all'articolo  8,   alle   attivita'
necessarie  per  l'attuazione  e  il  controllo  dell'esecuzione  dei
provvedimenti assunti dal Presidente del Consiglio  dei  ministri  ai
sensi dell'articolo 5 del decreto-legge perimetro; 
    m) assume tutte le funzioni in  materia  di  cybersicurezza  gia'
attribuite  all'Agenzia  per  l'Italia  digitale  dalle  disposizioni
vigenti e, in particolare, quelle di cui all'articolo 51 del  decreto
legislativo 7 marzo 2005, n. 82, nonche' in materia  di  adozione  di
linee guida contenenti regole tecniche  di  cybersicurezza  ai  sensi
dell'articolo 71 del medesimo decreto legislativo. L'Agenzia  assume,
altresi', i compiti di cui  all'articolo  33-septies,  comma  4,  del
decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni,
dalla legge 17 dicembre 2012, n. 221, gia' attribuiti all'Agenzia per
l'Italia digitale; 
    n) sviluppa capacita'  nazionali  di  prevenzione,  monitoraggio,
rilevamento,  analisi  e  risposta,  per  prevenire  e  gestire   gli
incidenti di sicurezza informatica e gli attacchi informatici,  anche
attraverso  il  CSIRT  Italia  di  cui  all'articolo  8  del  decreto
legislativo NIS; 
    o) partecipa alle esercitazioni nazionali  e  internazionali  che
riguardano la simulazione di eventi di natura cibernetica al fine  di
innalzare la resilienza del Paese; 
    p) cura e promuove la definizione ed il mantenimento di un quadro
giuridico  nazionale  aggiornato  e  coerente   nel   dominio   della
cybersicurezza,  tenendo  anche  conto  degli  orientamenti  e  degli
sviluppi in ambito internazionale.  A  tal  fine,  l'Agenzia  esprime
pareri non vincolanti sulle iniziative  legislative  o  regolamentari
concernenti la cybersicurezza; 
    q) coordina, in raccordo con il Ministero degli affari  esteri  e
della cooperazione  internazionale,  la  cooperazione  internazionale
nella materia della cybersicurezza. Nell'ambito dell'Unione europea e
a livello internazionale, l'Agenzia cura i rapporti con i  competenti
organismi, istituzioni, ed enti, nonche' segue nelle competenti  sedi
istituzionali le tematiche di cybersicurezza, fatta eccezione per gli
ambiti in cui la legge attribuisce  specifiche  competenze  ad  altre
amministrazioni. In tali casi, e' comunque assicurato il raccordo con
l'Agenzia  al  fine  di  garantire  posizioni  nazionali  unitarie  e
coerenti con le politiche di cybersicurezza definite  dal  Presidente
del Consiglio dei ministri; 
    r) perseguendo obiettivi di eccellenza, supporta negli ambiti  di
competenza, mediante il coinvolgimento del sistema dell'universita' e
della ricerca nonche' del sistema produttivo nazionali,  lo  sviluppo
di competenze e capacita' industriali, tecnologiche e scientifiche. A
tali  fini,  l'Agenzia  puo'  promuovere,  sviluppare  e   finanziare
specifici  progetti  ed  iniziative,  volti  anche  a   favorire   il
trasferimento tecnologico dei risultati della  ricerca  nel  settore.
L'Agenzia   assicura   il   necessario   raccordo   con   le    altre
amministrazioni a cui la legge attribuisce competenze in  materia  di
cybersicurezza; 
    s) stipula accordi bilaterali e multilaterali, anche mediante  il
coinvolgimento del settore privato e  industriale,  con  istituzioni,
enti e organismi di altri Paesi per la partecipazione  dell'Italia  a
programmi di cybersicurezza, assicurando il necessario  raccordo  con
le altre amministrazioni a cui la  legge  attribuisce  competenze  in
materia di cybersicurezza, ferme restando le competenze del Ministero
degli esteri e della cooperazione internazionale; 
    t) promuove, sostiene e coordina  la  partecipazione  italiana  a
progetti e iniziative dell'Unione  europea  e  internazionali,  anche
mediante il coinvolgimento di soggetti pubblici e privati  nazionali,
nel campo della cybersicurezza e dei correlati  servizi  applicativi,
ferme restando le competenze  del  Ministero  degli  esteri  e  della
cooperazione  internazionale.  L'Agenzia   assicura   il   necessario
raccordo con le altre amministrazioni  a  cui  la  legge  attribuisce
competenze in materia di cybersicurezza; 
    u)  svolge  attivita'  di  comunicazione   e   promozione   della
consapevolezza in materia di cybersicurezza, al fine  di  contribuire
allo sviluppo di una cultura nazionale in materia; 
    v) promuove la formazione, la crescita tecnico-professionale e la
qualificazione delle risorse umane nel  campo  della  cybersicurezza,
anche attraverso l'assegnazione di borse di studio,  di  dottorato  e
assegni di ricerca, sulla base di apposite convenzioni  con  soggetti
pubblici e privati; 
    z) per le finalita' di cui al presente articolo, puo'  costituire
e  partecipare  a  partenariati   pubblico-privato   sul   territorio
nazionale,  nonche',  previa  autorizzazione   del   Presidente   del
Consiglio  dei  ministri,  a  consorzi,  fondazioni  o  societa'  con
soggetti pubblici e privati, italiani e stranieri; 
    aa) e' designata quale Centro nazionale di coordinamento ai sensi
dell'articolo 6 del regolamento (UE) 2021/887 del Parlamento  europeo
e del Consiglio del 20 maggio 2021, che istituisce il Centro  europeo
di  competenza  per  la   cybersicurezza   nell'ambito   industriale,
tecnologico e della  ricerca  e  la  rete  dei  centri  nazionali  di
coordinamento. 
  2.  Nell'ambito  dell'Agenzia  sono  nominati,  con   decreto   del
Presidente del Consiglio dei ministri, il rappresentante nazionale, e
il suo sostituto, nel Consiglio di direzione del  Centro  europeo  di
competenza per la cybersicurezza nell'ambito industriale, tecnologico
e della ricerca, ai  sensi  dell'articolo  12  del  regolamento  (UE)
2021/887. 
  3. Il CSIRT italiano di cui all'articolo 8 del decreto  legislativo
NIS e' trasferito presso l'Agenzia  e  assume  la  denominazione  di:
«CSIRT Italia». 
  4. Il Centro di valutazione e certificazione  nazionale,  istituito
presso il Ministero dello sviluppo economico,  e'  trasferito  presso
l'Agenzia. 
  5. Nel rispetto delle competenze del Garante per la protezione  dei
dati personali, l'Agenzia,  per  le  finalita'  di  cui  al  presente
decreto, consulta il Garante e collabora con esso, anche in relazione
agli incidenti che comportano violazioni di dati personali. L'Agenzia
e il Garante possono  stipulare  appositi  protocolli  d'intenti  che
definiscono  altresi'  le   modalita'   della   loro   collaborazione
nell'ambito delle risorse disponibili a legislazione vigente e  senza
nuovi o maggiori oneri per la finanza pubblica. 
                               Art. 8 
 
                    Nucleo per la cybersicurezza 
 
  1. Presso l'Agenzia e' costituito, in via permanente, il Nucleo per
la cybersicurezza,  a  supporto  del  Presidente  del  Consiglio  dei
ministri nella materia della cybersicurezza, per gli aspetti relativi
alla prevenzione e preparazione ad eventuali situazioni  di  crisi  e
per l'attivazione delle procedure di allertamento. 
  2. Il Nucleo per la  cybersicurezza  e'  presieduto  dal  direttore
generale dell'Agenzia o dal vice direttore generale da lui  designato
ed e' composto dal Consigliere militare del Presidente del  Consiglio
dei  ministri,  da  un  rappresentante,  rispettivamente,  del   DIS,
dell'AISE, dell'AISI, di ciascuno  dei  Ministeri  rappresentati  nel
Comitato di cui all'articolo 5 della  legge  n.  124  del  2007,  del
Ministero dell'universita' e della ricerca, del Ministro delegato per
l'innovazione  tecnologica  e   la   transizione   digitale   e   del
Dipartimento della protezione civile della Presidenza  del  Consiglio
dei  ministri.  Per  gli  aspetti  relativi   alla   trattazione   di
informazioni classificate il Nucleo e' integrato da un rappresentante
dell'Ufficio centrale per la segretezza di cui all'articolo  9  della
legge n. 124 del 2007. 
  3. I componenti possono farsi  assistere  alle  riunioni  da  altri
rappresentanti delle rispettive  amministrazioni  in  relazione  alle
materie oggetto di trattazione. In base agli argomenti delle riunioni
possono anche essere chiamati a partecipare rappresentanti  di  altre
amministrazioni, di universita' o di  enti  e  istituti  di  ricerca,
nonche'  di  operatori  privati  interessati   alla   materia   della
cybersicurezza. 
  4. Il Nucleo puo' essere convocato in composizione ristretta con la
partecipazione  dei  rappresentanti  delle  sole  amministrazioni   e
soggetti interessati, anche  relativamente  ai  compiti  di  gestione
delle crisi di cui all'articolo 10. 
                               Art. 9 
 
              Compiti del Nucleo per la cybersicurezza 
 
  1. Per le finalita'  di  cui  all'articolo  8,  il  Nucleo  per  la
cybersicurezza svolge i seguenti compiti: 
    a)  puo'  formulare  proposte  di  iniziative   in   materia   di
cybersicurezza   del   Paese,   anche   nel   quadro   del   contesto
internazionale in materia; 
    b) promuove, sulla base delle direttive di  cui  all'articolo  2,
comma 2,  la  programmazione  e  la  pianificazione  operativa  della
risposta  a  situazioni  di  crisi   cibernetica   da   parte   delle
amministrazioni   e   degli   operatori   privati    interessati    e
l'elaborazione   delle   necessarie   procedure   di    coordinamento
interministeriale, in raccordo con le pianificazioni di difesa civile
e  di  protezione  civile,  anche  nel  quadro  di  quanto   previsto
dall'articolo 7-bis, comma 5, del  decreto-legge  n.  174  del  2015,
convertito, con modificazioni, dalla legge n. 198 del 2015; 
    c)  promuove  e  coordina   lo   svolgimento   di   esercitazioni
interministeriali,   ovvero   la    partecipazione    nazionale    in
esercitazioni internazionali che riguardano la simulazione di  eventi
di natura cibernetica al fine di innalzare la resilienza del Paese; 
    d)  valuta  e  promuove,  in  raccordo  con  le   amministrazioni
competenti per specifici profili della cybersicurezza,  procedure  di
condivisione delle informazioni,  anche  con  gli  operatori  privati
interessati, ai fini della diffusione di allarmi relativi  ad  eventi
cibernetici e per la gestione delle crisi; 
    e) riceve, per il tramite  del  CSIRT  Italia,  le  comunicazioni
circa i casi di violazioni o tentativi di violazione della  sicurezza
o di perdita  dell'integrita'  significativi  ai  fini  del  corretto
funzionamento  delle  reti  e  dei  servizi,  dal  DIS,  dall'AISE  e
dall'AISI, dalle Forze di polizia e, in particolare, dall'organo  del
Ministero dell'interno di cui all'articolo 7-bis del decreto-legge n.
144 del 2005, convertito, con modificazioni, dalla legge n.  155  del
2005, dalle strutture del Ministero della difesa, nonche' dalle altre
amministrazioni che compongono il Nucleo e dai gruppi  di  intervento
per le emergenze informatiche (Computer  Emergency  Response  Team  -
CERT) istituiti ai sensi della normativa vigente; 
    f) riceve dal CSIRT Italia le notifiche  di  incidente  ai  sensi
delle disposizioni vigenti; 
    g) valuta se gli eventi di cui alle  lettere  e)  e  f)  assumono
dimensioni, intensita' o natura tali da non poter essere fronteggiati
dalle  singole  amministrazioni  competenti  in  via  ordinaria,   ma
richiedono   l'assunzione   di   decisioni   coordinate    in    sede
interministeriale,   provvedendo   in   tal    caso    a    informare
tempestivamente il Presidente  del  Consiglio  dei  ministri,  ovvero
l'Autorita' delegata, ove istituita, sulla situazione in atto e  allo
svolgimento delle  attivita'  di  raccordo  e  coordinamento  di  cui
all'articolo 10, nella composizione ivi prevista. 
                               Art. 10 
 
   Gestione delle crisi che coinvolgono aspetti di cybersicurezza 
 
  1.  Nelle  situazioni  di  crisi   che   coinvolgono   aspetti   di
cybersicurezza, nei casi in  cui  il  Presidente  del  Consiglio  dei
ministri convochi il CISR  in  materia  di  gestione  delle  predette
situazioni di  crisi,  alle  sedute  del  Comitato  sono  chiamati  a
partecipare il Ministro delegato per l'innovazione tecnologica  e  la
transizione digitale e il direttore generale dell'Agenzia. 
  2. Il Nucleo assicura il supporto  al  CISR  e  al  Presidente  del
Consiglio dei ministri, nella materia della cybersicurezza,  per  gli
aspetti relativi alla gestione di situazioni di crisi  ai  sensi  del
comma 1, nonche' per l'esercizio dei poteri attribuiti al  Presidente
del Consiglio dei ministri, ivi comprese le attivita'  istruttorie  e
le procedure di attivazione necessarie, ai sensi dell'articolo 5  del
decreto-legge perimetro. 
  3. In situazioni di  crisi  di  natura  cibernetica  il  Nucleo  e'
integrato,  in  ragione  della  necessita',  con  un  rappresentante,
rispettivamente, del Ministero  della  salute,  del  Ministero  delle
infrastrutture  e  della   mobilita'   sostenibili,   del   Ministero
dell'interno-Dipartimento dei Vigili del fuoco, del soccorso pubblico
e della difesa civile,  in  rappresentanza  anche  della  Commissione
interministeriale tecnica di difesa civile, autorizzati  ad  assumere
decisioni che impegnano la propria amministrazione. Alle  riunioni  i
componenti possono  farsi  accompagnare  da  altri  funzionari  della
propria amministrazione. Alle stesse riunioni possono essere chiamati
a partecipare rappresentanti di altre amministrazioni, anche  locali,
ed enti, anche essi autorizzati ad assumere  decisioni,  e  di  altri
soggetti  pubblici  o  privati  eventualmente  interessati.  Per   la
partecipazione non  sono  previsti  compensi,  gettoni  di  presenza,
rimborsi di spese o altri emolumenti comunque denominati. 
  4. E' compito del Nucleo, nella composizione per la gestione  delle
crisi, di cui al comma 3, assicurare che le attivita' di  reazione  e
stabilizzazione di competenza delle diverse amministrazioni  ed  enti
rispetto  a  situazioni  di  crisi  di  natura  cibernetica,  vengano
espletate in maniera coordinata secondo quanto previsto dall'articolo
9, comma 1, lettera b). 
  5. Il Nucleo, per l'espletamento delle  proprie  funzioni  e  fermo
restando quanto previsto ai sensi dell'articolo 7-bis, comma  5,  del
decreto-legge n. 174 del 2015, convertito, con  modificazioni,  dalla
legge n. 198 del 2015: 
    a) mantiene costantemente informato il Presidente  del  Consiglio
dei ministri, ovvero l'Autorita' delegata, ove istituita, sulla crisi
in atto, predisponendo punti aggiornati di situazione; 
    b)  assicura  il  coordinamento  per   l'attuazione   a   livello
interministeriale delle determinazioni del Presidente  del  Consiglio
dei ministri per il superamento della crisi; 
    c) raccoglie tutti i dati relativi alla crisi; 
    d) elabora rapporti e fornisce  informazioni  sulla  crisi  e  li
trasmette ai soggetti pubblici e privati interessati; 
    e) partecipa  ai  meccanismi  europei  di  gestione  delle  crisi
cibernetiche, assicurando altresi' i  collegamenti  finalizzati  alla
gestione della crisi con gli omologhi organismi di altri Stati, della
NATO, dell'UE o di organizzazioni internazionali di cui  l'Italia  fa
parte. 
                               Art. 11 
 
          Norme di contabilita' e disposizioni finanziarie 
 
  1. Con legge di bilancio e' determinato lo stanziamento annuale  da
assegnare all'Agenzia da iscrivere sul capitolo di  cui  all'articolo
18, comma 1, sulla base della  determinazione  del  fabbisogno  annuo
operata  dal  Presidente  del  Consiglio  dei  ministri,  previamente
comunicata al COPASIR. 
  2. Le entrate dell'Agenzia sono costituite da: 
    a)  dotazioni  finanziarie   e   contributi   ordinari   di   cui
all'articolo 18 del presente decreto; 
    b) corrispettivi per i servizi prestati  a  soggetti  pubblici  o
privati; 
    c)  proventi  derivanti  dallo  sfruttamento   della   proprieta'
industriale,   dei   prodotti   dell'ingegno   e   delle   invenzioni
dell'Agenzia; 
    d) altri proventi patrimoniali e di gestione; 
    e) contribuiti dell'Unione europea o di organismi internazionali,
anche a seguito della partecipazione a specifici  bandi,  progetti  e
programmi di collaborazione; 
    f) proventi delle sanzioni  irrogate  dall'Agenzia  ai  sensi  di
quanto  previsto  dal  decreto  legislativo  NIS,  dal  decreto-legge
perimetro e dal  decreto  legislativo  1°  agosto  2003,  n.  259,  e
relative disposizioni attuative; 
    g) ogni altra eventuale entrata. 
  3. Il regolamento di contabilita'  dell'Agenzia,  che  ne  assicura
l'autonomia gestionale e  contabile,  e'  adottato  con  decreto  del
Presidente del Consiglio dei ministri, di concerto  con  il  Ministro
dell'economia e delle finanze, su  proposta  del  direttore  generale
dell'Agenzia, previo parere del  COPASIR  e  sentito  il  CIC,  entro
centoventi giorni dalla data di entrata  in  vigore  della  legge  di
conversione del presente decreto, anche  in  deroga  all'articolo  17
della legge 23 agosto 1988, n. 400,  e  alle  norme  di  contabilita'
generale dello Stato e nel rispetto dei principi fondamentali da esse
stabiliti, nonche' delle seguenti disposizioni: 
    a) il bilancio preventivo e il bilancio consuntivo  adottati  dal
direttore  generale  dell'Agenzia  sono  approvati  con  decreto  del
Presidente del Consiglio dei ministri, previo parere del CIC  e  sono
trasmessi alla Corte dei conti che  esercita  il  controllo  previsto
dall'articolo 3, comma 4, della legge 14 gennaio 1994, n. 20; 
    b) il bilancio consuntivo e la relazione della  Corte  dei  conti
sono trasmessi, al COPASIR. 
  4.  Con  regolamento  adottato  con  decreto  del  Presidente   del
Consiglio  dei  ministri,  su   proposta   del   direttore   generale
dell'Agenzia, entro centoventi giorni dalla data di entrata in vigore
della legge di conversione del  presente  decreto,  anche  in  deroga
all'articolo 17 della legge 23 agosto 1988, n. 400, e alle  norme  in
materia di contratti pubblici, previo parere del COPASIR e sentito il
CIC, sono definite le  procedure  per  la  stipula  di  contratti  di
appalti di lavori e forniture di beni  e  servizi  per  le  attivita'
dell'Agenzia finalizzate alla tutela della sicurezza nazionale  nello
spazio cibernetico e per quelle svolte in raccordo con il Sistema  di
informazione per la sicurezza della Repubblica di cui alla  legge  n.
124 del 2007, ferma restando  la  disciplina  dell'articolo  162  del
codice dei contratti pubblici relativi a lavori, servizi e forniture,
di cui al decreto legislativo 18 aprile 2016, n. 50. 
                               Art. 12 
 
                              Personale 
 
  1. Con apposito regolamento e' dettata, nel rispetto  dei  principi
generali dell'ordinamento giuridico, anche  in  deroga  alle  vigenti
disposizioni di legge, ivi incluso il decreto  legislativo  30  marzo
2001, n. 165, e nel rispetto dei criteri di cui al presente  decreto,
la disciplina  del  contingente  di  personale  addetto  all'Agenzia,
tenuto conto delle funzioni di tutela della sicurezza nazionale nello
spazio  cibernetico  attribuite  all'Agenzia  e  tenuto  conto  delle
attivita'  svolte  dalla  stessa  in  raccordo  con  il  Sistema   di
informazione per la sicurezza della Repubblica di cui alla  legge  n.
124  del  2007.  Il  regolamento   definisce   l'ordinamento   e   il
reclutamento del personale, e il  relativo  trattamento  economico  e
previdenziale,  prevedendo,  in   particolare,   per   il   personale
dell'Agenzia un trattamento economico pari a quello in  godimento  da
parte  dei  dipendenti  della  Banca  d'Italia,  sulla  scorta  della
equiparabilita'   delle   funzioni   svolte   e   del   livello    di
responsabilita'  rivestito.  La  predetta  equiparazione,   sia   con
riferimento al trattamento economico in servizio  che  previdenziale,
produce effetti avendo riguardo alle anzianita' di servizio  maturate
a seguito dell'inquadramento nei ruoli dell'Agenzia. 
  2. Il regolamento determina, nei limiti delle  risorse  finanziarie
disponibili, in particolare: 
    a) l'istituzione di  un  ruolo  del  personale  e  la  disciplina
generale del rapporto d'impiego alle dipendenze dell'Agenzia; 
    b) la possibilita' di procedere, oltre che ad assunzioni a  tempo
indeterminato attraverso modalita' concorsuali, ad assunzioni a tempo
determinato,  con  contratti  di  diritto  privato,  di  soggetti  in
possesso  di  alta   e   particolare   specializzazione   debitamente
documentata, individuati attraverso adeguate modalita' selettive, per
lo svolgimento di attivita' assolutamente necessarie all'operativita'
dell'Agenzia o per specifiche progettualita' da portare a termine  in
un arco di tempo prefissato; 
    c) la possibilita' di avvalersi di un contingente di esperti, non
superiore a cinquanta unita', composto da personale  collocato  fuori
ruolo o in posizione di comando o altra analoga  posizione,  prevista
dagli  ordinamenti  di   appartenenza,   proveniente   da   pubbliche
amministrazioni  di  cui  all'articolo  1,  comma  2,   del   decreto
legislativo 30 marzo 2001,  n.  165,  con  esclusione  del  personale
docente,  educativo,  amministrativo,  tecnico  e  ausiliario   delle
istituzioni scolastiche, ovvero da personale  non  appartenente  alla
pubblica  amministrazione,  in  possesso  di  specifica  ed   elevata
competenza in materia di  cybersicurezza  e  di  tecnologie  digitali
innovative, nello  sviluppo  e  gestione  di  processi  complessi  di
trasformazione  tecnologica   e   delle   correlate   iniziative   di
comunicazione e disseminazione, nonche' di  significativa  esperienza
in progetti di trasformazione digitale, ivi compreso lo  sviluppo  di
programmi e piattaforme digitali con diffusione su  larga  scala.  Il
regolamento, a tali fini, disciplina la composizione del  contingente
e il compenso spettante per ciascuna professionalita'; 
    d) la determinazione della percentuale massima dei dipendenti che
e' possibile assumere a tempo determinato; 
    e) la possibilita' di impiegare  personale  del  Ministero  della
difesa, secondo termini e modalita' da definire con apposito  decreto
del Presidente del Consiglio dei ministri; 
    f) le ipotesi di incompatibilita'; 
    g)  le  modalita'  di  progressione   di   carriera   all'interno
dell'Agenzia; 
    h) la disciplina e  il  procedimento  per  la  definizione  degli
aspetti giuridici e, limitatamente ad eventuali  compensi  accessori,
economici  del  rapporto  di  impiego  del   personale   oggetto   di
negoziazione con le rappresentanze del personale; 
    i)  le  modalita'  applicative  delle  disposizioni  del  decreto
legislativo  10  febbraio  2005,  n.  30,  recante  il  Codice  della
proprieta' industriale, ai prodotti dell'ingegno ed  alle  invenzioni
dei dipendenti dell'Agenzia; 
    l) i casi di cessazione dal  servizio  del  personale  assunto  a
tempo indeterminato ed i casi di anticipata risoluzione dei  rapporti
a tempo determinato; 
    m) quali delle disposizioni possono essere oggetto  di  revisione
per effetto della negoziazione con le rappresentanze del personale. 
  3. Qualora le assunzioni di cui al comma 2, lettera b),  riguardino
professori  universitari  di   ruolo   o   ricercatori   universitari
confermati si applicano le disposizioni di cui  all'articolo  12  del
decreto del Presidente della Repubblica 11 luglio 1980, n. 382, anche
per quanto riguarda il collocamento in aspettativa. 
  4. In sede di prima  applicazione  delle  disposizioni  di  cui  al
presente  decreto,  il  numero  di  posti  previsti  dalla  dotazione
organica dell'Agenzia e'  individuato  nella  misura  complessiva  di
trecento unita', di  cui  fino  a  un  massimo  di  otto  di  livello
dirigenziale  generale,  fino  a  un  massimo  di   24   di   livello
dirigenziale non generale e fino  a  un  massimo  di  268  unita'  di
personale non dirigenziale. 
  5. Con  decreti  del  Presidente  del  Consiglio  dei  ministri  di
concerto con il Ministro dell'economia e delle finanze, la  dotazione
organica  puo'  essere  rideterminata  nei   limiti   delle   risorse
finanziarie destinate alle spese per il personale di cui all'articolo
18, comma 1. Dei  provvedimenti  adottati  in  materia  di  dotazione
organica dell'Agenzia e' data tempestiva e motivata comunicazione  al
presidente del COPASIR. 
  6. Le assunzioni effettuate in violazione  delle  disposizioni  del
presente decreto o del regolamento di cui al presente  articolo  sono
nulle, ferma restando la responsabilita'  personale,  patrimoniale  e
disciplinare di chi le ha disposte. 
  7. Fatto salvo quanto previsto dall'articolo 42 della legge n.  124
del 2007, il personale che presta  comunque  la  propria  opera  alle
dipendenze  o  in  favore  dell'Agenzia  e'  tenuto,  anche  dopo  la
cessazione di tale attivita', al rispetto del segreto su cio' di  cui
sia venuto a  conoscenza  nell'esercizio  o  a  causa  delle  proprie
funzioni. 
  8. Il regolamento di cui al comma 1 e' adottato,  entro  centoventi
giorni dalla data di entrata in vigore della legge di conversione del
presente decreto,  con  decreto  del  Presidente  del  Consiglio  dei
ministri, anche in deroga all'articolo 17 della legge 23 agosto 1988,
n. 400, previo parere del COPASIR e sentito il CIC. 
                               Art. 13 
 
                   Trattamento dei dati personali 
 
  1. Il trattamento  dei  dati  personali  svolto  per  finalita'  di
sicurezza  nazionale  in  applicazione  del   presente   decreto   e'
effettuato ai sensi dell'articolo  58,  commi  2  e  3,  del  decreto
legislativo 30 giugno 2003, n. 196. 
                               Art. 14 
 
                          Relazioni annuali 
 
  1. Entro il 30 aprile di ogni anno, il Presidente del Consiglio dei
ministri trasmette al Parlamento una relazione sull'attivita'  svolta
dall'Agenzia  nell'anno  precedente,  in  materia  di  cybersicurezza
nazionale. 
  2. Entro il 30 giugno di ogni anno, il Presidente del Consiglio dei
ministri trasmette al COPASIR una relazione  sulle  attivita'  svolte
nell'anno precedente dall'Agenzia  in  raccordo  con  il  Sistema  di
informazione per la sicurezza della Repubblica di cui alla  legge  n.
124  del  2007,  nonche'  in  relazione  agli  ambiti  di   attivita'
dell'Agenzia sottoposti  al  controllo  del  Comitato  ai  sensi  del
presente decreto. 
                               Art. 15 
 
              Modificazioni al decreto legislativo NIS 
 
  1.  Al  decreto  legislativo  NIS,  sono  apportate   le   seguenti
modificazioni: 
    a) all'articolo 1, comma 2, lettera  a),  le  parole:  «strategia
nazionale di sicurezza cibernetica» sono sostituite  dalle  seguenti:
«strategia nazionale di cybersicurezza»; 
    b) all'articolo  1,  comma  2,  lettera  b),  le  parole:  «delle
autorita'  nazionali  competenti»  sono  sostituite  dalle  seguenti:
«dell'autorita'  nazionale  competente  NIS,   delle   autorita'   di
settore»; 
    c)  all'articolo  3,  lettera  a),  le  parole   da:   «autorita'
competente NIS» a: «per settore,»  sono  sostituite  dalle  seguenti:
«autorita' nazionale competente  NIS,  l'autorita'  nazionale  unica,
competente»; 
    d) all'articolo 3, dopo la lettera a), e' inserita  la  seguente:
«a-bis) autorita' di settore, le autorita'  di  cui  all'articolo  7,
comma 1, lettere da a) a e)»; 
    e) all'articolo 4, il comma 6 e' sostituito dal seguente: 
      «6. L'elenco degli operatori di servizi essenziali identificati
ai sensi del comma 1 e' riesaminato e, se  del  caso,  aggiornato  su
base regolare, e almeno ogni due anni dopo il 9 maggio 2018,  con  le
seguenti modalita': 
        a) le autorita'  di  settore,  in  relazione  ai  settori  di
competenza, propongono  all'autorita'  nazionale  competente  NIS  le
variazioni all'elenco degli operatori dei servizi essenziali, secondo
i criteri di cui ai commi 2 e 3; 
        b)  le  proposte  sono  valutate   dall'autorita'   nazionale
competente  NIS  che,  con  propri   provvedimenti,   provvede   alle
variazioni  dell'elenco  degli  operatori  dei  servizi   essenziali,
dandone comunicazione, in relazione ai settori di  competenza,  anche
alle autorita' di settore.»; 
    f)  all'articolo  6,  nella  rubrica,   le   parole:   «sicurezza
cibernetica» sono sostituite  dalle  seguenti:  «cybersicurezza»;  ai
commi 1, 2 e 3, le parole: «sicurezza  cibernetica»  sono  sostituite
dalla  seguente:  «cybersicurezza»;  al  comma  4,  le  parole:   «La
Presidenza  del  Consiglio  dei  ministri»  sono   sostituite   dalle
seguenti: «L'Agenzia per la cybersicurezza» e le  parole:  «sicurezza
cibernetica» sono sostituite dalle seguenti: «cybersicurezza»; 
    g) l'articolo 7 e' sostituito dal seguente: 
      «Art. 7 (Autorita' nazionale competente  e  punto  di  contatto
unico). - 1. L'Agenzia per la cybersicurezza nazionale  e'  designata
quale autorita' nazionale competente NIS per i settori e sottosettori
di cui all'allegato II e per i servizi di cui all'allegato III.  Sono
designate quali autorita' di settore: 
        a) il Ministero dello  sviluppo  economico,  per  il  settore
infrastrutture digitali, sottosettori IXP, DNS, TLD,  nonche'  per  i
servizi digitali; 
        b)  il  Ministero  delle  infrastrutture  e  della  mobilita'
sostenibili,  per   il   settore   trasporti,   sottosettori   aereo,
ferroviario, per vie d'acqua e su strada; 
        c) il Ministero dell'economia e delle finanze, per il settore
bancario e per il settore infrastrutture dei mercati  finanziari,  in
collaborazione con  le  autorita'  di  vigilanza  di  settore,  Banca
d'Italia e Consob, secondo modalita' di collaborazione e  di  scambio
di informazioni stabilite con decreto del  Ministro  dell'economia  e
delle finanze; 
        d) il Ministero della salute, per l'attivita'  di  assistenza
sanitaria, come definita dall'articolo 3, comma 1,  lettera  a),  del
decreto legislativo 4 marzo 2014, n.  38,  prestata  dagli  operatori
dipendenti o incaricati dal medesimo Ministero o convenzionati con lo
stesso, e le Regioni e le Province autonome di Trento e  di  Bolzano,
direttamente   o   per   il   tramite   delle   Autorita'   sanitarie
territorialmente competenti, per le attivita' di assistenza sanitaria
prestata dagli operatori autorizzati e accreditati  delle  Regioni  o
dalle Province  autonome  negli  ambiti  territoriali  di  rispettiva
competenza; 
        e) il Ministero della transizione ecologica  per  il  settore
energia, sottosettori energia elettrica, gas e petrolio; 
        f) il Ministero della transizione ecologica e le Regioni e le
Province autonome di Trento e  di  Bolzano,  direttamente  o  per  il
tramite delle Autorita' territorialmente  competenti,  in  merito  al
settore fornitura e distribuzione di acqua potabile. 
      2.  L'autorita'  nazionale  competente  NIS   e'   responsabile
dell'attuazione del presente decreto con riguardo ai settori  di  cui
all'allegato II e  ai  servizi  di  cui  all'allegato  III  e  vigila
sull'applicazione  del  presente   decreto   a   livello   nazionale,
esercitando altresi' le relative potesta' ispettive e sanzionatorie. 
      3. L'Agenzia per la cybersicurezza nazionale e' designata quale
punto di contatto unico in materia di  sicurezza  delle  reti  e  dei
sistemi informativi. 
      4.  Il  punto  di  contatto  unico  svolge  una   funzione   di
collegamento   per   garantire   la   cooperazione   transfrontaliera
dell'autorita' nazionale competente NIS con le  autorita'  competenti
degli altri Stati membri, nonche' con il gruppo  di  cooperazione  di
cui all'articolo 10 e la rete di CSIRT di cui all'articolo 11. 
      5.  Il  punto  di  contatto  unico  collabora  nel  gruppo   di
cooperazione  in  modo  effettivo,  efficiente   e   sicuro   con   i
rappresentanti designati dagli altri Stati. 
      6. L'Agenzia per la cybersicurezza nazionale,  in  qualita'  di
autorita' nazionale competente NIS e  di  punto  di  contatto  unico,
consulta,  conformemente  alla  normativa  vigente,  l'autorita'   di
contrasto ed il Garante  per  la  protezione  dei  dati  personali  e
collabora con essi. 
      7.  La  Presidenza  del   Consiglio   dei   ministri   comunica
tempestivamente alla Commissione europea la designazione del punto di
contatto unico e quella dell'autorita' nazionale  competente  NIS,  i
relativi compiti e qualsiasi ulteriore  modifica.  Alle  designazioni
sono assicurate idonee forme di pubblicita'. 
      8. Agli oneri derivanti dal presente articolo pari a  1.300.000
euro a decorrere dal 2018, si provvede ai sensi dell'articolo 22.»; 
    h) all'articolo 8, comma 1, le parole da: «la Presidenza» a:  «la
sicurezza»   sono   sostituite   dalle   seguenti:   «l'Agenzia    di
cybersicurezza nazionale»; 
    i) l'articolo 9, comma 1, e' sostituito dal seguente: 
      «1.  Le  autorita'  di  settore  collaborano  con   l'autorita'
nazionale competente NIS per l'adempimento degli obblighi di  cui  al
presente decreto. A tal fine e' istituito  presso  l'Agenzia  per  la
cybersicurezza  nazionale,  un  Comitato  tecnico  di  raccordo.   Il
Comitato e' presieduto dall'autorita' nazionale competente NIS ed  e'
composto dai rappresentanti delle amministrazioni statali individuate
quali autorita' di  settore  e  da  rappresentanti  delle  Regioni  e
Province autonome in numero non  superiore  a  due,  designati  dalle
Regioni e Province autonome in sede di Conferenza  permanente  per  i
rapporti tra lo Stato, le Regioni e le Province autonome di Trento  e
di Bolzano. L'organizzazione del Comitato e' definita con decreto del
Presidente  del  Consiglio  dei  ministri,  sentita   la   Conferenza
unificata. Per la partecipazione al Comitato tecnico di raccordo  non
sono previsti gettoni di presenza, compensi o rimborsi spese.»; 
    l) all'articolo 12, comma 5, le parole da: «e,  per  conoscenza,»
a: «NIS,» sono soppresse; 
    m) all'articolo 14, comma 4, le parole da: «e,  per  conoscenza,»
a: «NIS,» sono soppresse; 
    n)  all'articolo  19,  comma  1,  le  parole:  «dalle   autorita'
competenti  NIS»  sono  sostituite  dalle  seguenti:  «dall'autorita'
nazionale competente NIS»; 
    o) all'articolo 19, il comma 2 e' abrogato; 
    p)  all'articolo  20,  comma  1,  le  parole  da:  «Le  autorita'
competenti NIS» a: «sono competenti» sono sostituite da: «L'autorita'
nazionale competente NIS e' competente»; 
    q) all'allegato I: 
      1) al punto 1, dopo la lettera  d)  e'  aggiunta  la  seguente:
«d-bis) il CSIRT Italia  conforma  i  propri  servizi  e  la  propria
attivita' alle migliori pratiche internazionalmente  riconosciute  in
materia di prevenzione, gestione e  risposta  rispetto  a  eventi  di
natura cibernetica»; 
      2) al punto 2, lettera c),  dopo  la  parola:  «standardizzate»
sono  inserite  le  seguenti:  «,  secondo   le   migliori   pratiche
internazionalmente riconosciute,». 
  2. Nel decreto legislativo NIS: 
    a)  ogni  riferimento  al  Ministero  dello  sviluppo  economico,
ovunque  ricorra,  deve  intendersi  riferito  all'Agenzia   per   la
cybersicurezza nazionale, fatta eccezione per le disposizioni di  cui
all'articolo  7,  comma  1,  lettera   a),   del   medesimo   decreto
legislativo; 
    b) ogni riferimento al  DIS,  ovunque  ricorra,  deve  intendersi
riferito all'Agenzia per la cybersicurezza nazionale; 
    c)  ogni  riferimento  alle  autorita'  competenti  NIS,  ovunque
ricorra, deve intendersi riferito all'autorita' nazionale  competente
NIS, fatta eccezione per le disposizioni di cui all'articolo 5, comma
1, del medesimo decreto legislativo; 
    d) all'articolo 5, comma 1,  alinea,  le  parole:  «le  autorita'
competenti  NIS»  sono  sostituite   dalle   seguenti:   «l'autorita'
nazionale competente NIS e le autorita' di settore»; 
    e) agli articoli 6 e 12, le parole:  «Comitato  interministeriale
per la sicurezza  della  Repubblica  (CISR)»  sono  sostituite  dalle
seguenti: «Comitato interministeriale per la cybersicurezza (CIC)». 
                               Art. 16 
 
                         Altre modificazioni 
 
  1. All'articolo 3, comma 1-bis, della legge n. 124 del  2007,  dopo
le parole: «della presente legge» sono aggiunte le  seguenti:  «e  in
materia di cybersicurezza». 
  2. All'articolo 38 della legge n. 124 del 2007, il comma  1-bis  e'
abrogato. 
  3. La denominazione: «CSIRT Italia» sostituisce, ad ogni effetto  e
ovunque presente in provvedimenti  legislativi  e  regolamentari,  la
denominazione: «CSIRT Italiano». 
  4.   Nel   decreto-legge    perimetro    le    parole:    «Comitato
interministeriale per la sicurezza della Repubblica (CISR)» e «CISR»,
ovunque ricorrano, sono rispettivamente  sostituite  dalle  seguenti:
«Comitato interministeriale per la  cybersicurezza  (CIC)»  e  «CIC»,
fatta eccezione  per  le  disposizioni  di  cui  all'articolo  5  del
medesimo decreto-legge. 
  5. Nel decreto-legge perimetro  ogni  riferimento  al  Dipartimento
delle informazioni per la sicurezza, o al DIS, ovunque ricorra, e' da
intendersi riferito all'Agenzia per  la  cybersicurezza  nazionale  e
ogni riferimento  al  Nucleo  per  la  sicurezza  cibernetica  e'  da
intendersi riferito al Nucleo per la cybersicurezza. 
  6. Nel decreto-legge perimetro: 
    a) ogni riferimento al Ministero dello sviluppo economico e  alla
Presidenza  del  Consiglio  dei  ministri,  ovunque  ricorra,  e'  da
intendersi riferito all'Agenzia per la cybersicurezza nazionale; 
    b) all'articolo 1, comma 8, lettera a), le parole  da:  «definite
dalla Presidenza del Consiglio dei ministri» a: «decreto  legislativo
18 maggio 2018, n. 65»  sono  sostituite  dalle  seguenti:  «definite
dall'Agenzia per la cybersicurezza nazionale»; 
    c) all'articolo 1, comma 8, lettera b), le parole: «all'autorita'
competente» sono  sostituite  dalle  seguenti:  «autorita'  nazionale
competente NIS». 
  7. Nei provvedimenti di natura regolamentare  e  amministrativa  la
cui adozione e' prevista dall'articolo 1 del decreto-legge perimetro,
ogni riferimento al CISR e al  DIS  deve  intendersi  rispettivamente
riferito al CIC e all'Agenzia per la cybersicurezza nazionale. 
  8. Nei provvedimenti di natura regolamentare  e  amministrativa  la
cui adozione e' prevista dall'articolo 1 del decreto-legge perimetro,
ogni  riferimento  al  Ministero  dello  sviluppo  economico  e  alla
struttura della Presidenza del Consiglio dei ministri competente  per
la innovazione tecnologica e la  digitalizzazione,  ovunque  ricorra,
deve intendersi riferito all'Agenzia per la cybersicurezza nazionale,
fatta eccezione per le  disposizioni  di  cui  agli  articoli  3  del
decreto del Presidente del Consiglio dei ministri n. 131 del 2020. 
  9.  Al  decreto-legge  perimetro   sono   apportate   le   seguenti
modificazioni: 
    a) all'articolo 1, comma 6, lettera a), dopo il primo periodo  e'
inserito  il  seguente:  «L'obbligo  di  comunicazione  di  cui  alla
presente lettera  e'  efficace  a  decorrere  dal  trentesimo  giorno
successivo  alla  pubblicazione  nella   Gazzetta   Ufficiale   della
Repubblica italiana del decreto  del  Presidente  del  Consiglio  dei
ministri che, sentita  l'Agenzia  per  la  cybersicurezza  nazionale,
attesta l'operativita' del CVCN e comunque dal 30 giugno 2022.»; 
    b) all'articolo 3, il comma 2 e' abrogato; 
    c) a decorrere dalla data in cui diviene  efficace  l'obbligo  di
comunicazione disciplinato dalla lettera a), all'articolo 3: 
      1) il comma 1 e' sostituito dal seguente: «1.  I  soggetti  che
intendono procedere all'acquisizione, a qualsiasi  titolo,  di  beni,
servizi  e  componenti  di  cui  all'articolo  1-bis,  comma  2,  del
decreto-legge 15 marzo 2012, n. 21,  convertito,  con  modificazioni,
dalla legge 11 maggio 2012, n. 56, sono obbligati  ad  effettuare  la
comunicazione di cui all'articolo 1, comma  6,  lettera  a),  per  lo
svolgimento delle verifiche di sicurezza da parte del CVCN sulla base
delle procedure, modalita' e  termini  previsti  dal  regolamento  di
attuazione. Ai fornitori di predetti beni, servizi  e  componenti  si
applica l'articolo 1, comma 6, lettera b).»; 
      2) il comma 3 e' abrogato; 
  10. A decorrere dalla data in cui  diviene  efficace  l'obbligo  di
comunicazione disciplinato dal comma 9, lettera a), al  decreto-legge
15 marzo 2012, n. 21, convertito, con modificazioni, dalla  legge  11
maggio 2012, n. 56, il comma 3-bis dell'articolo 1-bis e'  sostituito
dal seguente: «3-bis. Entro dieci  giorni  dalla  conclusione  di  un
contratto o accordo di cui al comma 2, l'impresa che ha acquisito,  a
qualsiasi titolo, i beni  o  i  servizi  di  cui  allo  stesso  comma
notifica alla Presidenza del Consiglio  dei  ministri  un'informativa
completa, contenente anche la comunicazione del Centro di valutazione
e  certificazione  nazionale   (CVCN),   relativa   all'esito   della
valutazione e alle eventuali  prescrizioni,  in  modo  da  consentire
l'eventuale  esercizio  del  potere  di  veto  o   l'imposizione   di
specifiche prescrizioni o condizioni. Qualora il contratto sia  stato
stipulato antecedentemente alla  conclusione  dei  test  imposti  dal
CVCN, il termine di cui al primo periodo decorre dalla  comunicazione
di esito positivo della valutazione effettuata dal CVCN. Entro trenta
giorni dalla notifica,  il  Presidente  del  Consiglio  dei  ministri
comunica  l'eventuale  veto  ovvero   l'imposizione   di   specifiche
prescrizioni o condizioni. I poteri speciali  sono  esercitati  nella
forma  dell'imposizione  di  specifiche  prescrizioni  o   condizioni
ogniqualvolta cio' sia sufficiente  ad  assicurare  la  tutela  degli
interessi  essenziali  della  difesa  e  della  sicurezza  nazionale.
Decorsi i predetti  termini,  i  poteri  speciali  si  intendono  non
esercitati.  Qualora  si  renda  necessario  richiedere  informazioni
all'acquirente, tale termine e' sospeso, per una sola volta, fino  al
ricevimento delle informazioni richieste,  che  sono  rese  entro  il
termine di  dieci  giorni.  Qualora  si  renda  necessario  formulare
richieste istruttorie a soggetti terzi, il predetto termine di trenta
giorni e' sospeso, per una sola  volta,  fino  al  ricevimento  delle
informazioni richieste, che sono  rese  entro  il  termine  di  venti
giorni. Le richieste di informazioni e  le  richieste  istruttorie  a
soggetti terzi successive alla prima non  sospendono  i  termini.  In
caso di incompletezza della notifica, il  termine  di  trenta  giorni
previsto  dal  presente   comma   decorre   dal   ricevimento   delle
informazioni o degli elementi che la integrano. Fermo restando quanto
previsto in materia di sanzioni al presente comma, nel  caso  in  cui
l'impresa notificante abbia iniziato  l'esecuzione  del  contratto  o
dell'accordo oggetto della notifica prima che sia decorso il  termine
per  l'esercizio  dei  poteri  speciali,  ovvero  abbia  eseguito  il
contratto o accordo in violazione del decreto di esercizio dei poteri
speciali, il Governo puo' ingiungere all'impresa  di  ripristinare  a
proprie spese la situazione anteriore. Salvo che il fatto costituisca
reato, chiunque non osservi  gli  obblighi  di  notifica  di  cui  al
presente articolo ovvero le disposizioni contenute nel  provvedimento
di  esercizio  dei  poteri  speciali  e'   soggetto   alla   sanzione
amministrativa  pecuniaria  fino  al  150  per   cento   del   valore
dell'operazione e comunque non inferiore al 25 per cento del medesimo
valore. Nei casi di violazione degli obblighi di notifica di  cui  al
presente articolo, anche in assenza della notifica, la Presidenza del
Consiglio  dei  ministri  puo'  avviare  il  procedimento   ai   fini
dell'eventuale esercizio dei poteri speciali. A tale  scopo,  trovano
applicazione i termini e le norme procedurali previsti  dal  presente
comma. Il termine di trenta giorni di cui al presente  comma  decorre
dalla conclusione del procedimento di accertamento  della  violazione
dell'obbligo di notifica». 
  11. All'articolo 135 del decreto legislativo 2 luglio 2010, n. 104,
dopo la lettera h), e' aggiunta la seguente: «h-bis) le  controversie
aventi ad oggetto i provvedimenti dell'Agenzia per la  cybersicurezza
nazionale;». 
  12. Alla legge 22 aprile 2021, n. 53, sono  apportate  le  seguenti
modificazioni: 
    a)  all'articolo  4,  comma  1,  lettera  b),  dopo  le   parole:
«Ministero dello sviluppo economico» sono aggiunte  le  seguenti:  «e
l'Agenzia per la cybersicurezza nazionale»; 
    b) all'articolo 18, ogni riferimento al Ministero dello  sviluppo
economico, ovunque ricorra, deve intendersi riferito all'Agenzia  per
la cybersicurezza nazionale. 
  13. All'articolo 33-septies, comma 4, del decreto-legge 18  ottobre
2012, n. 179, convertito, con modificazioni, dalla legge 17  dicembre
2012, n. 221, le parole: «L'AgID»  sono  sostituite  dalle  seguenti:
«L'Agenzia per la cybersicurezza nazionale». 
  14. Al decreto legislativo 1° agosto 2003, n. 259,  sono  apportate
le seguenti modificazioni: 
    a) agli articoli 16-bis e 16-ter, ogni riferimento  al  Ministero
dello sviluppo economico, ovunque ricorra, deve  intendersi  riferito
all'Agenzia per la cybersicurezza nazionale; 
    b) all'articolo 16-ter,  comma  1,  le  parole:  «Ministro  dello
sviluppo economico» sono sostituite dalle seguenti:  «Presidente  del
Consiglio dei ministri»; 
    c) all'articolo 16-ter, comma 2, lettera b),  le  parole:  «,  in
collaborazione con gli Ispettorati territoriali del  Ministero  dello
sviluppo economico,» sono soppresse. 
                               Art. 17 
 
                  Disposizioni transitorie e finali 
 
  1. Per lo svolgimento delle  funzioni  ispettive,  di  accertamento
delle violazioni e di irrogazione delle sanzioni, di cui all'articolo
7, l'Agenzia puo' provvedere, oltre che con  proprio  personale,  con
l'ausilio dell'organo centrale  del  Ministero  dell'interno  per  la
sicurezza e per la regolarita' dei servizi  di  telecomunicazione  di
cui all'articolo 7-bis del decreto-legge  27  luglio  2005,  n.  144,
convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155. 
  2. Per lo svolgimento delle funzioni relative all'attuazione  e  al
controllo dell'esecuzione dei  provvedimenti  assunti  da  parte  del
Presidente del Consiglio dei ministri ai sensi  dell'articolo  5  del
decreto-legge perimetro, l'Agenzia provvede con l'ausilio dell'organo
centrale del  Ministero  dell'interno  per  la  sicurezza  e  per  la
regolarita' dei servizi  di  telecomunicazione  di  cui  all'articolo
7-bis del decreto-legge 27  luglio  2005,  n.  144,  convertito,  con
modificazioni, dalla legge 31 luglio 2005, n. 155. 
  3. Il personale  dell'Agenzia,  nello  svolgimento  delle  funzioni
ispettive, di accertamento delle violazioni e  di  irrogazione  delle
sanzioni, di cui all'articolo  7,  nonche'  delle  funzioni  relative
all'attuazione  e  al  controllo  dell'esecuzione  dei  provvedimenti
assunti da parte del Presidente del Consiglio dei ministri  ai  sensi
dell'articolo 5 del decreto-legge perimetro, riveste la qualifica  di
pubblico ufficiale. 
  4.  Il  personale  dell'Agenzia  addetto  al  CSIRT  Italia,  nello
svolgimento delle proprie funzioni, riveste la qualifica di  pubblico
ufficiale. La trasmissione delle notifiche di incidente ricevute  dal
CSIRT Italia all'organo centrale del Ministero  dell'interno  per  la
sicurezza e per la regolarita' dei servizi  di  telecomunicazione  di
cui all'articolo 7-bis del decreto-legge  27  luglio  2005,  n.  144,
convertito, con modificazioni, dalla legge 31 luglio  2005,  n.  155,
costituisce adempimento dell'obbligo  di  cui  all'articolo  331  del
codice di procedura penale. 
  5. Con  uno  o  piu'  decreti  del  Presidente  del  Consiglio  dei
ministri, di concerto con il Ministro dell'economia e delle  finanze,
da adottare entro centottanta giorni dalla data di entrata in  vigore
della legge di conversione del  presente  decreto,  sono  definiti  i
termini e le modalita': 
    a) per assicurare la prima  operativita'  dell'Agenzia,  mediante
l'individuazione di appositi spazi,  in  via  transitoria  e  per  un
massimo  di  ventiquattro  mesi,  secondo  opportune  intese  con  le
amministrazioni interessate, per l'attuazione delle disposizioni  del
presente decreto; 
    b) mediante opportune intese con le amministrazioni  interessate,
per il trasferimento delle funzioni di cui  all'articolo  7,  nonche'
per il trasferimento dei beni  strumentali  e  della  documentazione,
anche di natura classificata, per l'attuazione delle disposizioni del
presente decreto e la corrispondente riduzione di risorse finanziarie
ed umane da parte delle amministrazioni cedenti. 
  6. In relazione al trasferimento delle funzioni di cui all'articolo
7, comma 1, lettera m), dall'AgID all'Agenzia, i decreti  di  cui  al
comma 5 definiscono, altresi', i raccordi tra le due amministrazioni,
per le funzioni che restano di competenza di AgID. 
  7. Al fine di assicurare la  prima  operativita'  dell'Agenzia,  il
direttore generale dell'Agenzia, fino all'adozione dei regolamenti di
cui all'articolo 11, commi 3 e 5, identifica e assume gli impegni  di
spesa che verranno  liquidati  a  cura  del  DIS,  nell'ambito  delle
risorse destinate all'Agenzia. Entro 90 giorni dall'approvazione  dei
regolamenti di  cui  all'articolo  11,  commi  3  e  5,  delle  spese
effettuate ai sensi del presente comma, il Presidente  del  Consiglio
dei ministri ne da' informazione al COPASIR. 
  8. In sede di prima  applicazione  delle  disposizioni  di  cui  al
presente decreto e per un periodo massimo di  sei  mesi,  prorogabile
una sola volta per un massimo di ulteriori sei mesi, dalla data della
nomina del direttore generale dell'Agenzia, l'Agenzia si avvale di un
nucleo di personale, non superiore al 30 per  cento  della  dotazione
organica complessiva iniziale, di unita'  appartenenti  al  Ministero
dello sviluppo economico, all'Agenzia per l'Italia digitale, al  DIS,
ad altre pubbliche amministrazioni e ad autorita' indipendenti, messo
a disposizione dell'Agenzia stessa su specifica richiesta  e  secondo
modalita'   individuate   mediante   intese   con    le    rispettive
amministrazioni di appartenenza. Il relativo  onere  resta  a  carico
dell'amministrazione di appartenenza. 
  9. Il regolamento di cui all'articolo 12, comma 1, prevede apposite
modalita' selettive per l'inquadramento, nella misura massima del  50
per cento della dotazione organica complessiva, del personale di  cui
al comma 8 e del personale di cui all'articolo 12, comma  2,  lettera
b),  ove  gia'  appartenente  alla  pubblica   amministrazione,   nel
contingente di personale  addetto  all'Agenzia  di  cui  al  medesimo
articolo  12,  che  tengano  conto  delle  mansioni  svolte  e  degli
incarichi ricoperti durante il periodo di servizio presso  l'Agenzia,
nonche'   delle   competenze   possedute   e   dei    requisiti    di
professionalita' ed esperienza richiesti per le specifiche posizioni.
Gli inquadramenti conseguenti alle  procedure  selettive  di  cui  al
presente comma, relative al personale di cui al  comma  8,  decorrono
allo scadere dei sei mesi o della relativa proroga e,  comunque,  non
oltre il 30 giugno 2022. 
  10. L'Agenzia si avvale del patrocinio dell'Avvocatura dello Stato,
ai sensi dell'articolo 1 del testo unico approvato con regio  decreto
30 ottobre 1933, n. 1611. 
                               Art. 18 
 
                      Disposizioni finanziarie 
 
  1. Per l'attuazione degli articoli da 5 a  7  e'  istituito,  nello
stato di previsione del Ministero dell'economia e delle  finanze,  un
apposito capitolo con una dotazione di 2.000.000 di euro  per  l'anno
2021, 41.000.000 di euro per l'anno  2022,  70.000.000  di  euro  per
l'anno 2023, 84.000.000 di euro per l'anno 2024, 100.000.000 di  euro
per l'anno 2025, 110.000.000 di euro per l'anno 2026 e 122.000.000 di
euro annui a decorrere dall'anno 2027. 
  2. Agli oneri di cui al comma 1, si provvede mediante corrispondete
riduzione dell'autorizzazione di spesa di cui all'articolo  1,  comma
200, della legge 23 dicembre 2014, n. 190. 
  3.  Le  risorse  iscritte   sui   bilanci   delle   amministrazioni
interessate, correlate alle funzioni ridefinite ai sensi del presente
decreto a decorrere dall'entrata  in  servizio  dell'Agenzia  di  cui
all'articolo 5, sono accertate, anche in conto residui,  con  decreto
del Ministro  dell'economia  e  delle  finanze,  di  concerto  con  i
Ministri responsabili, e portate  ad  incremento  del  Fondo  di  cui
all'articolo 1, comma 200, della legge  23  dicembre  2014,  n.  190,
anche mediante versamento all'entrata  del  bilancio  dello  Stato  e
successiva riassegnazione in spesa. 
  4. I proventi  di  cui  all'articolo  11,  comma  2,  sono  versati
all'entrata del bilancio  dello  Stato,  per  essere  riassegnati  al
capitolo di cui al comma 1. 
  5.  Ai  fini  dell'immediata  attuazione  delle  disposizioni   del
presente  decreto  il  Ministro  dell'economia  e  delle  finanze  e'
autorizzato ad apportare, con propri decreti, anche in conto residui,
le occorrenti variazioni di bilancio per  l'attuazione  del  presente
decreto. 
                               Art. 19 
 
                          Entrata in vigore 
 
  1. Il presente decreto entra  in  vigore  il  giorno  successivo  a
quello  della  sua  pubblicazione  nella  Gazzetta  Ufficiale   della
Repubblica italiana e sara' presentato alle Camere per la conversione
in legge. 
  Il presente decreto, munito del sigillo dello Stato, sara' inserito
nella  Raccolta  ufficiale  degli  atti  normativi  della  Repubblica
italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo
osservare. 
    Dato a Roma, addi' 14 giugno 2021 
 
                             MATTARELLA 
 
                                Draghi, Presidente del Consiglio  dei
                                ministri 
 
Visto, il Guardasigilli: Cartabia 

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati