Cybersicurezza: è legge il DL sull'agenzia nazionale. Sulla Gazzetta Ufficiale del 4 agosto 2021, n. 185 è stata, infatti, pubblicata la legge 4 agosto 2021, n. 109 di conversione, con modifiche, del decreto-legge 14 giugno 2021, n. 82 recante «Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale».
Di seguito il testo coordinato (le modifiche sono riportate in corsivo grassetto tra doppie parentesi tonde).
Clicca qui per leggere il D.P.C.M. 15 giugno 2021 sulle categorie di beni, sistemi e servizi Ict destinati a essere i impiegati nel perimetro della sicurezza nazionale cibernetica
Non sei ancora abbonato ad Ambiente&Sicurezza? Clicca qui
Testo coordinato del decreto-legge 14 giugno 2021, n. 82
Testo del decreto-legge 14 giugno 2021, n. 82 (in Gazzetta Ufficiale
- Serie generale - n. 140 del 14 giugno 2021), coordinato con la
legge di conversione 4 agosto 2021, n. 109 (in questa stessa Gazzetta
Ufficiale - alla pag. 1), recante: «Disposizioni urgenti in materia
di cybersicurezza, definizione dell'architettura nazionale di
cybersicurezza e istituzione dell'Agenzia per la cybersicurezza
nazionale». (21A04841)
(in Gazzetta Ufficiale del 4 agosto 2021, n. 185)
Vigente al: 4-8-2021
Avvertenza:
Il testo coordinato qui pubblicato e' stato redatto dal Ministero
della giustizia ai sensi dell'art. 11, comma 1, del testo unico delle
disposizioni sulla promulgazione delle leggi, sull'emanazione dei
decreti del Presidente della Repubblica e sulle pubblicazioni
ufficiali della Repubblica italiana, approvato con D.P.R. 28 dicembre
1985, n. 1092, nonche' dell'art. 10, comma 3, del medesimo testo
unico, al solo fine di facilitare la lettura sia delle disposizioni
del decreto-legge, integrate con le modifiche apportate dalla legge
di conversione, che di quelle richiamate nel decreto, trascritte
nelle note. Restano invariati il valore e l'efficacia degli atti
legislativi qui riportati.
Le modifiche apportate dalla legge di conversione sono stampate
con caratteri corsivi.
A norma dell'art. 15, comma 5, della legge 23 agosto 1988, n. 400
(Disciplina dell'attivita' di Governo e ordinamento della Presidenza
del Consiglio dei Ministri), le modifiche apportate dalla legge di
conversione hanno efficacia dal giorno successivo a quello della sua
pubblicazione.
Per gli atti dell'Unione europea vengono forniti gli estremi di
pubblicazione nella Gazzetta Ufficiale dell'Unione europea (GUUE).
Art. 1
Definizioni
((1. Ai fini del presente decreto si intende per:
a) cybersicurezza, l'insieme delle attivita', fermi restando le
attribuzioni di cui alla legge 3 agosto 2007, n. 124, e gli obblighi
derivanti da trattati internazionali, necessarie per proteggere dalle
minacce informatiche reti, sistemi informativi, servizi informatici e
comunicazioni elettroniche, assicurandone la disponibilita', la
confidenzialita' e l'integrita' e garantendone la resilienza, anche
ai fini della tutela della sicurezza nazionale e dell'interesse
nazionale nello spazio cibernetico;
b) resilienza nazionale nello spazio cibernetico, le attivita'
volte a prevenire un pregiudizio per la sicurezza nazionale come
definito dall'articolo 1, comma 1, lettera f), del regolamento di cui
al decreto del Presidente del Consiglio dei ministri 30 luglio 2020,
n. 131;
c) decreto-legge perimetro, il decreto-legge 21 settembre 2019,
n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019,
n. 133, recante disposizioni urgenti in materia di perimetro di
sicurezza nazionale cibernetica e di disciplina dei poteri speciali
nei settori di rilevanza strategica;
d) decreto legislativo NIS, il decreto legislativo 18 maggio
2018, n. 65, di attuazione della direttiva (UE) 2016/1148 del
Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure
per un livello comune elevato di sicurezza delle reti e dei sistemi
informativi nell'Unione;
e) strategia nazionale di cybersicurezza, la strategia di cui
all'articolo 6 del decreto legislativo NIS.))
Art. 2
Competenze del Presidente del Consiglio dei ministri
1. Al Presidente del Consiglio dei ministri sono attribuite in via
esclusiva:
a) l'alta direzione e la responsabilita' generale delle politiche
di cybersicurezza;
b) l'adozione della strategia nazionale di cybersicurezza,
sentito il Comitato interministeriale per la cybersicurezza (CIC) di
cui all'articolo 4;
c) la nomina e la revoca del direttore generale e del vice
direttore generale dell'Agenzia per la cybersicurezza nazionale di
cui all'articolo 5, ((previa deliberazione del Consiglio dei
ministri.))
2. Ai fini dell'esercizio delle competenze di cui al comma 1,
lettera a), e dell'attuazione della strategia nazionale di
cybersicurezza, il Presidente del Consiglio dei ministri, sentito il
CIC, impartisce le direttive per la cybersicurezza ed emana ogni
disposizione necessaria per l'organizzazione e il funzionamento
dell'Agenzia per la cybersicurezza nazionale.
3. Il Presidente del Consiglio dei ministri informa preventivamente
((il Comitato parlamentare per la sicurezza della Repubblica
(COPASIR), di cui all'articolo 30 della legge 3 agosto 2007, n. 124,
e le Commissioni parlamentari competenti)) circa le nomine di cui al
comma 1, lettera ((c), del presente articolo.))
Art. 3
Autorita' delegata
1. Il Presidente del Consiglio dei ministri, ove lo ritenga
opportuno, puo' delegare ((all'Autorita')) di cui all'articolo 3
della ((legge 3 agosto 2007, n. 124, ove istituita, denominata di
seguito: «Autorita' delegata»)), le funzioni di cui al presente
decreto che non sono ad esso attribuite in via esclusiva.
2. Il Presidente del Consiglio dei ministri e' costantemente
informato dall'Autorita' delegata sulle modalita' di esercizio delle
funzioni delegate ai sensi del presente decreto e, fermo restando il
potere di direttiva, puo' in qualsiasi momento avocare l'esercizio di
tutte o di alcune di esse.
3. L'Autorita' delegata, in relazione alle funzioni delegate ai
sensi del presente decreto, partecipa alle riunioni del Comitato
interministeriale per la transizione digitale di cui all'articolo 8
del decreto-legge 1° marzo 2021, n. 22, convertito, con
modificazioni, dalla legge 22 aprile 2021, n. 55.
Art. 4
Comitato interministeriale per la cybersicurezza
1. Presso la Presidenza del Consiglio dei ministri e' istituito il
Comitato interministeriale per la cybersicurezza (CIC), con funzioni
di consulenza, proposta e vigilanza in materia di politiche di
cybersicurezza.
2. Il Comitato:
a) propone al Presidente del Consiglio dei ministri gli indirizzi
generali da perseguire nel quadro delle politiche di cybersicurezza
nazionale;
b) esercita l'alta sorveglianza sull'attuazione della strategia
nazionale di cybersicurezza;
c) promuove l'adozione delle iniziative necessarie per favorire
l'efficace collaborazione, a livello nazionale e internazionale, tra
i soggetti istituzionali e gli operatori privati interessati alla
cybersicurezza, nonche' per la condivisione delle informazioni e per
l'adozione di migliori pratiche e di misure rivolte all'obiettivo
della cybersicurezza e allo sviluppo industriale, tecnologico e
scientifico in materia di cybersicurezza;
d) esprime il parere sul bilancio preventivo e sul bilancio
consuntivo dell'Agenzia per la cybersicurezza nazionale.
3. Il Comitato e' presieduto dal Presidente del Consiglio dei
ministri ed e' composto dall'Autorita' delegata, ove istituita, dal
Ministro degli affari esteri e della cooperazione internazionale, dal
Ministro dell'interno, dal Ministro della giustizia, dal Ministro
della difesa, dal Ministro dell'economia e delle finanze, dal
Ministro dello sviluppo economico, dal Ministro della transizione
ecologica, dal Ministro dell'universita' e della ricerca, dal
Ministro delegato per l'innovazione tecnologica e la transizione
digitale e dal Ministro delle infrastrutture e della mobilita'
sostenibili.
4. Il direttore generale dell'Agenzia ((per la cybersicurezza
nazionale)) svolge le funzioni di segretario del Comitato.
5. Il Presidente del Consiglio dei ministri puo' chiamare a
partecipare alle sedute del Comitato, anche a seguito di loro
richiesta, senza diritto di voto, altri componenti del Consiglio dei
ministri, nonche' altre autorita' civili e militari di cui, di volta
in volta, ritenga necessaria la presenza in relazione alle questioni
da trattare.
6. Il Comitato svolge altresi' le funzioni gia' attribuite al
((Comitato interministeriale per la sicurezza della Repubblica
(CISR), di cui all'articolo 5 della legge 3 agosto 2007, n. 124,))
dal decreto-legge perimetro e dai relativi provvedimenti attuativi,
fatta eccezione per quelle previste dall'articolo 5 del medesimo
decreto-legge perimetro.
Art. 5
Agenzia per la cybersicurezza nazionale
1. E' istituita, a tutela degli interessi nazionali nel campo della
cybersicurezza, l'Agenzia per la cybersicurezza nazionale, denominata
ai fini del presente decreto «Agenzia», con sede in Roma.
2. L'Agenzia ha personalita' giuridica di diritto pubblico ed e'
dotata di autonomia regolamentare, amministrativa, patrimoniale,
organizzativa, contabile e finanziaria, nei limiti di quanto previsto
dal presente decreto. Il Presidente del Consiglio dei ministri e
l'Autorita' delegata, ove istituita, si avvalgono dell'Agenzia per
l'esercizio delle competenze di cui al presente decreto.
3. Il direttore generale dell'Agenzia e' nominato tra soggetti
appartenenti a una delle categorie di cui all'articolo 18, comma 2,
della ((legge 23 agosto 1988, n. 400)), in possesso di una
documentata esperienza di elevato livello nella gestione di processi
di innovazione. Gli incarichi del direttore generale e del vice
direttore generale hanno la durata massima di quattro anni e sono
rinnovabili, con successivi provvedimenti, per una durata complessiva
massima di ulteriori quattro anni. Il ((direttore)) generale ed il
((vice direttore)) generale, ove provenienti da pubbliche
amministrazioni di cui all'articolo 1, comma 2, del decreto
legislativo 30 marzo 2001, n. 165, sono collocati fuori ruolo o in
posizione di comando o altra analoga posizione, secondo gli
ordinamenti di appartenenza. Per quanto previsto dal presente
decreto, il direttore generale dell'Agenzia e' il diretto referente
del Presidente del Consiglio dei ministri e dell'Autorita' delegata,
ove istituita, ed e' gerarchicamente e funzionalmente sovraordinato
al personale dell'Agenzia. Il direttore generale ha la rappresentanza
legale dell'Agenzia.
4. L'attivita' dell'Agenzia e' regolata dal presente decreto e
dalle disposizioni la cui adozione e' prevista dallo stesso.
5. L'Agenzia puo' richiedere, anche sulla base di apposite
convenzioni e nel rispetto degli ambiti di precipua competenza, la
collaborazione di altri organi dello Stato, di altre amministrazioni,
((delle Forze armate,)) delle forze di polizia o di enti pubblici per
lo svolgimento dei suoi compiti istituzionali.
6. Il COPASIR, ((ai sensi di quanto previsto dall'articolo 31,
comma 3, della legge 3 agosto 2007, n. 124,)) puo' chiedere
l'audizione del direttore generale dell'Agenzia su questioni di
propria competenza.
Art. 6
Organizzazione dell'Agenzia per la cybersicurezza nazionale
1. L'organizzazione e il funzionamento dell'Agenzia sono definiti
da un apposito regolamento che ne prevede, in particolare,
l'articolazione fino ad un numero massimo di otto uffici di livello
dirigenziale generale, nonche' fino ad un numero massimo di trenta
articolazioni di livello dirigenziale non generale ((nell'ambito
delle risorse finanziarie destinate all'Agenzia ai sensi
dell'articolo 18, comma 1.))
2. Sono organi dell'Agenzia il direttore generale e il Collegio dei
revisori dei conti. Con il regolamento di cui al comma 1 sono
disciplinati altresi':
a) le funzioni del direttore generale e del vice direttore
generale dell'Agenzia;
b) la composizione e il funzionamento del Collegio dei revisori
dei conti;
c) l'istituzione di eventuali sedi secondarie.
3. Il regolamento di cui al comma 1 e' adottato, entro centoventi
giorni dalla data di entrata in vigore della legge di conversione del
presente decreto, con decreto del Presidente del Consiglio dei
ministri, di concerto con il Ministro dell'economia e delle finanze,
anche in deroga all'articolo 17 della legge 23 agosto 1988, n. 400,
previo parere ((delle Commissioni parlamentari competenti per materia
e per i profili finanziari e, per i profili di competenza,)) del
COPASIR, sentito il CIC.
Art. 7
Funzioni dell'Agenzia per la cybersicurezza nazionale
1. L'Agenzia:
a) e' Autorita' nazionale per la cybersicurezza e, in relazione a
tale ruolo, assicura, nel rispetto delle competenze attribuite dalla
normativa vigente ad altre amministrazioni, ferme restando le
attribuzioni del Ministro dell'interno in qualita' di autorita'
nazionale di pubblica sicurezza, ai sensi della legge 1° aprile 1981,
n. 121, il coordinamento tra i soggetti pubblici coinvolti in materia
di cybersicurezza a livello nazionale e promuove la realizzazione di
azioni comuni dirette ad assicurare la sicurezza e la resilienza
cibernetiche per lo sviluppo della digitalizzazione del Paese, del
sistema produttivo e delle pubbliche amministrazioni, nonche' per il
conseguimento dell'autonomia, nazionale ed europea, riguardo a
prodotti e processi informatici di rilevanza strategica a tutela
degli interessi nazionali nel settore. Per le reti, i sistemi
informativi e i servizi informatici attinenti alla gestione delle
informazioni classificate restano fermi sia quanto previsto dal
regolamento adottato ai sensi dell'articolo 4, comma 3, lettera l),
della legge n. 124 del 2007, sia le competenze dell'Ufficio centrale
per la segretezza di cui all'articolo 9 della medesima legge n. 124
del 2007;
b) predispone la strategia nazionale di cybersicurezza;
c) svolge ogni necessaria attivita' di supporto al funzionamento
del Nucleo per la cybersicurezza, di cui all'articolo 8;
d) e' Autorita' nazionale competente e punto di contatto unico in
materia di sicurezza delle reti e dei sistemi informativi, per le
finalita' di cui al decreto legislativo NIS, a tutela dell'unita'
giuridica dell'ordinamento, ed e' competente all'accertamento delle
violazioni e all'irrogazione delle sanzioni amministrative previste
dal medesimo decreto;
e) e' Autorita' nazionale di certificazione della cybersicurezza
ai sensi dell'articolo 58 del regolamento (UE) 2019/881 del
Parlamento europeo e del Consiglio, del 17 aprile 2019, e assume
tutte le funzioni in materia di certificazione di sicurezza
cibernetica gia' attribuite al Ministero dello sviluppo economico
dall'ordinamento vigente, comprese quelle relative all'accertamento
delle violazioni e all'irrogazione delle sanzioni; nello svolgimento
dei compiti di cui alla presente lettera:
1) accredita, ai sensi dell'articolo 60, ((paragrafo 1)), del
regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, le
strutture specializzate del Ministero della difesa e del Ministero
dell'interno quali organismi di valutazione della conformita' per i
sistemi di rispettiva competenza;
2) delega, ai sensi dell'articolo 56, ((paragrafo 6)), lettera
b), del regolamento (UE) 2019/881 del Parlamento europeo e del
Consiglio, il Ministero della difesa e il Ministero dell'interno,
attraverso le rispettive strutture accreditate di cui al ((numero 1)
della presente lettera,)) al rilascio del certificato europeo di
sicurezza cibernetica;
f) assume tutte le funzioni in materia di cybersicurezza gia'
attribuite dalle disposizioni vigenti al Ministero dello sviluppo
economico, ivi comprese quelle relative:
1) al perimetro di sicurezza nazionale cibernetica, di cui al
decreto-legge perimetro e ai relativi provvedimenti attuativi, ivi
incluse le funzioni attribuite al Centro di valutazione e
certificazione nazionale ai sensi del decreto-legge perimetro, le
attivita' di ispezione e verifica di cui all'articolo 1, comma 6,
lettera c), del decreto-legge perimetro e quelle relative
all'accertamento delle violazioni e all'irrogazione delle sanzioni
amministrative previste dal medesimo decreto, fatte salve quelle di
cui all'articolo 3 del regolamento adottato con decreto del
Presidente del Consiglio dei ministri 30 luglio 2020, n. 131;
2) alla sicurezza e all'integrita' delle comunicazioni
elettroniche, di cui agli articoli 16-bis e 16-ter del decreto
legislativo 1° agosto 2003, n. 259, e relative disposizioni
attuative;
3) alla sicurezza delle reti e dei sistemi informativi, di cui
al decreto legislativo NIS;
g) partecipa, per gli ambiti di competenza, al gruppo di
coordinamento istituito ai sensi dei regolamenti di cui all'articolo
1, comma 8, del decreto-legge 15 marzo 2012, n. 21, convertito, con
modificazioni, dalla legge 11 maggio 2012, n. 56;
h) assume tutte le funzioni attribuite alla Presidenza del
Consiglio dei ministri in materia di perimetro di sicurezza nazionale
cibernetica, di cui al decreto-legge perimetro e ai relativi
provvedimenti attuativi, ivi incluse le attivita' di ispezione e
verifica di cui all'articolo 1, comma 6,lettera c), del decreto-legge
perimetro e quelle relative all'accertamento delle violazioni e
all'irrogazione delle sanzioni amministrative previste dal medesimo
decreto, fatte salve quelle di cui all'articolo 3 del regolamento
adottato con decreto del Presidente del Consiglio dei ministri n. 131
del 2020;
i) assume tutte le funzioni gia' attribuite al ((Dipartimento
delle informazioni per la sicurezza (DIS), di cui all'articolo 4
della legge 3 agosto 2007, n. 124,)) dal decreto-legge perimetro e
dai relativi provvedimenti attuativi e supporta il Presidente del
Consiglio dei ministri ai fini dell'articolo 1, comma 19-bis, del
decreto-legge perimetro;
l) provvede, sulla base delle attivita' di competenza del Nucleo
per la cybersicurezza di cui all'articolo 8, alle attivita'
necessarie per l'attuazione e il controllo dell'esecuzione dei
provvedimenti assunti dal Presidente del Consiglio dei ministri ai
sensi dell'articolo 5 del decreto-legge perimetro;
m) assume tutte le funzioni in materia di cybersicurezza gia'
attribuite all'Agenzia per l'Italia digitale dalle disposizioni
vigenti e, in particolare, quelle di cui all'articolo 51 del decreto
legislativo 7 marzo 2005, n. 82, ((nonche' quelle in materia)) di
adozione di linee guida contenenti regole tecniche di cybersicurezza
ai sensi dell'articolo 71 del medesimo decreto legislativo. L'Agenzia
assume, altresi', i compiti di cui all'articolo 33-septies, comma 4,
del decreto-legge 18 ottobre 2012, n. 179, convertito, con
modificazioni, dalla legge 17 dicembre 2012, n. 221, gia' attribuiti
all'Agenzia per l'Italia digitale;
((m-bis) assume le iniziative idonee a valorizzare la
crittografia come strumento di cybersicurezza, anche attraverso
un'apposita sezione dedicata nell'ambito della strategia di cui alla
lettera b). In particolare, l'Agenzia attiva ogni iniziativa utile
volta al rafforzamento dell'autonomia industriale e tecnologica
dell'Italia, valorizzando lo sviluppo di algoritmi proprietari
nonche' la ricerca e il conseguimento di nuove capacita'
crittografiche nazionali;
m-ter) provvede alla qualificazione dei servizi cloud per la
pubblica amministrazione nel rispetto della disciplina dell'Unione
europea e del regolamento di cui all'articolo 33-septies, comma 4,
del decreto-legge 18 ottobre 2012, n. 179, convertito, con
modificazioni, dalla legge 17 dicembre 2012, n. 221;))
n) sviluppa capacita' nazionali di prevenzione, monitoraggio,
rilevamento, analisi e risposta, per prevenire e gestire gli
incidenti di sicurezza informatica e gli attacchi informatici, anche
attraverso il CSIRT Italia di cui all'articolo 8 del decreto
legislativo NIS. ((A tale fine, promuove iniziative di partenariato
pubblico-privato, per rendere affettive tali capacita';))
o) partecipa alle esercitazioni nazionali e internazionali che
riguardano la simulazione di eventi di natura cibernetica al fine di
innalzare la resilienza del Paese;
p) cura e promuove la definizione ed il mantenimento di un quadro
giuridico nazionale aggiornato e coerente nel dominio della
cybersicurezza, tenendo anche conto degli orientamenti e degli
sviluppi in ambito internazionale. A tal fine, l'Agenzia esprime
pareri non vincolanti sulle iniziative legislative o regolamentari
concernenti la cybersicurezza;
q) coordina, in raccordo con il Ministero degli affari esteri e
della cooperazione internazionale, la cooperazione internazionale
nella materia della cybersicurezza. Nell'ambito dell'Unione europea e
a livello internazionale, l'Agenzia cura i rapporti con i competenti
organismi, ((istituzioni ed enti)), nonche' segue nelle competenti
sedi istituzionali le tematiche di cybersicurezza, fatta eccezione
per gli ambiti in cui la legge attribuisce specifiche competenze ad
altre amministrazioni. In tali casi, e' comunque assicurato il
raccordo con l'Agenzia al fine di garantire posizioni nazionali
unitarie e coerenti con le politiche di cybersicurezza definite dal
Presidente del Consiglio dei ministri;
r) perseguendo obiettivi di eccellenza, supporta negli ambiti di
competenza, mediante il coinvolgimento del sistema dell'universita' e
della ricerca nonche' del sistema produttivo nazionali, lo sviluppo
di competenze e capacita' industriali, tecnologiche e scientifiche. A
tali fini, l'Agenzia puo' promuovere, sviluppare e finanziare
specifici progetti ed iniziative, volti anche a favorire il
trasferimento tecnologico dei risultati della ricerca nel settore.
L'Agenzia assicura il necessario raccordo con le altre
amministrazioni a cui la legge attribuisce competenze in materia di
cybersicurezza ((e, in particolare, con il Ministero della difesa per
gli aspetti inerenti alla ricerca militare. L'Agenzia puo' altresi'
promuovere la costituzione di aree dedicate allo sviluppo
dell'innovazione finalizzate a favorire la formazione e il
reclutamento di personale nei settori avanzati dello sviluppo della
cybersicurezza, nonche' promuovere la realizzazione di studi di
fattibilita' e di analisi valutative finalizzati a tale scopo;))
s) stipula accordi bilaterali e multilaterali, anche mediante il
coinvolgimento del settore privato e industriale, con istituzioni,
enti e organismi di altri Paesi per la partecipazione dell'Italia a
programmi di cybersicurezza, assicurando il necessario raccordo con
le altre amministrazioni a cui la legge attribuisce competenze in
materia di cybersicurezza, ferme restando le competenze del
((Ministero degli affari esteri)) e della cooperazione
internazionale;
t) promuove, sostiene e coordina la partecipazione italiana a
progetti e iniziative dell'Unione europea e internazionali, anche
mediante il coinvolgimento di soggetti pubblici e privati nazionali,
nel campo della cybersicurezza e dei correlati servizi applicativi,
ferme restando le competenze del ((Ministero degli affari esteri)) e
della cooperazione internazionale. L'Agenzia assicura il necessario
raccordo con le altre amministrazioni a cui la legge attribuisce
competenze in materia di cybersicurezza ((e, in particolare, con il
Ministero della difesa per gli aspetti inerenti a progetti e
iniziative in collaborazione con la NATO e con l'Agenzia europea per
la difesa;))
u) svolge attivita' di comunicazione e promozione della
consapevolezza in materia di cybersicurezza, al fine di contribuire
allo sviluppo di una cultura nazionale in materia;
v) promuove la formazione, la crescita tecnico-professionale e la
qualificazione delle risorse umane nel campo della cybersicurezza,
((in particolare favorendo l'attivazione di percorsi formativi
universitari in materia)), anche attraverso l'assegnazione di borse
di studio, di dottorato e assegni di ricerca, sulla base di apposite
convenzioni con soggetti pubblici e privati; ((nello svolgimento di
tali compiti, l'Agenzia puo' avvalersi anche delle strutture
formative e delle capacita' della Presidenza del Consiglio dei
ministri, del Ministero della difesa e del Ministero dell'interno,
secondo termini e modalita' da definire con apposito decreto del
Presidente del Consiglio dei ministri, di concerto con i Ministri
interessati;
v-bis) puo' predisporre attivita' di formazione specifica
riservate ai giovani che aderiscono al servizio civile regolate sulla
base di apposite convenzioni. In ogni caso, il servizio prestato e',
a tutti gli effetti, riconosciuto come servizio civile;))
z) per le finalita' di cui al presente articolo, puo' costituire
e partecipare a partenariati pubblico-privato sul territorio
nazionale, nonche', previa autorizzazione del Presidente del
Consiglio dei ministri, a consorzi, fondazioni o societa' con
soggetti pubblici e privati, italiani e stranieri;
aa) e' designata quale Centro nazionale di coordinamento ai sensi
dell'articolo 6 del regolamento (UE) 2021/887 del Parlamento europeo
e del Consiglio del 20 maggio 2021, che istituisce il Centro europeo
di competenza per la cybersicurezza nell'ambito industriale,
tecnologico e della ricerca e la rete dei centri nazionali di
coordinamento.
((1-bis. Anche ai fini dell'esercizio delle funzioni di cui al
comma 1, lettere r), s), t), u), v), z) e aa), presso l'Agenzia e'
istituito, con funzioni di consulenza e di proposta, un Comitato
tecnico-scientifico, presieduto dal direttore generale della medesima
Agenzia, o da un dirigente da lui delegato, e composto da personale
della stessa Agenzia e da qualificati rappresentanti dell'industria,
degli enti di ricerca, dell'accademia e delle associazioni del
settore della sicurezza, designati con decreto del Presidente del
Consiglio dei ministri. La composizione e l'organizzazione del
Comitato tecnico-scientifico sono disciplinate secondo le modalita' e
i criteri definiti dal regolamento di cui all'articolo 6, comma 1.
Per la partecipazione al Comitato tecnico-scientifico non sono
previsti gettoni di presenza, compensi o rimborsi di spese.))
2. Nell'ambito dell'Agenzia sono nominati, con decreto del
Presidente del Consiglio dei ministri, il rappresentante nazionale, e
il suo sostituto, nel Consiglio di direzione del Centro europeo di
competenza perla cybersicurezza nell'ambito industriale, tecnologico
e della ricerca, ai sensi dell'articolo 12 del regolamento (UE)
2021/887.
3. Il CSIRT italiano di cui all'articolo 8 del decreto legislativo
NIS e' trasferito presso l'Agenzia e assume la denominazione di:
«CSIRT Italia».
4. Il Centro di valutazione e certificazione nazionale, istituito
presso il Ministero dello sviluppo economico, e' trasferito presso
l'Agenzia.
5. Nel rispetto delle competenze del Garante per la protezione dei
dati personali, l'Agenzia, per le finalita' di cui al presente
decreto, consulta il Garante e collabora con esso, anche in relazione
agli incidenti che comportano violazioni di dati personali. L'Agenzia
e il Garante possono stipulare appositi protocolli d'intenti che
definiscono altresi' le modalita' della loro collaborazione
nell'ambito delle risorse disponibili a legislazione vigente e senza
nuovi o maggiori oneri per la finanza pubblica.
Art. 8
Nucleo per la cybersicurezza
1. Presso l'Agenzia e' costituito, in via permanente, il Nucleo per
la cybersicurezza, a supporto del Presidente del Consiglio dei
ministri nella materia della cybersicurezza, per gli aspetti relativi
alla prevenzione e preparazione ad eventuali situazioni di crisi e
per l'attivazione delle procedure di allertamento.
2. Il Nucleo per la cybersicurezza e' presieduto dal direttore
generale dell'Agenzia ((o, per sua delega, dal vice direttore
generale)) ed e' composto dal Consigliere militare del Presidente del
Consiglio dei ministri, da un rappresentante, rispettivamente, del
DIS, dell'Agenzia informazioni e sicurezza esterna (AISE), di cui
all'articolo 6 della legge 3 agosto 2007, n. 124, ((dell'Agenzia
informazioni e sicurezza interna (AISI), di cui all'articolo 7 della
legge n. 124 del 2007, di ciascuno dei Ministeri rappresentati nel
CIC)) e del Dipartimento della protezione civile della Presidenza del
Consiglio dei ministri. Per gli aspetti relativi alla trattazione di
informazioni classificate il Nucleo e' integrato da un rappresentante
dell'Ufficio centrale per la segretezza di cui all'articolo 9 della
legge n. 124 del 2007.
3. I componenti ((del Nucleo)) possono farsi assistere alle
riunioni da altri rappresentanti delle rispettive amministrazioni in
relazione alle materie oggetto di trattazione. In base agli argomenti
delle riunioni possono anche essere chiamati a partecipare
rappresentanti di altre amministrazioni, di universita' o di enti e
istituti di ricerca, nonche' di operatori privati interessati alla
materia della cybersicurezza.
4. Il Nucleo puo' essere convocato in composizione ristretta con la
partecipazione dei rappresentanti delle sole amministrazioni e
soggetti interessati, anche relativamente ai compiti di gestione
delle crisi di cui all'articolo 10.
((4-bis. Ai componenti del Nucleo non spettano compensi, gettoni di
presenza, rimborsi di spese o altri emolumenti comunque denominati.))
Art. 9
Compiti del Nucleo per la cybersicurezza
1. Per le finalita' di cui all'articolo 8, il Nucleo per la
cybersicurezza svolge i seguenti compiti:
a) puo' formulare proposte di iniziative in materia di
cybersicurezza del Paese, anche nel quadro del contesto
internazionale in materia;
b) promuove, sulla base delle direttive di cui all'articolo 2,
comma 2, la programmazione e la pianificazione operativa della
risposta a situazioni di crisi cibernetica da parte delle
amministrazioni e degli operatori privati interessati e
l'elaborazione delle necessarie procedure di coordinamento
interministeriale, in raccordo con le pianificazioni di difesa civile
e di protezione civile, anche nel quadro di quanto previsto
dall'articolo 7-bis, comma 5, ((del decreto-legge 30 ottobre 2015, n.
174, convertito, con modificazioni, dalla legge 11 dicembre 2015, n.
198;))
c) promuove e coordina lo svolgimento di esercitazioni
interministeriali, ovvero la partecipazione nazionale ((a
esercitazioni)) internazionali che riguardano la simulazione di
eventi di natura cibernetica al fine di innalzare la resilienza del
Paese;
d) valuta e promuove, in raccordo con le amministrazioni
competenti per specifici profili della cybersicurezza, procedure di
condivisione delle informazioni, anche con gli operatori privati
interessati, ai fini della diffusione di allarmi relativi ad eventi
cibernetici e per la gestione delle crisi;
e) ((acquisisce, anche per il tramite del CSIRT Italia, le
comunicazioni circa i casi di violazioni o tentativi di violazione
della sicurezza o di perdita dell'integrita' significativi ai fini
del corretto funzionamento delle reti e dei servizi dagli organismi
di informazione di cui agli articoli 4, 6 e 7 della legge 3 agosto
2007, n. 124)), dalle Forze di polizia e, in particolare, dall'organo
del Ministero dell'interno di cui all'articolo 7-bis del
((decreto-legge 27 luglio 2005, n. 144, convertito, con
modificazioni, dalla legge 31 luglio 2005, n. 155)), dalle strutture
del Ministero della difesa, nonche' dalle altre amministrazioni che
compongono il Nucleo e dai gruppi di intervento per le emergenze
informatiche (Computer Emergency Response Team-CERT) istituiti ai
sensi della normativa vigente;
f) riceve dal CSIRT Italia le notifiche di incidente ai sensi
delle disposizioni vigenti;
g) valuta se gli eventi di cui alle lettere e) e f) assumono
dimensioni, intensita' o natura tali da non poter essere fronteggiati
dalle singole amministrazioni competenti in via ordinaria, ma
richiedono l'assunzione di decisioni coordinate in sede
interministeriale, provvedendo in tal caso a informare
tempestivamente il Presidente del Consiglio dei ministri, ovvero
l'Autorita' delegata, ove istituita, sulla situazione in atto e allo
svolgimento delle attivita' di raccordo e coordinamento di cui
all'articolo 10, nella composizione ivi prevista.
Art. 10
Gestione delle crisi che coinvolgono
aspetti di cybersicurezza
1. Nelle situazioni di crisi che coinvolgono aspetti di
cybersicurezza, nei casi in cui il Presidente del Consiglio dei
ministri convochi il CISR in materia di gestione delle predette
situazioni di crisi, alle sedute del Comitato sono chiamati a
partecipare il Ministro delegato per l'innovazione tecnologica e la
transizione digitale e il direttore generale dell'Agenzia.
2. (soppresso)
3. In situazioni di crisi di natura cibernetica il Nucleo e'
integrato, in ragione della necessita', con un rappresentante,
rispettivamente, del Ministero della salute e del Ministero
dell'interno-Dipartimento dei Vigili del fuoco, del soccorso pubblico
e della difesa civile, in rappresentanza anche della Commissione
interministeriale tecnica di difesa civile, autorizzati ad assumere
decisioni che impegnano la propria amministrazione. Alle riunioni i
componenti possono farsi accompagnare da altri funzionari della
propria amministrazione. Alle stesse riunioni possono essere chiamati
a partecipare rappresentanti di altre amministrazioni, anche locali,
ed enti, anche essi autorizzati ad assumere decisioni, e di altri
soggetti pubblici o privati eventualmente interessati. Per la
partecipazione non sono previsti compensi, gettoni di presenza,
rimborsi di spese o altri emolumenti comunque denominati.
4. E' compito del Nucleo, nella composizione per la gestione delle
crisi, di cui al comma 3, assicurare che le attivita' di reazione e
stabilizzazione di competenza delle diverse amministrazioni ed enti
rispetto a situazioni di crisi ((di natura cibernetica)) vengano
espletate in maniera coordinata secondo quanto previsto dall'articolo
9, comma 1, lettera b).
5. Il Nucleo, per l'espletamento delle proprie funzioni e fermo
restando quanto previsto ai sensi dell'articolo 7-bis, comma 5, del
((decreto-legge 30 ottobre 2015, n. 174, convertito, con
modificazioni, dalla legge 11 dicembre 2015, n. 198)):
a) mantiene costantemente informato il Presidente del Consiglio
dei ministri, ovvero l'Autorita' delegata, ove istituita, sulla crisi
in atto, predisponendo punti aggiornati di situazione;
b) assicura il coordinamento per l'attuazione a livello
interministeriale delle determinazioni del Presidente del Consiglio
dei ministri per il superamento della crisi;
c) raccoglie tutti i dati relativi alla crisi;
d) elabora rapporti e fornisce informazioni sulla crisi e li
trasmette ai soggetti pubblici e privati interessati;
e) partecipa ai meccanismi europei di gestione delle crisi
cibernetiche, assicurando altresi' i collegamenti finalizzati alla
gestione della crisi con gli omologhi organismi di altri Stati, della
NATO, ((dell'Unione europea)) o di organizzazioni internazionali di
cui l'Italia fa parte.
Art. 11
Norme di contabilita' e disposizioni finanziarie
1. ((Con la legge di bilancio)) e' determinato lo stanziamento
annuale da assegnare all'Agenzia da iscrivere sul capitolo di cui
all'articolo 18, comma 1, sulla base della determinazione del
fabbisogno annuo operata dal Presidente del Consiglio dei ministri,
previamente comunicata al COPASIR.
2. Le entrate dell'Agenzia sono costituite da:
a) dotazioni finanziarie e contributi ordinari di cui
all'articolo 18 del presente decreto;
b) corrispettivi per i servizi prestati a soggetti pubblici o
privati;
c) proventi derivanti dallo sfruttamento della proprieta'
industriale, dei prodotti dell'ingegno e delle invenzioni
dell'Agenzia;
d) altri proventi patrimoniali e di gestione;
e) ((contributi)) dell'Unione europea o di organismi
internazionali, anche a seguito della partecipazione a specifici
bandi, progetti e programmi di collaborazione;
f) proventi delle sanzioni irrogate dall'Agenzia ai sensi di
quanto previsto dal decreto legislativo NIS, dal decreto-legge
perimetro e dal decreto legislativo 1° agosto 2003, n. 259, e
relative disposizioni attuative;
g) ogni altra eventuale entrata.
3. Il regolamento di contabilita' dell'Agenzia, che ne assicura
l'autonomia gestionale e contabile, e' adottato con decreto del
Presidente del Consiglio dei ministri, di concerto con il Ministro
dell'economia e delle finanze, su proposta del direttore generale
dell'Agenzia, previo parere del COPASIR e sentito il CIC, entro
centoventi giorni dalla data di entrata in vigore della legge di
conversione del presente decreto, anche in deroga all'articolo 17
della legge 23 agosto 1988, n. 400, e alle norme di contabilita'
generale dello Stato e nel rispetto dei principi fondamentali da esse
stabiliti, nonche' delle seguenti disposizioni:
a) il bilancio preventivo e il bilancio consuntivo adottati dal
direttore generale dell'Agenzia sono approvati con decreto del
Presidente del Consiglio dei ministri, previo parere del CIC, e sono
trasmessi alla Corte dei conti che esercita il controllo previsto
dall'articolo 3, comma 4, della legge 14 gennaio 1994, n. 20;
b) il bilancio consuntivo e la relazione della Corte dei conti
((sono trasmessi alle Commissioni parlamentari competenti e al))
COPASIR.
4. Con regolamento adottato con decreto del Presidente del
Consiglio dei ministri, su proposta del direttore generale
dell'Agenzia, entro centoventi giorni dalla data di entrata in vigore
della legge di conversione del presente decreto, anche in deroga
all'articolo 17 della legge 23 agosto 1988, n. 400, e alle norme in
materia di contratti pubblici, previo parere del COPASIR e sentito il
CIC, sono definite le procedure per la stipula di contratti di
appalti di lavori e forniture di beni e servizi per le attivita'
dell'Agenzia finalizzate alla tutela della sicurezza nazionale nello
spazio cibernetico, ferma restando la disciplina dell'articolo 162
del codice dei contratti pubblici relativi a lavori, servizi e
forniture, di cui al decreto legislativo 18 aprile 2016, n. 50.
Art. 12
Personale
1. Con apposito regolamento e' dettata, nel rispetto dei principi
generali dell'ordinamento giuridico, anche in deroga alle vigenti
disposizioni di legge, ivi incluso il decreto legislativo 30 marzo
2001, n. 165, e nel rispetto dei criteri di cui al presente decreto,
la disciplina del contingente di personale addetto all'Agenzia,
tenuto conto delle funzioni ((volte alla tutela della sicurezza
nazionale nello spazio cibernetico attribuite all'Agenzia.)) Il
regolamento definisce l'ordinamento e il reclutamento del personale,
e il relativo trattamento economico e previdenziale, prevedendo, in
particolare, per il personale dell'Agenzia ((di cui al comma 2,
lettera a) )), un trattamento economico pari a quello in godimento da
parte dei dipendenti della Banca d'Italia, sulla scorta della
equiparabilita' delle funzioni svolte e del livello di
responsabilita' rivestito. La predetta equiparazione, ((con
riferimento sia)) al trattamento economico in servizio che ((al
trattamento)) previdenziale, produce effetti avendo riguardo alle
anzianita' di servizio maturate a seguito dell'inquadramento nei
ruoli dell'Agenzia.
2. Il regolamento determina, ((nell'ambito delle risorse
finanziarie destinate all'Agenzia ai sensi dell'articolo 18, comma
1,)) in particolare:
a) l'istituzione di un ruolo del personale e la disciplina
generale del rapporto d'impiego alle dipendenze dell'Agenzia;
b) la possibilita' di procedere, oltre che ad assunzioni a tempo
indeterminato attraverso modalita' concorsuali, ad assunzioni a tempo
determinato, con contratti di diritto privato, di soggetti in
possesso di alta e particolare specializzazione debitamente
documentata, individuati attraverso adeguate modalita' selettive, per
lo svolgimento di attivita' assolutamente necessarie all'operativita'
dell'Agenzia o per specifiche progettualita' da portare a termine in
un arco di tempo prefissato;
c) la possibilita' di avvalersi di un contingente di esperti, non
superiore a cinquanta unita', composto da personale, collocato fuori
ruolo o in posizione di comando o altra ((analoga posizione
prevista)) dagli ordinamenti di appartenenza, proveniente da
pubbliche amministrazioni di cui all'articolo 1, comma 2, del decreto
legislativo 30 marzo 2001, n.165, con esclusione del personale
docente, educativo, amministrativo, tecnico e ausiliario delle
istituzioni scolastiche, ovvero da personale non appartenente alla
pubblica amministrazione, in possesso di specifica ed elevata
competenza in materia di cybersicurezza e di tecnologie digitali
innovative, nello sviluppo e gestione di processi complessi di
trasformazione tecnologica e delle correlate iniziative di
comunicazione e dissemina;
d) la determinazione della percentuale massima dei dipendenti che
e' possibile assumere a tempo determinato;
e) la possibilita' di impiegare personale del Ministero della
difesa, secondo termini e modalita' da definire con apposito decreto
del Presidente del Consiglio dei ministri;
f) le ipotesi di incompatibilita';
g) le modalita' di progressione di carriera all'interno
dell'Agenzia;
h) la disciplina e il procedimento per la definizione degli
aspetti giuridici e, limitatamente ad eventuali compensi accessori,
economici del rapporto di impiego del personale oggetto di
negoziazione con le rappresentanze del personale;
i) le modalita' applicative delle disposizioni del decreto
legislativo 10 febbraio 2005, n. 30, recante il Codice della
proprieta' industriale, ai prodotti dell'ingegno ed alle invenzioni
dei dipendenti dell'Agenzia;
l) i casi di cessazione dal servizio del personale assunto a
tempo indeterminato ed i casi di anticipata risoluzione dei rapporti
a tempo determinato;
m) quali delle disposizioni possono essere oggetto di revisione
per effetto della negoziazione con le rappresentanze del personale.
3. Qualora le assunzioni di cui al comma 2, lettera b), riguardino
professori universitari di ruolo o ricercatori universitari
confermati si applicano le disposizioni di cui all'articolo 12 del
decreto del Presidente della Repubblica 11 luglio 1980, n. 382, anche
per quanto riguarda il collocamento in aspettativa.
4. In sede di prima applicazione delle disposizioni di cui al
presente decreto, il numero di posti previsti dalla dotazione
organica dell'Agenzia e' individuato nella misura complessiva di
trecento unita', di cui fino a un massimo di otto di livello
dirigenziale generale, fino a un massimo di 24 di livello
dirigenziale non generale e fino a un massimo di 268 unita' di
personale non dirigenziale.
5. Con decreti del Presidente del Consiglio dei ministri di
concerto con il Ministro dell'economia e delle finanze, la dotazione
organica puo' essere rideterminata nei limiti delle risorse
finanziarie destinate alle spese per il personale di cui all'articolo
18, comma 1. Dei provvedimenti adottati in materia di dotazione
organica dell'Agenzia e' data tempestiva e motivata comunicazione
((alle Commissioni parlamentari competenti e al)) COPASIR.
6. Le assunzioni effettuate in violazione delle disposizioni del
presente decreto o del regolamento di cui al presente articolo sono
nulle, ferma restando la responsabilita' personale, patrimoniale e
disciplinare dichi le ha disposte.
7. Il personale che presta comunque la propria opera alle
dipendenze o in favore dell'Agenzia e' tenuto, anche dopo la
cessazione di tale attivita', al rispetto del segreto su cio' di cui
sia venuto a conoscenza nell'esercizio o a causa delle proprie
funzioni.
8. Il regolamento di cui al comma 1 e' adottato, entro centoventi
giorni dalla data di entrata in vigore della legge di conversione del
presente decreto, con decreto del Presidente del Consiglio dei
ministri, anche in deroga all'articolo 17 della legge 23 agosto 1988,
n. 400, previo parere ((delle Commissioni parlamentari competenti per
materia e per i profili finanziari e, per i profili di competenza,))
del COPASIR e sentito il CIC.
Art. 13
Trattamento dei dati personali
1. Il trattamento dei dati personali svolto per finalita' di
sicurezza nazionale in applicazione del presente decreto e'
effettuato ai sensi dell'articolo 58, commi 2 e 3, del decreto
legislativo 30 giugno 2003, n. 196.
Art. 14
Relazioni annuali
1. Entro il 30 aprile di ogni anno, il Presidente del Consiglio dei
ministri trasmette al Parlamento una relazione sull'attivita' svolta
dall'Agenzia nell'anno precedente, in materia di cybersicurezza
nazionale.
2. Entro il 30 giugno di ogni anno, il Presidente del Consiglio dei
ministri trasmette al COPASIR una relazione sulle attivita' svolte
nell'anno precedente dall'Agenzia ((negli ambiti concernenti la
tutela della sicurezza nazionale nello spazio cibernetico
relativamente ai profili di competenza del Comitato.))
Art. 15
Modificazioni al decreto legislativo NIS
1. Al decreto legislativo NIS, sono apportate le seguenti
modificazioni:
a) all'articolo 1, comma 2, lettera a), le parole: «strategia
nazionale di sicurezza cibernetica» sono sostituite dalle seguenti:
«strategia nazionale di cybersicurezza»;
b) all'articolo 1, comma 2, lettera b), le parole: «delle
autorita' nazionali competenti» sono sostituite dalle seguenti:
«dell'autorita' nazionale competente NIS, delle autorita' di
settore»;
c) all'articolo 3, lettera a), le parole da: «autorita'
competente NIS» a: «per settore,» sono sostituite dalle seguenti:
«autorita' nazionale competente NIS, l'autorita' nazionale unica,
competente»;
d) all'articolo 3, dopo la lettera a), e' inserita la seguente:
«a-bis) autorita' di settore, le autorita' di cui all'articolo 7,
comma 1, lettere da a) a e)»;
e) all'articolo 4, il comma 6 e' sostituito dal seguente:
«6. L'elenco degli operatori di servizi essenziali identificati
ai sensi del comma 1 e' riesaminato e, se del caso, aggiornato su
base regolare, e almeno ogni due anni dopo il 9 maggio 2018, con le
seguenti modalita':
a) le autorita' di settore, in relazione ai settori di
competenza, propongono all'autorita' nazionale competente NIS le
variazioni all'elenco degli operatori dei servizi essenziali, secondo
i criteri di cui ai commi 2 e 3;
b) le proposte sono valutate ((ed eventualmente integrate,
d'intesa con le autorita' di settore,)) dall'autorita' nazionale
competente NIS che, con propri provvedimenti, provvede alle
variazioni dell'elenco degli operatori dei servizi essenziali,
dandone comunicazione, in relazione ai settori di competenza, anche
alle autorita' di settore.»;
f) all'articolo 6, nella rubrica, le parole: «sicurezza
cibernetica» sono sostituite ((dalla seguente: «cybersicurezza»)); ai
commi 1, 2 e 3, le parole: «sicurezza cibernetica» sono sostituite
dalla seguente: «cybersicurezza»; al comma 4, le parole: «La
Presidenza del Consiglio dei ministri» sono sostituite dalle
seguenti: «L'Agenzia per la cybersicurezza» e le parole: «sicurezza
cibernetica» sono sostituite ((dalla seguente: «cybersicurezza»));
g) l'articolo 7 e' sostituito dal seguente:
«Art. 7 (Autorita' nazionale competente e punto di contatto
unico). - 1. L'Agenzia per la cybersicurezza nazionale e' designata
quale autorita' nazionale competente NIS per i settori e sottosettori
di cui all'allegato II e per i servizi di cui all'allegato III. Sono
designate quali autorita' di settore:
a) il Ministero dello sviluppo economico, per il settore
infrastrutture digitali, sottosettori IXP, DNS, TLD, nonche' per i
servizi digitali;
b) il Ministero delle infrastrutture e della mobilita'
sostenibili, per il settore trasporti, sottosettori aereo,
ferroviario, per vie d'acqua e su strada;
c) il Ministero dell'economia e delle finanze, per il settore
bancario e per il settore infrastrutture dei mercati finanziari, in
collaborazione con le autorita' di vigilanza di settore, Banca
d'Italia e Consob, secondo modalita' di collaborazione e di scambio
di informazioni stabilite con decreto del Ministro dell'economia e
delle finanze;
d) il Ministero della salute, per l'attivita' di assistenza
sanitaria, come definita dall'articolo 3, comma 1, lettera a), del
decreto legislativo 4 marzo 2014, n. 38, prestata dagli operatori
dipendenti o incaricati dal medesimo Ministero o convenzionati con lo
stesso, e le Regioni e le Province autonome di Trento e di Bolzano,
direttamente o per il tramite delle Autorita' sanitarie
territorialmente competenti, per le attivita' di assistenza sanitaria
prestata dagli operatori autorizzati e accreditati ((dalle Regioni))
o dalle Province autonome negli ambiti territoriali di rispettiva
competenza;
e) il Ministero della transizione ecologica per il settore
energia, sottosettori energia elettrica, gas e petrolio;
f) il Ministero della transizione ecologica e le Regioni e le
Province autonome di Trento e di Bolzano, direttamente o per il
tramite delle Autorita' territorialmente competenti, in merito al
settore fornitura e distribuzione di acqua potabile.
2. L'autorita' nazionale competente NIS e' responsabile
dell'attuazione del presente decreto con riguardo ai settori di cui
all'allegato II e ai servizi di cui all'allegato III e vigila
sull'applicazione del presente decreto a livello nazionale,
esercitando altresi' le relative potesta' ispettive e sanzionatorie.
3. L'Agenzia per la cybersicurezza nazionale e' designata quale
punto di contatto unico in materia di sicurezza delle reti e dei
sistemi informativi.
4. Il punto di contatto unico svolge una funzione di
collegamento per garantire la cooperazione transfrontaliera
dell'autorita' nazionale competente NIS con le autorita' competenti
degli altri Stati membri, nonche' con il gruppo di cooperazione di
cui all'articolo 10 e la rete di CSIRT di cui all'articolo 11.
5. Il punto di contatto unico collabora nel gruppo di
cooperazione in modo effettivo, efficiente e sicuro con i
rappresentanti designati dagli altri Stati.
6. L'Agenzia per la cybersicurezza nazionale, in qualita' di
autorita' nazionale competente NIS e di punto di contatto unico,
consulta, conformemente alla normativa vigente, l'autorita' di
contrasto ed il Garante per la protezione dei dati personali e
collabora con essi.
7. La Presidenza del Consiglio dei ministri comunica
tempestivamente alla Commissione europea la designazione del punto di
contatto unico e quella dell'autorita' nazionale competente NIS, i
relativi compiti e qualsiasi ulteriore modifica. Alle designazioni
sono assicurate idonee forme di pubblicita'.
8. Agli oneri derivanti dal presente articolo, pari a 1.300.000
euro ((annui a decorrere dall'anno)) 2018, si provvede ai sensi
dell'articolo 22.»;
h) all'articolo 8, comma 1, le parole da: «la Presidenza» a: «la
sicurezza» sono sostituite dalle seguenti: ((«l'Agenzia per la
cybersicurezza)) nazionale»;
i) l'articolo 9, comma 1, e' sostituito dal seguente:
«1. Le autorita' di settore collaborano con l'autorita'
nazionale competente NIS per l'adempimento degli obblighi di cui al
presente decreto. A tal fine e' istituito presso l'Agenzia per la
cybersicurezza ((nazionale un)) Comitato tecnico di raccordo. Il
Comitato e' presieduto dall'autorita' nazionale competente NIS ed e'
composto dai rappresentanti delle amministrazioni statali individuate
quali autorita' di settore e da rappresentanti delle Regioni e
Province autonome in numero non superiore a due, designati dalle
Regioni e Province autonome in sede di Conferenza permanente per i
rapporti tra lo Stato, le Regioni e le Province autonome di Trento e
di Bolzano. L'organizzazione del Comitato e' definita con decreto del
Presidente del Consiglio dei ministri, sentita la Conferenza
unificata. Per la partecipazione al Comitato tecnico di raccordo non
sono previsti gettoni di presenza, compensi o ((di spese)).»;
l) all'articolo 12, comma 5, le parole da: «e, per conoscenza,»
a: «NIS,» sono soppresse;
m) all'articolo 14, comma 4, le parole da: «e, per conoscenza,»
a: «NIS,» sono soppresse;
n) all'articolo 19, comma 1, le parole: «dalle autorita'
competenti NIS» sono sostituite dalle seguenti: «dall'autorita'
nazionale competente NIS»;
o) all'articolo 19, il comma 2 e' abrogato;
p) all'articolo 20, comma 1, le parole da: «Le autorita'
competenti NIS» a: «sono competenti» sono sostituite da: «L'autorita'
nazionale competente NIS e' competente»;
q) all'allegato I:
1) al punto 1, dopo la lettera d) e' aggiunta la seguente:
«d-bis) il CSIRT Italia conforma i propri servizi e la propria
attivita' alle migliori pratiche internazionalmente riconosciute in
materia di prevenzione, gestione e risposta rispetto a eventi di
natura cibernetica»;
2) al punto 2, lettera c), dopo la parola: «standardizzate»
sono inserite le seguenti: «, secondo le migliori pratiche
internazionalmente riconosciute,».
2. Nel decreto legislativo NIS:
a) ogni riferimento al Ministero dello sviluppo economico,
ovunque ricorra, deve intendersi riferito all'Agenzia per la
cybersicurezza nazionale, fatta eccezione per le disposizioni di cui
all'articolo 7, comma 1, lettera a), del medesimo decreto
legislativo, ((come sostituito dal comma 1, lettera g), del presente
articolo;))
b) ogni riferimento al DIS, ovunque ricorra, deve intendersi
riferito all'Agenzia per la cybersicurezza nazionale;
c) ogni riferimento alle autorita' competenti NIS, ovunque
ricorra, deve intendersi riferito all'autorita' nazionale competente
NIS, fatta eccezione per le disposizioni di cui all'articolo 5, comma
1, del medesimo decreto legislativo, ((come modificato dalla lettera
d) del presente comma;))
d) all'articolo 5, comma 1, alinea, le parole: «le autorita'
competenti NIS» sono sostituite dalle seguenti: «l'autorita'
nazionale competente NIS e le autorita' di settore»;
e) agli articoli 6 e 12, le parole: «Comitato interministeriale
per la sicurezza della Repubblica (CISR)» sono sostituite dalle
seguenti: «Comitato interministeriale per la cybersicurezza (CIC)».
Art. 16
Altre modificazioni
1. All'articolo 3, comma 1-bis, della ((legge 3 agosto 2007, n.
124)), dopo le parole: «della presente legge» sono aggiunte le
seguenti: «e in materia di cybersicurezza».
2. All'articolo 38 della legge n. 124 del 2007, il comma 1-bis e'
abrogato ((a decorrere dal 1° gennaio 2023.))
3. La denominazione: «CSIRT Italia» sostituisce, ad ogni effetto e
ovunque presente in provvedimenti legislativi e regolamentari, la
denominazione: «CSIRT Italiano».
4. Nel decreto-legge perimetro le parole: «Comitato
interministeriale per la sicurezza della Repubblica (CISR)» e «CISR»,
ovunque ricorrano, sono rispettivamente sostituite dalle seguenti:
«Comitato interministeriale per la cybersicurezza (CIC)» e «CIC»,
fatta eccezione per le disposizioni di cui all'articolo 5 del
medesimo decreto-legge.
5. Nel decreto-legge perimetro ogni riferimento al Dipartimento
delle informazioni per la sicurezza, o al DIS, ovunque ricorra, e' da
intendersi riferito all'Agenzia per la cybersicurezza nazionale,
((fatta eccezione per le disposizioni dell'articolo 1, commi 2,
lettera b), e 2-ter, del medesimo decreto-legge perimetro,)) e ogni
riferimento al Nucleo per la sicurezza cibernetica e' da intendersi
riferito al Nucleo per la cybersicurezza.
6. Nel decreto-legge perimetro:
a) ogni riferimento al Ministero dello sviluppo economico e alla
Presidenza del Consiglio dei ministri, ovunque ricorra, e' da
intendersi riferito all'Agenzia per la cybersicurezza nazionale;
b) all'articolo 1, comma 8, lettera a), le parole da: «definite
dalla Presidenza del Consiglio dei ministri» a: «decreto legislativo
18 maggio 2018, n. 65» sono sostituite dalle seguenti: «definite
dall'Agenzia per la cybersicurezza nazionale»;
c) all'articolo 1, comma 8, lettera b), le parole: «all'autorita'
competente» sono sostituite dalle seguenti: «autorita' nazionale
competente NIS».
7. Nei provvedimenti di natura regolamentare e amministrativa la
cui adozione e' prevista dall'articolo 1 del decreto-legge perimetro,
ogni riferimento al CISR e al DIS deve intendersi rispettivamente
riferito al CIC e all'Agenzia per la cybersicurezza nazionale.
8. Nei provvedimenti di natura regolamentare e amministrativa la
cui adozione e' prevista dall'articolo 1 del decreto-legge perimetro,
ogni riferimento al Ministero dello sviluppo economico e alla
struttura della Presidenza del Consiglio dei ministri competente per
la innovazione tecnologica e la digitalizzazione, ovunque ricorra,
deve intendersi riferito all'Agenzia per la cybersicurezza nazionale,
fatta eccezione per le disposizioni ((di cui all'articolo 3 del
decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n.
131.))
9. Al decreto-legge perimetro sono apportate le seguenti
modificazioni:
a) all'articolo 1, comma 6, lettera a), dopo il primo periodo e'
inserito il seguente: «L'obbligo di comunicazione di cui alla
presente lettera e' efficace a decorrere dal trentesimo giorno
successivo alla pubblicazione nella Gazzetta Ufficiale della
Repubblica italiana del decreto del Presidente del Consiglio dei
ministri che, sentita l'Agenzia per la cybersicurezza nazionale,
attesta l'operativita' del CVCN e comunque dal 30giugno 2022.»;
((a-bis) all'articolo 1, comma 7, lettera c), le parole:
«dell'organismo tecnico di supporto al CISR» sono sostituite dalle
seguenti: «del Tavolo interministeriale di cui all'articolo 6 del
decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n.
131»;
a-ter) all'articolo 1, comma 2, la lettera b) e' sostituita dalla
seguente:
« b) sono definiti, sulla base di un'analisi del rischio e di
un criterio di gradualita' che tenga conto delle specificita' dei
diversi settori di attivita', i criteri con i quali i soggetti di cui
al comma 2-bis predispongono e aggiornano con cadenza almeno annuale
un elenco delle reti, dei sistemi informativi e dei servizi
informatici di cui al comma 1, di rispettiva pertinenza, comprensivo
della relativa architettura e componentistica, fermo restando che,
per le reti, i sistemi informativi e i servizi informatici attinenti
alla gestione delle informazioni classificate, si applica quanto
previsto dal regolamento adottato ai sensi dell'articolo 4, comma 3,
lettera l), della legge 3 agosto 2007, n. 124; all'elaborazione di
tali criteri provvede, adottando opportuni moduli organizzativi, il
Tavolo interministeriale di cui all'articolo 6 del regolamento di cui
al decreto del Presidente del Consiglio dei ministri 30 luglio 2020,
n. 131; entro sei mesi dalla data della comunicazione, prevista dal
comma 2-bis, a ciascuno dei soggetti iscritti nell'elenco di cui al
medesimo comma, i soggetti pubblici e quelli di cui all'articolo 29
del codice dell'amministrazione digitale, di cui al decreto
legislativo 7 marzo 2005, n. 82, nonche' quelli privati, di cui al
citato comma 2-bis, trasmettono tali elenchi all'Agenzia per la
cybersicurezza nazionale, anche per le attivita' di prevenzione,
preparazione e gestione di crisi cibernetiche affidate al Nucleo per
la cybersicurezza; il Dipartimento delle informazioni per la
sicurezza, l'Agenzia informazioni e sicurezza esterna (AISE) e
l'Agenzia informazioni e sicurezza interna (AISI) ai fini
dell'esercizio delle funzioni istituzionali previste dagli articoli
1, comma 3-bis, 4, 6 e 7 della legge n. 124 del 2007, nonche'
l'organo del Ministero dell'interno per la sicurezza e per la
regolarita' dei servizi di telecomunicazione di cui all'articolo
7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con
modificazioni, dalla legge 31 luglio 2005, n. 155, accedono a tali
elenchi per il tramite della piattaforma digitale di cui all'articolo
9, comma 1, del regolamento di cui al decreto del Presidente del
Consiglio dei ministri n. 131 del 2020, costituita presso l'Agenzia
per la cybersicurezza nazionale »;
a-quater) all'articolo 1, dopo il comma 2-bis e' inserito il
seguente:
«2-ter. Gli elenchi dei soggetti di cui alla lettera a) del
comma 2 del presente articolo sono trasmessi al Dipartimento delle
informazioni per la sicurezza, che provvede anche a favore dell'AISE
e dell'AISI ai fini dell'esercizio delle funzioni istituzionali
previste dagli articoli 1, comma 3-bis, 4, 6 e 7 della legge 3 agosto
2007, n. 124»;))
b) all'articolo 3, il comma 2 e' abrogato;
c) a decorrere dalla data in cui diviene efficace l'obbligo di
comunicazione disciplinato dalla lettera a), all'articolo 3:
1) il comma 1 e' sostituito dal seguente: «1.I soggetti che
intendono procedere all'acquisizione, a qualsiasi titolo, di beni,
servizi e componenti di cui all'articolo 1-bis, comma 2, del
decreto-legge 15 marzo 2012, n.21, convertito, con modificazioni,
dalla legge 11 maggio 2012, n. 56, sono obbligati ad effettuare la
comunicazione di cui all'articolo 1, comma 6, lettera a), per lo
svolgimento delle verifiche di sicurezza da parte del CVCN sulla base
delle procedure, modalita' e termini previsti dal regolamento di
attuazione. Ai fornitori ((dei predetti)) beni, servizi e componenti
si applica l'articolo 1, comma 6, lettera b).»;
2) il comma 3 e' abrogato;
10. A decorrere dalla data in cui diviene efficace l'obbligo di
comunicazione disciplinato dal comma 9, lettera a), al decreto-legge
15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11
maggio 2012, n. 56, il comma 3-bis dell'articolo 1-bis e' sostituito
dal seguente: «3-bis. Entro dieci giorni dalla conclusione di un
contratto o accordo di cui al comma 2, l'impresa che ha acquisito, a
qualsiasi titolo, i beni o i servizi di cui allo stesso comma
notifica alla Presidenza del Consiglio dei ministri un'informativa
completa, contenente anche la comunicazione del Centro di valutazione
e certificazione nazionale (CVCN), relativa all'esito della
valutazione e alle eventuali prescrizioni, in modo da consentire
l'eventuale esercizio del potere di veto o l'imposizione di
specifiche prescrizioni o condizioni. Qualora il contratto sia stato
stipulato antecedentemente alla conclusione dei test imposti dal
CVCN, il termine di cui al primo periodo decorre dalla comunicazione
di esito positivo della valutazione effettuata dal CVCN. Entro trenta
giorni dalla notifica, il Presidente del Consiglio dei ministri
comunica l'eventuale veto ovvero l'imposizione di specifiche
prescrizioni o condizioni. I poteri speciali sono esercitati nella
forma dell'imposizione di specifiche prescrizioni o condizioni
ogniqualvolta cio' sia sufficiente ad assicurare la tutela degli
interessi essenziali della difesa e della sicurezza nazionale.
Decorsi i predetti termini, i poteri speciali si intendono non
esercitati. Qualora si renda necessario richiedere informazioni
all'acquirente, tale termine e' sospeso, per una sola volta, fino al
ricevimento delle informazioni richieste, che sono rese entro il
termine di dieci giorni. Qualora si renda necessario formulare
richieste istruttorie a soggetti terzi, il predetto termine di trenta
giorni e' sospeso, per una sola volta, fino al ricevimento delle
informazioni richieste, che sono rese entro il termine di venti
giorni. Le richieste di informazioni e le richieste istruttorie a
soggetti terzi successive alla prima non sospendono i termini. In
caso di incompletezza della notifica, il termine di trenta giorni
previsto dal presente comma decorre dal ricevimento delle
informazioni o degli elementi che la integrano. Fermo restando quanto
previsto in materia di sanzioni al presente comma, nel caso in cui
l'impresa notificante abbia iniziato l'esecuzione del contratto o
dell'accordo oggetto della notifica prima che sia decorso il termine
per l'esercizio dei poteri speciali, ovvero abbia eseguito il
contratto o accordo in violazione del decreto di esercizio dei poteri
speciali, il Governo puo' ingiungere all'impresa di ripristinare a
proprie spese la situazione anteriore. Salvo che il fatto costituisca
reato, chiunque non osservi gli obblighi di notifica di cui al
presente articolo ovvero le disposizioni contenute nel provvedimento
di esercizio dei poteri speciali e' soggetto alla sanzione
amministrativa pecuniaria ((del pagamento di una somma)) fino al 150
per cento del valore dell'operazione e comunque non inferiore al 25
per cento del medesimo valore. Nei casi di violazione degli obblighi
di notifica di cui al presente articolo, anche in assenza della
notifica, la Presidenza del Consiglio dei ministri puo' avviare il
procedimento ai fini dell'eventuale esercizio dei poteri speciali. A
tale scopo, trovano applicazione i termini e le norme procedurali
previsti dal presente comma. Il termine di trenta giorni di cui al
presente comma decorre dalla conclusione del procedimento di
accertamento della violazione dell'obbligo di notifica».
11. All'articolo ((135, comma 1, del Codice del processo
amministrativo, di cui all'allegato 1 al decreto legislativo)) 2
luglio 2010, n. 104, dopo la lettera h), e' aggiunta la seguente:
«h-bis) le controversie aventi ad oggetto i provvedimenti
dell'Agenzia per la cybersicurezza nazionale;» ((e alla lettera o) le
parole: «e dell'AISE» sono sostituite dalle seguenti: «, dell'AISE e
dell'Agenzia per la cybersicurezza nazionale».))
12. Alla legge 22 aprile 2021, n. 53, sono apportate le seguenti
modificazioni:
a) all'articolo 4, comma 1, lettera b), dopo le parole:
«Ministero dello sviluppo economico» sono aggiunte le seguenti: «e
l'Agenzia perla cybersicurezza nazionale»;
b) all'articolo 18, ogni riferimento al Ministero dello sviluppo
economico, ovunque ricorra, deve intendersi riferito all'Agenzia per
la cybersicurezza nazionale.
13. All'articolo 33-septies, comma 4, del decreto-legge 18 ottobre
2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre
2012, n. 221, le parole: «L'AgID» sono sostituite dalle seguenti:
«L'Agenzia per la cybersicurezza nazionale» ((e sono aggiunte,
infine, le seguenti parole: «nonche' le modalita' del procedimento di
qualificazione dei servizi cluod per la pubblica amministrazione».))
14. Al decreto legislativo 1° agosto 2003, n. 259, sono apportate
le seguenti modificazioni:
a) agli articoli 16-bis e 16-ter, ogni riferimento al Ministero
dello sviluppo economico, ovunque ricorra, deve intendersi riferito
all'Agenzia per la cybersicurezza nazionale;
b) all'articolo 16-ter, comma 1, le parole: «Ministro dello
sviluppo economico» sono sostituite dalle seguenti: «Presidente del
Consiglio dei ministri»;
c) all'articolo 16-ter, comma 2, lettera b), le parole: «, in
collaborazione con gli Ispettorati territoriali del Ministero dello
sviluppo economico,» sono soppresse.
Art. 17
Disposizioni transitorie e finali
1. Per lo svolgimento delle funzioni ispettive, di accertamento
delle violazioni e di irrogazione delle sanzioni, di cui all'articolo
7, l'Agenzia puo' provvedere, oltre che con proprio personale, con
l'ausilio dell'organo centrale del Ministero dell'interno per la
sicurezza e per la regolarita' dei servizi di telecomunicazione di
cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144,
convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155.
2. Per lo svolgimento delle funzioni relative all'attuazione e al
controllo dell'esecuzione dei provvedimenti assunti da parte del
Presidente del Consiglio dei ministri ai sensi dell'articolo 5 del
decreto-legge perimetro, l'Agenzia provvede con l'ausilio dell'organo
centrale del Ministero dell'interno per la sicurezza e per la
regolarita' dei servizi di telecomunicazione di cui all'articolo
7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con
modificazioni, dalla legge 31 luglio 2005, n. 155.
3. Il personale dell'Agenzia, nello svolgimento delle funzioni
ispettive, di accertamento delle violazioni e di irrogazione delle
sanzioni, di cui all'articolo 7, nonche' delle funzioni relative
all'attuazione e al controllo dell'esecuzione dei provvedimenti
assunti da parte del Presidente del Consiglio dei ministri ai sensi
dell'articolo 5 del decreto-legge perimetro, riveste la qualifica di
pubblico ufficiale.
4. Il personale dell'Agenzia addetto al CSIRT Italia, nello
svolgimento delle proprie funzioni, riveste la qualifica di pubblico
ufficiale. La trasmissione delle notifiche di incidente ricevute dal
CSIRT Italia all'organo centrale del Ministero dell'interno per la
sicurezza e per la regolarita' dei servizi di telecomunicazione di
cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144,
convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155,
costituisce adempimento dell'obbligo di cui all'articolo 331 del
codice di procedura penale.
5. Con uno o piu' decreti del Presidente del Consiglio dei
ministri, di concerto con il Ministro dell'economia e delle finanze,
da adottare entro centottanta giorni dalla data di entrata in vigore
della legge di conversione del presente decreto, sono definiti i
termini e le modalita':
a) per assicurare la prima operativita' dell'Agenzia, mediante
l'individuazione di appositi spazi, in via transitoria e per un
massimo di ventiquattro mesi, secondo opportune intese con le
amministrazioni interessate, per l'attuazione delle disposizioni del
presente decreto;
b) mediante opportune intese con le amministrazioni interessate,
((nel rispetto delle specifiche norme riguardanti l'organizzazione e
il funzionamento,)) per il trasferimento delle funzioni di cui
all'articolo 7, nonche' per il trasferimento dei beni strumentali e
della documentazione, anche di natura classificata, per l'attuazione
delle disposizioni del presente decreto e la corrispondente riduzione
di risorse finanziarie ed umane da parte delle amministrazioni
cedenti.
((5-bis. Fino alla scadenza dei termini indicati nel decreto o nei
decreti di cui al comma 5, lettera b), la gestione delle risorse
finanziarie relative alle funzioni trasferite, compresa la gestione
dei residui passivi e perenti, e' esercitata dalle amministrazioni
cedenti. A decorrere dalla medesima data sono trasferiti in capo
all'Agenzia i rapporti giuridici attivi e passivi relativi alle
funzioni trasferite.))
6. In relazione al trasferimento delle funzioni di cui all'articolo
7, comma 1, lettera m), dall'AgID all'Agenzia, i decreti di cui al
comma 5 definiscono, altresi', i raccordi tra le due amministrazioni,
per le funzioni che restano di competenza ((dell'AgID. Nelle more
dell'adozione dei decreti di cui al comma 5, il regolamento di cui
all'articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012,
n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012,
n. 221, e' adottato dall'AgID, d'intesa con la competente struttura
della Presidenza del Consiglio dei ministri.))
7. ((Al fine di assicurare la prima operativita' dell'Agenzia, il
direttore generale dell'Agenzia, fino all'adozione dei regolamenti di
cui all'articolo 11, commi 3 e 4, identifica, assume e liquida gli
impegni di spesa che saranno pagati a cura del DIS, nell'ambito delle
risorse destinate all'Agenzia. A tale fine e' istituito un apposito
capitolo nel bilancio del DIS.)) Entro 90 giorni dall'approvazione
dei regolamenti di cui all'articolo 11, ((commi 3 e 4, il Presidente
del Consiglio dei ministri da' informazione al COPASIR delle spese
effettuate ai sensi del presente comma.
8. Al fine di assicurare la prima operativita' dell'Agenzia, dalla
data della nomina del direttore generale dell'Agenzia e nel limite
del 30 per cento della dotazione organica complessiva iniziale di cui
all'articolo 12, comma 4:
a) il DIS mette a disposizione il personale impiegato nell'ambito
delle attivita' relative allo svolgimento delle funzioni oggetto di
trasferimento, con modalita' da definire mediante intese con lo
stesso Dipartimento;
b) l'Agenzia si avvale, altresi', di unita' di personale
appartenenti al Ministero dello sviluppo economico, all'Agenzia per
l'Italia digitale, ad altre pubbliche amministrazioni e ad autorita'
indipendenti, per un periodo massimo di sei mesi, prorogabile una
sola volta per un massimo di ulteriori sei mesi, messo a disposizione
dell'Agenzia stessa su specifica richiesta e secondo modalita'
individuate mediante intese con le rispettive amministrazioni di
appartenenza.
8-bis. Gli oneri derivanti dall'attuazione del comma 8 restano a
carico dell'amministrazione di appartenenza.))
9. Il regolamento di cui all'articolo 12, comma 1, prevede apposite
modalita' selettive per l'inquadramento, nella misura massima del 50
per cento della dotazione organica complessiva, del personale di cui
al comma 8 ((del presente articolo)) e del personale di cui
all'articolo 12, comma 2, lettera b), ove gia' appartenente alla
pubblica amministrazione, nel contingente di personale addetto
all'Agenzia di cui al medesimo articolo 12, che tengano conto delle
mansioni svolte e degli incarichi ricoperti durante il periodo di
servizio presso l'Agenzia, nonche' delle competenze possedute e dei
requisiti di professionalita' ed esperienza richiesti per le
specifiche posizioni. ((Il personale di cui al comma 8, lettera a),
e' inquadrato, a decorrere dal 1° gennaio 2022 nel ruolo di cui
all'articolo 12, comma 2, lettera a), secondo le modalita' definite
dal regolamento di cui all'articolo 12, comma 1.)) Gli inquadramenti
conseguenti alle procedure selettive di cui al presente comma,
relative al personale di cui al comma 8, lettera b), decorrono allo
scadere dei sei mesi o della relativa proroga e, comunque, non oltre
il 30 giugno 2022.
10. L'Agenzia si avvale del patrocinio dell'Avvocatura dello Stato,
ai sensi dell'articolo 1 del testo unico approvato con regio decreto
30 ottobre 1933, n. 1611.
((10-bis. In sede di prima applicazione del presente decreto:
a) la prima relazione di cui all'articolo 14, comma 1, e'
trasmessa entro il 30 novembre 2022;
b) entro il 31 ottobre 2022, il Presidente del Consiglio dei
ministri trasmette alle Camere una relazione che da' conto dello
stato di attuazione, al 30 settembre 2022, delle disposizioni di cui
al presente decreto, anche al fine di formulare eventuali proposte in
materia.
10-ter. I pareri delle Commissioni parlamentari competenti per
materia e per i profili finanziari e del COPASIR previsti dal
presente decreto sono resi entro il termine di trenta giorni dalla
trasmissione dei relativi schemi di decreto, decorso il quale il
Presidente del Consiglio dei ministri puo' comunque procedere
all'adozione dei relativi provvedimenti.))
Art. 18
Disposizioni finanziarie
1. Per l'attuazione degli articoli da 5 a 7 e' istituito, nello
stato di previsione del Ministero dell'economia e delle finanze, un
apposito capitolo con una dotazione di 2.000.000 di euro per l'anno
2021, 41.000.000 di euro per l'anno 2022, 70.000.000 di euro per
l'anno 2023, 84.000.000 di euro per l'anno 2024, 100.000.000 di euro
per l'anno 2025,110.000.000 di euro per l'anno 2026 e 122.000.000 di
euro annui a decorrere dall'anno 2027.
2. Agli oneri di cui al comma 1, si provvede mediante
((corrispondente)) riduzione ((del Fondo)) di cui all'articolo 1,
comma 200, della legge 23 dicembre 2014, n. 190.
3. Le risorse iscritte sui bilanci delle amministrazioni
interessate, correlate alle funzioni ridefinite ai sensi del presente
decreto a decorrere ((dall'inizio del funzionamento)) dell'Agenzia di
cui all'articolo 5, sono accertate, anche in conto residui, con
decreto del Ministro dell'economia e delle finanze, di concerto con i
Ministri responsabili, e portate ad incremento del Fondo di cui
all'articolo 1, comma 200, della legge 23 dicembre 2014, n. 190,
anche mediante versamento all'entrata del bilancio dello Stato e
successiva riassegnazione ((alla spesa.))
4. I proventi di cui all'articolo 11, comma 2, sono versati
all'entrata del bilancio dello Stato, per essere riassegnati al
capitolo di cui al comma 1 ((del presente articolo.))
5. Ai fini dell'immediata attuazione delle disposizioni del
presente decreto il Ministro dell'economia e delle finanze e'
autorizzato ad apportare, con propri decreti, anche in conto residui,
le occorrenti variazioni di bilancio.
Art. 19
Entrata in vigore
1. Il presente decreto entra in vigore il giorno successivo a
quello della sua pubblicazione nella Gazzetta Ufficiale della
Repubblica italiana e sara' presentato alle Camere per la conversione
in legge.
