Settore: | Normativa nazionale |
Materia: | 81. Pubblica sicurezza |
Capitolo: | 81.1 disciplina generale |
Data: | 14/06/2021 |
Numero: | 82 |
Sommario |
Art. 1. Definizioni |
Art. 2. Competenze del Presidente del Consiglio dei ministri |
Art. 3. Autorità delegata |
Art. 4. Comitato interministeriale per la cybersicurezza |
Art. 5. Agenzia per la cybersicurezza nazionale |
Art. 6. Organizzazione dell'Agenzia per la cybersicurezza nazionale |
Art. 7. Funzioni dell'Agenzia per la cybersicurezza nazionale |
Art. 8. Nucleo per la cybersicurezza |
Art. 9. Compiti del Nucleo per la cybersicurezza |
Art. 10. Gestione delle crisi che coinvolgono aspetti di cybersicurezza |
Art. 11. Norme di contabilità e disposizioni finanziarie |
Art. 12. Personale |
Art. 13. Trattamento dei dati personali |
Art. 14. Relazioni annuali |
Art. 15. Modificazioni al decreto legislativo NIS |
Art. 16. Altre modificazioni |
Art. 17. Disposizioni transitorie e finali |
Art. 18. Disposizioni finanziarie |
Art. 19. Entrata in vigore |
§ 81.1.84 - D.L. 14 giugno 2021, n. 82. [1]
Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale.
(G.U. 14 giugno 2021, n. 140)
Art. 1. Definizioni
1. Ai fini del presente decreto si intende per:
a) cybersicurezza, l'insieme delle attività, fermi restando le attribuzioni di cui alla
b) resilienza nazionale nello spazio cibernetico, le attività volte a prevenire un pregiudizio per la sicurezza nazionale come definito dall'articolo 1, comma 1, lettera f), del regolamento di cui al
c) decreto-legge perimetro, il
d) decreto legislativo NIS, il decreto legislativo di recepimento della
e) strategia nazionale di cybersicurezza, la strategia di cui all'articolo 9 del decreto legislativo NIS [2].
Art. 2. Competenze del Presidente del Consiglio dei ministri
1. Al Presidente del Consiglio dei ministri sono attribuite in via esclusiva:
a) l'alta direzione e la responsabilità generale delle politiche di cybersicurezza;
b) l'adozione della strategia nazionale di cybersicurezza, sentito il Comitato interministeriale per la cybersicurezza (CIC) di cui all'articolo 4;
c) la nomina e la revoca del direttore generale e del vice direttore generale dell'Agenzia per la cybersicurezza nazionale di cui all'articolo 5, previa deliberazione del Consiglio dei ministri [3].
2. Ai fini dell'esercizio delle competenze di cui al comma 1, lettera a), e dell'attuazione della strategia nazionale di cybersicurezza, il Presidente del Consiglio dei ministri, sentito il CIC, impartisce le direttive per la cybersicurezza ed emana ogni disposizione necessaria per l'organizzazione e il funzionamento dell'Agenzia per la cybersicurezza nazionale.
3. Il Presidente del Consiglio dei ministri informa preventivamente il Comitato parlamentare per la sicurezza della Repubblica (COPASIR), di cui all'articolo 30 della
Art. 3. Autorità delegata
1. Il Presidente del Consiglio dei ministri, ove lo ritenga opportuno, può delegare all'Autorità di cui all'articolo 3 della
2. Il Presidente del Consiglio dei ministri è costantemente informato dall'Autorità delegata sulle modalità di esercizio delle funzioni delegate ai sensi del presente decreto e, fermo restando il potere di direttiva, può in qualsiasi momento avocare l'esercizio di tutte o di alcune di esse.
3. L'Autorità delegata, in relazione alle funzioni delegate ai sensi del presente decreto, partecipa alle riunioni del Comitato interministeriale per la transizione digitale di cui all'articolo 8 del
Art. 4. Comitato interministeriale per la cybersicurezza
1. Presso la Presidenza del Consiglio dei ministri è istituito il Comitato interministeriale per la cybersicurezza (CIC), con funzioni di consulenza, proposta e vigilanza in materia di politiche di cybersicurezza [6].
2. Il Comitato:
a) propone al Presidente del Consiglio dei ministri gli indirizzi generali da perseguire nel quadro delle politiche di cybersicurezza nazionale;
b) esercita l'alta sorveglianza sull'attuazione della strategia nazionale di cybersicurezza;
c) promuove l'adozione delle iniziative necessarie per favorire l'efficace collaborazione, a livello nazionale e internazionale, tra i soggetti istituzionali e gli operatori privati interessati alla cybersicurezza, nonchè per la condivisione delle informazioni e per l'adozione di migliori pratiche e di misure rivolte all'obiettivo della cybersicurezza e allo sviluppo industriale, tecnologico e scientifico in materia di cybersicurezza;
d) esprime il parere sul bilancio preventivo e sul bilancio consuntivo dell'Agenzia per la cybersicurezza nazionale.
3. Il Comitato è presieduto dal Presidente del Consiglio dei ministri ed è composto dall'Autorità delegata, ove istituita, dal Ministro degli affari esteri e della cooperazione internazionale, dal Ministro dell'interno, dal Ministro della giustizia, dal Ministro della difesa, dal Ministro dell'economia e delle finanze, dal Ministro dello sviluppo economico, dal Ministro della transizione ecologica, dal Ministro dell'università e della ricerca, dal Ministro delegato per l'innovazione tecnologica e la transizione digitale e dal Ministro delle infrastrutture e della mobilità sostenibili.
4. Il direttore generale dell'Agenzia per la cybersicurezza nazionale svolge le funzioni di segretario del Comitato [7].
5. Il Presidente del Consiglio dei ministri può chiamare a partecipare alle sedute del Comitato, anche a seguito di loro richiesta, senza diritto di voto, altri componenti del Consiglio dei ministri, nonchè altre autorità civili e militari di cui, di volta in volta, ritenga necessaria la presenza in relazione alle questioni da trattare [8].
6. Il Comitato svolge altresì le funzioni già attribuite al Comitato interministeriale per la sicurezza della Repubblica (CISR), di cui all'articolo 5 della
Art. 5. Agenzia per la cybersicurezza nazionale
1. È istituita, a tutela degli interessi nazionali nel campo della cybersicurezza, l'Agenzia per la cybersicurezza nazionale, denominata ai fini del presente decreto «Agenzia», con sede in Roma [10].
2. L'Agenzia ha personalità giuridica di diritto pubblico ed è dotata di autonomia regolamentare, amministrativa, patrimoniale, organizzativa, contabile e finanziaria, nei limiti di quanto previsto dal presente decreto. Il Presidente del Consiglio dei ministri e l'Autorità delegata, ove istituita, si avvalgono dell'Agenzia per l'esercizio delle competenze di cui al presente decreto.
3. Il direttore generale dell'Agenzia è nominato tra soggetti appartenenti a una delle categorie di cui all'articolo 18, comma 2, della
4. L'attività dell'Agenzia è regolata dal presente decreto e dalle disposizioni la cui adozione è prevista dallo stesso.
5. L'Agenzia può richiedere, anche sulla base di apposite convenzioni e nel rispetto degli ambiti di precipua competenza, la collaborazione di altri organi dello Stato, di altre amministrazioni, delle Forze armate, delle forze di polizia o di enti pubblici per lo svolgimento dei suoi compiti istituzionali [12].
6. Il COPASIR, ai sensi di quanto previsto dall'articolo 31, comma 3, della
Art. 6. Organizzazione dell'Agenzia per la cybersicurezza nazionale
1. L'organizzazione e il funzionamento dell'Agenzia sono definiti da un apposito regolamento che ne prevede, in particolare, l'articolazione fino ad un numero massimo di otto uffici di livello dirigenziale generale, nonchè fino ad un numero massimo di trenta articolazioni di livello dirigenziale non generale nell'ambito delle risorse finanziarie destinate all'Agenzia ai sensi dell'articolo 18, comma 1 [14].
1-bis. A decorrere dal 1° gennaio 2024, nei limiti delle risorse destinate al personale di cui al comma 1, le articolazioni di livello dirigenziale generale sono rideterminate nel numero massimo di dodici e, a decorrere dal 1° gennaio 2025, quelle di livello dirigenziale non generale sono rideterminate nel numero massimo di quaranta [15].
1-ter. Nelle more dell'adeguamento del regolamento di cui al comma l e nei limiti di cui al comma 1-bis, allo scopo di corrispondere alle immediate esigenze di accrescimento della capacità operativa dell'Agenzia, il direttore generale dell'Agenzia è autorizzato con proprio provvedimento ad attivare le articolazioni dirigenziali di cui al comma 1-bis, definendone funzioni e compiti [16].
2. Sono organi dell'Agenzia il direttore generale e il Collegio dei revisori dei conti. Con il regolamento di cui al comma 1 sono disciplinati altresì:
a) le funzioni del direttore generale e del vice direttore generale dell'Agenzia;
b) la composizione e il funzionamento del Collegio dei revisori dei conti;
c) l'istituzione di eventuali sedi secondarie.
3. Il regolamento di cui al comma 1 è adottato, entro centoventi giorni dalla data di entrata in vigore della legge di conversione del presente decreto, con decreto del Presidente del Consiglio dei ministri, di concerto con il Ministro dell'economia e delle finanze, anche in deroga all'articolo 17 della
Art. 7. Funzioni dell'Agenzia per la cybersicurezza nazionale
1. L'Agenzia:
a) è Autorità nazionale per la cybersicurezza e, in relazione a tale ruolo, assicura, nel rispetto delle competenze attribuite dalla normativa vigente ad altre amministrazioni, ferme restando le attribuzioni del Ministro dell'interno in qualità di autorità nazionale di pubblica sicurezza, ai sensi della
b) predispone la strategia nazionale di cybersicurezza;
c) svolge ogni necessaria attività di supporto al funzionamento del Nucleo per la cybersicurezza, di cui all'articolo 8;
d) è Autorità nazionale competente NIS e Punto di contatto unico NIS di cui all'articolo 2, comma 1, lettere d) ed e), del decreto legislativo NIS, a tutela dell'unità giuridica dell'ordinamento [18];
d-bis) è Autorità nazionale di gestione delle crisi informatiche di cui all'articolo 2, comma 1, lettera g), del decreto legislativo NIS [19];
d-ter) è CSIRT nazionale, denominato CSIRT Italia, di cui all'articolo 2, comma 1, lettera i), del decreto legislativo NIS [20];
e) è Autorità nazionale di certificazione della cybersicurezza ai sensi dell'articolo 58 del
1) accredita, ai sensi dell'articolo 60, paragrafo 1, del
2) delega, ai sensi dell'articolo 56, paragrafo 6, lettera b), del
e-bis) è Autorità competente per l'esecuzione dei compiti previsti dal
f) assume tutte le funzioni in materia di cybersicurezza già attribuite dalle disposizioni vigenti al Ministero dello sviluppo economico, ivi comprese quelle relative:
1) al perimetro di sicurezza nazionale cibernetica, di cui al decreto-legge perimetro e ai relativi provvedimenti attuativi, ivi incluse le funzioni attribuite al Centro di valutazione e certificazione nazionale ai sensi del decreto-legge perimetro, le attività di ispezione e verifica di cui all'articolo 1, comma 6, lettera c), del decreto-legge perimetro e quelle relative all'accertamento delle violazioni e all'irrogazione delle sanzioni amministrative previste dal medesimo decreto, fatte salve quelle di cui all'articolo 3 del regolamento adottato con
2) alla sicurezza e all'integrità delle comunicazioni elettroniche, di cui agli articoli 16-bis e 16-ter del decreto legislativo 1° agosto 2003, n. 259, e relative disposizioni attuative;
3) alla sicurezza delle reti e dei sistemi informativi, di cui al decreto legislativo NIS;
g) partecipa, per gli ambiti di competenza, al gruppo di coordinamento istituito ai sensi dei regolamenti di cui all'articolo 1, comma 8, del
h) assume tutte le funzioni attribuite alla Presidenza del Consiglio dei ministri in materia di perimetro di sicurezza nazionale cibernetica, di cui al decreto-legge perimetro e ai relativi provvedimenti attuativi, ivi incluse le attività di ispezione e verifica di cui all'articolo 1, comma 6,lettera c), del decreto-legge perimetro e quelle relative all'accertamento delle violazioni e all'irrogazione delle sanzioni amministrative previste dal medesimo decreto, fatte salve quelle di cui all'articolo 3 del regolamento adottato con
i) assume tutte le funzioni già attribuite al Dipartimento delle informazioni per la sicurezza (DIS), di cui all'articolo 4 della
l) provvede, sulla base delle attività di competenza del Nucleo per la cybersicurezza di cui all'articolo 8, alle attività necessarie per l'attuazione e il controllo dell'esecuzione dei provvedimenti assunti dal Presidente del Consiglio dei ministri ai sensi dell'articolo 5 del decreto-legge perimetro;
m) assume tutte le funzioni in materia di cybersicurezza già attribuite all'Agenzia per l'Italia digitale dalle disposizioni vigenti e, in particolare, quelle di cui all'articolo 51 del
m-bis) provvede, anche attraverso un'apposita sezione nell'ambito della strategia di cui alla lettera b), allo sviluppo e alla diffusione di standard, linee guida e raccomandazioni al fine di rafforzare la cybersicurezza dei sistemi informatici, alla valutazione della sicurezza dei sistemi crittografici nonchè all'organizzazione e alla gestione di attività di divulgazione finalizzate a promuovere l'utilizzo della crittografia, anche a vantaggio della tecnologia blockchain, come strumento di cybersicurezza. L'Agenzia, anche per il rafforzamento dell'autonomia industriale e tecnologica dell'Italia, promuove altresì la collaborazione con centri universitari e di ricerca per la valorizzazione dello sviluppo di nuovi algoritmi proprietari, la ricerca e il conseguimento di nuove capacità crittografiche nazionali nonchè la collaborazione internazionale con gli organismi esteri che svolgono analoghe funzioni. A tale fine, è istituito presso l'Agenzia, nell'ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente e senza nuovi o maggiori oneri a carico della finanza pubblica, il Centro nazionale di crittografia, il cui funzionamento è disciplinato con provvedimento del direttore generale dell'Agenzia stessa. Il Centro nazionale di crittografia svolge le funzioni di centro di competenza nazionale per tutti gli aspetti della crittografia in ambito non classificato, ferme restando le competenze dell'Ufficio centrale per la segretezza, di cui all'articolo 9 della
m-ter) provvede alla qualificazione dei servizi cloud per la pubblica amministrazione nel rispetto della disciplina dell'Unione europea e del regolamento di cui all'articolo 33-septies, comma 4, del
n) sviluppa capacità nazionali di prevenzione, monitoraggio, rilevamento, analisi e risposta, per prevenire e gestire gli incidenti di sicurezza informatica e gli attacchi informatici, anche attraverso il CSIRT Italia di cui all'articolo 2, comma 1, lettera i) del decreto legislativo NIS. A tale fine, promuove iniziative di partenariato pubblico-privato, per rendere affettive tali capacità [27];
n-bis) nell'ambito delle funzioni di cui al primo periodo della lettera n), svolge ogni attività diretta all'analisi e al supporto per il contenimento e il ripristino dell'operatività dei sistemi compromessi, con la collaborazione dei soggetti pubblici o privati che hanno subito incidenti di sicurezza informatica o attacchi informatici. La mancata collaborazione di cui al primo periodo è valutata ai fini dell'applicazione delle sanzioni previste dall'articolo 1, commi 10 e 14, del decreto-legge perimetro, per i soggetti di cui all'articolo 1, comma 2-bis, del medesimo decreto-legge perimetro, i soggetti essenziali e i soggetti importanti di cui all'articolo 6 del decreto legislativo NIS, del decreto legislativo NIS e di cui all'articolo 40, comma 3, alinea, del codice delle comunicazioni elettroniche, di cui al decreto legislativo 1° agosto 2003, n. 259; restano esclusi gli organi dello Stato preposti alla prevenzione, all'accertamento e alla repressione dei reati, alla tutela dell'ordine e della sicurezza pubblica e alla difesa e sicurezza militare dello Stato, nonchè gli organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della
n-ter) provvede alla raccolta, all'elaborazione e alla classificazione dei dati relativi alle notifiche di incidenti ricevute dai soggetti che a ciò siano tenuti in osservanza delle disposizioni vigenti. Tali dati sono resi pubblici nell'ambito della relazione prevista dall'articolo 14, comma 1, quali dati ufficiali di riferimento degli attacchi informatici portati ai soggetti che operano nei settori rilevanti per gli interessi nazionali nel campo della cybersicurezza. Agli adempimenti previsti dalla presente lettera si provvede con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente [29];
o) partecipa alle esercitazioni nazionali e internazionali che riguardano la simulazione di eventi di natura cibernetica al fine di innalzare la resilienza del Paese;
p) cura e promuove la definizione ed il mantenimento di un quadro giuridico nazionale aggiornato e coerente nel dominio della cybersicurezza, tenendo anche conto degli orientamenti e degli sviluppi in ambito internazionale. A tal fine, l'Agenzia esprime pareri non vincolanti sulle iniziative legislative o regolamentari concernenti la cybersicurezza;
q) coordina, in raccordo con il Ministero degli affari esteri e della cooperazione internazionale, la cooperazione internazionale nella materia della cybersicurezza. Nell'ambito dell'Unione europea e a livello internazionale, l'Agenzia cura i rapporti con i competenti organismi, istituzioni ed enti, nonchè segue nelle competenti sedi istituzionali le tematiche di cybersicurezza, fatta eccezione per gli ambiti in cui la legge attribuisce specifiche competenze ad altre amministrazioni. In tali casi, è comunque assicurato il raccordo con l'Agenzia al fine di garantire posizioni nazionali unitarie e coerenti con le politiche di cybersicurezza definite dal Presidente del Consiglio dei ministri [30];
r) perseguendo obiettivi di eccellenza, supporta negli ambiti di competenza, mediante il coinvolgimento del sistema dell'università e della ricerca nonchè del sistema produttivo nazionali, lo sviluppo di competenze e capacità industriali, tecnologiche e scientifiche. A tali fini, l'Agenzia può promuovere, sviluppare e finanziare specifici progetti ed iniziative, volti anche a favorire il trasferimento tecnologico dei risultati della ricerca nel settore. L'Agenzia assicura il necessario raccordo con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza e, in particolare, con il Ministero della difesa per gli aspetti inerenti alla ricerca militare. L'Agenzia può altresì promuovere la costituzione di aree dedicate allo sviluppo dell'innovazione finalizzate a favorire la formazione e il reclutamento di personale nei settori avanzati dello sviluppo della cybersicurezza, nonchè promuovere la realizzazione di studi di fattibilità e di analisi valutative finalizzati a tale scopo [31];
s) stipula accordi bilaterali e multilaterali, anche mediante il coinvolgimento del settore privato e industriale, con istituzioni, enti e organismi di altri Paesi per la partecipazione dell'Italia a programmi di cybersicurezza, assicurando il necessario raccordo con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza, ferme restando le competenze del Ministero degli affari esteri e della cooperazione internazionale [32];
t) promuove, sostiene e coordina la partecipazione italiana a progetti e iniziative dell'Unione europea e internazionali, anche mediante il coinvolgimento di soggetti pubblici e privati nazionali, nel campo della cybersicurezza e dei correlati servizi applicativi, ferme restando le competenze del Ministero degli affari esteri e della cooperazione internazionale. L'Agenzia assicura il necessario raccordo con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza e, in particolare, con il Ministero della difesa per gli aspetti inerenti a progetti e iniziative in collaborazione con la NATO e con l'Agenzia europea per la difesa [33];
u) svolge attività di comunicazione e promozione della consapevolezza in materia di cybersicurezza, al fine di contribuire allo sviluppo di una cultura nazionale in materia;
v) promuove la formazione, la crescita tecnico-professionale e la qualificazione delle risorse umane nel campo della cybersicurezza, in particolare favorendo l'attivazione di percorsi formativi universitari in materia, anche attraverso l'assegnazione di borse di studio, di dottorato e assegni di ricerca, sulla base di apposite convenzioni con soggetti pubblici e privati; nello svolgimento di tali compiti, l'Agenzia può avvalersi anche delle strutture formative e delle capacità della Presidenza del Consiglio dei ministri, del Ministero della difesa e del Ministero dell'interno, secondo termini e modalità da definire con apposito decreto del Presidente del Consiglio dei ministri, di concerto con i Ministri interessati [34];
v-bis) può predisporre attività di formazione specifica riservate ai giovani che aderiscono al servizio civile regolate sulla base di apposite convenzioni. In ogni caso, il servizio prestato è, a tutti gli effetti, riconosciuto come servizio civile [35];
z) per le finalità di cui al presente articolo, può costituire e partecipare a partenariati pubblico-privato sul territorio nazionale, nonchè, previa autorizzazione del Presidente del Consiglio dei ministri, a consorzi, fondazioni o società con soggetti pubblici e privati, italiani e stranieri;
aa) è designata quale Centro nazionale di coordinamento ai sensi dell'articolo 6 del
1-bis. Anche ai fini dell'esercizio delle funzioni di cui al comma 1, lettere r), s), t), u), v), z) e aa), presso l'Agenzia è istituito, con funzioni di consulenza e di proposta, un Comitato tecnico-scientifico, presieduto dal direttore generale della medesima Agenzia, o da un dirigente da lui delegato, e composto da personale della stessa Agenzia e da qualificati rappresentanti dell'industria, degli enti di ricerca, dell'accademia e delle associazioni del settore della sicurezza, designati con decreto del Presidente del Consiglio dei ministri. La composizione e l'organizzazione del Comitato tecnico-scientifico sono disciplinate secondo le modalità e i criteri definiti dal regolamento di cui all'articolo 6, comma 1. Per la partecipazione al Comitato tecnico-scientifico non sono previsti gettoni di presenza, compensi o rimborsi di spese [36].
2. Nell'ambito dell'Agenzia sono nominati, con decreto del Presidente del Consiglio dei ministri, il rappresentante nazionale, e il suo sostituto, nel Consiglio di direzione del Centro europeo di competenza perla cybersicurezza nell'ambito industriale, tecnologico e della ricerca, ai sensi dell'articolo 12 del
3. [Il CSIRT italiano di cui all'articolo 8 del decreto legislativo NIS è trasferito presso l'Agenzia e assume la denominazione di: «CSIRT Italia»] [37].
4. Il Centro di valutazione e certificazione nazionale, istituito presso il Ministero dello sviluppo economico, è trasferito presso l'Agenzia.
5. Nel rispetto delle competenze del Garante per la protezione dei dati personali, l'Agenzia, per le finalità di cui al presente decreto, consulta il Garante e collabora con esso, anche in relazione agli incidenti che comportano violazioni di dati personali. L'Agenzia e il Garante possono stipulare appositi protocolli d'intenti che definiscono altresì le modalità della loro collaborazione nell'ambito delle risorse disponibili a legislazione vigente e senza nuovi o maggiori oneri per la finanza pubblica.
Art. 8. Nucleo per la cybersicurezza
1. Presso l'Agenzia è costituito, in via permanente, il Nucleo per la cybersicurezza, a supporto del Presidente del Consiglio dei ministri nella materia della cybersicurezza, per gli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi e per l'attivazione delle procedure di allertamento.
2. Il Nucleo per la cybersicurezza è presieduto dal direttore generale dell'Agenzia o, per sua delega, dal vice direttore generale ed è composto dal Consigliere militare del Presidente del Consiglio dei ministri, da un rappresentante, rispettivamente, del DIS, dell'Agenzia informazioni e sicurezza esterna (AISE), di cui all'articolo 6 della
3. I componenti del Nucleo possono farsi assistere alle riunioni da altri rappresentanti delle rispettive amministrazioni in relazione alle materie oggetto di trattazione. In base agli argomenti delle riunioni possono anche essere chiamati a partecipare rappresentanti di altre amministrazioni, di università o di enti e istituti di ricerca, nonchè di operatori privati interessati alla materia della cybersicurezza [39].
4. Il Nucleo può essere convocato in composizione ristretta con la partecipazione dei rappresentanti delle sole amministrazioni e soggetti interessati, anche relativamente ai compiti di gestione delle crisi di cui all'articolo 10.
4.1. In relazione a specifiche questioni di particolare rilevanza concernenti i compiti di cui all'articolo 9, comma 1, lettera a), il Nucleo può essere convocato nella composizione di cui al comma 4 del presente articolo, di volta in volta estesa alla partecipazione di un rappresentante della Direzione nazionale antimafia e antiterrorismo, della Banca d'Italia o di uno o più operatori di cui all'articolo 1, comma 2-bis, del decreto-legge perimetro, nonchè di eventuali altri soggetti, interessati alle stesse questioni. Le amministrazioni e i soggetti convocati partecipano alle suddette riunioni a livello di vertice [40].
4-bis. Ai componenti del Nucleo non spettano compensi, gettoni di presenza, rimborsi di spese o altri emolumenti comunque denominati [41].
Art. 9. Compiti del Nucleo per la cybersicurezza
1. Per le finalità di cui all'articolo 8, il Nucleo per la cybersicurezza svolge i seguenti compiti:
a) può formulare proposte di iniziative in materia di cybersicurezza del Paese, anche nel quadro del contesto internazionale in materia;
b) promuove, sulla base delle direttive di cui all'articolo 2, comma 2, la programmazione e la pianificazione operativa della risposta a situazioni di crisi cibernetica da parte delle amministrazioni e degli operatori privati interessati e l'elaborazione delle necessarie procedure di coordinamento interministeriale, in raccordo con le pianificazioni di difesa civile e di protezione civile, anche nel quadro di quanto previsto dall'articolo 7-bis, comma 5, del
c) promuove e coordina lo svolgimento di esercitazioni interministeriali, ovvero la partecipazione nazionale a esercitazioni internazionali che riguardano la simulazione di eventi di natura cibernetica al fine di innalzare la resilienza del Paese [43];
d) valuta e promuove, in raccordo con le amministrazioni competenti per specifici profili della cybersicurezza, procedure di condivisione delle informazioni, anche con gli operatori privati interessati, ai fini della diffusione di allarmi relativi ad eventi cibernetici e per la gestione delle crisi;
e) acquisisce, anche per il tramite del CSIRT Italia, le comunicazioni circa i casi di violazioni o tentativi di violazione della sicurezza o di perdita dell'integrità significativi ai fini del corretto funzionamento delle reti e dei servizi dagli organismi di informazione di cui agli articoli 4, 6 e 7 della
f) riceve dal CSIRT Italia le notifiche di incidente ai sensi delle disposizioni vigenti;
g) valuta se gli eventi di cui alle lettere e) e f) assumono dimensioni, intensità o natura tali da non poter essere fronteggiati dalle singole amministrazioni competenti in via ordinaria, ma richiedono l'assunzione di decisioni coordinate in sede interministeriale, provvedendo in tal caso a informare tempestivamente il Presidente del Consiglio dei ministri, ovvero l'Autorità delegata, ove istituita, sulla situazione in atto e allo svolgimento delle attività di raccordo e coordinamento di cui all'articolo 10, nella composizione ivi prevista.
Art. 10. Gestione delle crisi che coinvolgono aspetti di cybersicurezza
1. Nelle situazioni di crisi che coinvolgono aspetti di cybersicurezza, nei casi in cui il Presidente del Consiglio dei ministri convochi il CISR in materia di gestione delle predette situazioni di crisi, alle sedute del Comitato sono chiamati a partecipare il Ministro delegato per l'innovazione tecnologica e la transizione digitale e il direttore generale dell'Agenzia.
2. (Omissis) [45].
3. In situazioni di crisi di natura cibernetica il Nucleo è integrato, in ragione della necessità, con un rappresentante, rispettivamente, del Ministero della salute e del Ministero dell'interno-Dipartimento dei Vigili del fuoco, del soccorso pubblico e della difesa civile, in rappresentanza anche della Commissione interministeriale tecnica di difesa civile, autorizzati ad assumere decisioni che impegnano la propria amministrazione. Alle riunioni i componenti possono farsi accompagnare da altri funzionari della propria amministrazione. Alle stesse riunioni possono essere chiamati a partecipare rappresentanti di altre amministrazioni, anche locali, ed enti, anche essi autorizzati ad assumere decisioni, e di altri soggetti pubblici o privati eventualmente interessati. Per la partecipazione non sono previsti compensi, gettoni di presenza, rimborsi di spese o altri emolumenti comunque denominati [46].
4. È compito del Nucleo, nella composizione per la gestione delle crisi, di cui al comma 3, assicurare che le attività di reazione e stabilizzazione di competenza delle diverse amministrazioni ed enti rispetto a situazioni di crisi di natura cibernetica vengano espletate in maniera coordinata secondo quanto previsto dall'articolo 9, comma 1, lettera b) [47].
5. Il Nucleo, per l'espletamento delle proprie funzioni e fermo restando quanto previsto ai sensi dell'articolo 7-bis, comma 5, del
a) mantiene costantemente informato il Presidente del Consiglio dei ministri, ovvero l'Autorità delegata, ove istituita, sulla crisi in atto, predisponendo punti aggiornati di situazione;
b) assicura il coordinamento per l'attuazione a livello interministeriale delle determinazioni del Presidente del Consiglio dei ministri per il superamento della crisi;
c) raccoglie tutti i dati relativi alla crisi;
d) elabora rapporti e fornisce informazioni sulla crisi e li trasmette ai soggetti pubblici e privati interessati;
e) partecipa ai meccanismi europei di gestione delle crisi cibernetiche, assicurando altresì i collegamenti finalizzati alla gestione della crisi con gli omologhi organismi di altri Stati, della NATO, dell'Unione europea o di organizzazioni internazionali di cui l'Italia fa parte [48].
Art. 11. Norme di contabilità e disposizioni finanziarie
1. Con la legge di bilancio è determinato lo stanziamento annuale da assegnare all'Agenzia da iscrivere sul capitolo di cui all'articolo 18, comma 1, sulla base della determinazione del fabbisogno annuo operata dal Presidente del Consiglio dei ministri, previamente comunicata al COPASIR [49].
2. Le entrate dell'Agenzia sono costituite da:
a) dotazioni finanziarie e contributi ordinari di cui all'articolo 18 del presente decreto;
b) corrispettivi per i servizi prestati a soggetti pubblici o privati;
c) proventi derivanti dallo sfruttamento della proprietà industriale, dei prodotti dell'ingegno e delle invenzioni dell'Agenzia;
d) altri proventi patrimoniali e di gestione;
e) contributi dell'Unione europea o di organismi internazionali, anche a seguito della partecipazione a specifici bandi, progetti e programmi di collaborazione [50];
f) proventi delle sanzioni irrogate dall'Agenzia ai sensi di quanto previsto dal decreto legislativo NIS, dal decreto-legge perimetro e dal decreto legislativo 1° agosto 2003, n. 259, e relative disposizioni attuative;
g) ogni altra eventuale entrata.
3. Il regolamento di contabilità dell'Agenzia, che ne assicura l'autonomia gestionale e contabile, è adottato con decreto del Presidente del Consiglio dei ministri, di concerto con il Ministro dell'economia e delle finanze, su proposta del direttore generale dell'Agenzia, previo parere del COPASIR e sentito il CIC, entro centoventi giorni dalla data di entrata in vigore della legge di conversione del presente decreto, anche in deroga all'articolo 17 della
a) il bilancio preventivo e il bilancio consuntivo adottati dal direttore generale dell'Agenzia sono approvati con decreto del Presidente del Consiglio dei ministri, previo parere del CIC, e sono trasmessi alla Corte dei conti che esercita il controllo previsto dall'articolo 3, comma 4, della
b) il bilancio consuntivo e la relazione della Corte dei conti sono trasmessi alle Commissioni parlamentari competenti e al COPASIR [52].
4. Con regolamento adottato con decreto del Presidente del Consiglio dei ministri, su proposta del direttore generale dell'Agenzia, entro centoventi giorni dalla data di entrata in vigore della legge di conversione del presente decreto, anche in deroga all'articolo 17 della
Art. 12. Personale
1. Con apposito regolamento è dettata, nel rispetto dei principi generali dell'ordinamento giuridico, anche in deroga alle vigenti disposizioni di legge, ivi incluso il
2. Il regolamento determina, nell'ambito delle risorse finanziarie destinate all'Agenzia ai sensi dell'articolo 18, comma 1, in particolare [55]:
a) l'istituzione di un ruolo del personale e la disciplina generale del rapporto d'impiego alle dipendenze dell'Agenzia;
b) la possibilità di procedere, oltre che ad assunzioni a tempo indeterminato attraverso modalità concorsuali, ad assunzioni a tempo determinato, con contratti di diritto privato, di soggetti in possesso di alta e particolare specializzazione debitamente documentata, individuati attraverso adeguate modalità selettive, per lo svolgimento di attività assolutamente necessarie all'operatività dell'Agenzia o per specifiche progettualità da portare a termine in un arco di tempo prefissato;
c) la possibilità di avvalersi di un contingente di esperti, non superiore a cinquanta unità, composto da personale, collocato fuori ruolo o in posizione di comando o altra analoga posizione prevista dagli ordinamenti di appartenenza, proveniente da pubbliche amministrazioni di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n.165, con esclusione del personale docente, educativo, amministrativo, tecnico e ausiliario delle istituzioni scolastiche, ovvero da personale non appartenente alla pubblica amministrazione, in possesso di specifica ed elevata competenza in materia di cybersicurezza e di tecnologie digitali innovative, nello sviluppo e gestione di processi complessi di trasformazione tecnologica e delle correlate iniziative di comunicazione e disseminazione, nonchè di significativa esperienza in progetti di trasformazione digitale, ivi compreso lo sviluppo di programmi e piattaforme digitali con diffusione su larga scala. Il regolamento, a tali fini, disciplina la composizione del contingente e il compenso spettante per ciascuna professionalità [56];
d) la determinazione della percentuale massima dei dipendenti che è possibile assumere a tempo determinato;
e) la possibilità di impiegare personale del Ministero della difesa, secondo termini e modalità da definire con apposito decreto del Presidente del Consiglio dei ministri;
f) le ipotesi di incompatibilità;
g) le modalità di progressione di carriera all'interno dell'Agenzia;
h) la disciplina e il procedimento per la definizione degli aspetti giuridici e, limitatamente ad eventuali compensi accessori, economici del rapporto di impiego del personale oggetto di negoziazione con le rappresentanze del personale;
i) le modalità applicative delle disposizioni del
l) i casi di cessazione dal servizio del personale assunto a tempo indeterminato ed i casi di anticipata risoluzione dei rapporti a tempo determinato;
m) quali delle disposizioni possono essere oggetto di revisione per effetto della negoziazione con le rappresentanze del personale.
3. Qualora le assunzioni di cui al comma 2, lettera b), riguardino professori universitari di ruolo o ricercatori universitari confermati si applicano le disposizioni di cui all'articolo 12 del
3-bis. Nell'ambito delle assunzioni a tempo indeterminato attraverso modalità concorsuali, l'Agenzia può riservare una quota non superiore al 50 per cento dei posti messi a concorso per l'assunzione di personale non dirigenziale in favore dei titolari di rapporto di lavoro a tempo determinato di cui al comma 2, lettera b), nonchè del personale proveniente dalle società a controllo pubblico ai sensi dell'articolo 17, comma 8.1, in possesso dei requisiti necessari per l'inquadramento nel ruolo del personale dell'Agenzia di cui al comma 2, lettera a), e che, alla data di pubblicazione del bando, abbiano prestato servizio continuativo per almeno due anni presso la medesima Agenzia [57].
4. In sede di prima applicazione delle disposizioni di cui al presente decreto, il numero di posti previsti dalla dotazione organica dell'Agenzia è individuato nella misura complessiva di trecento unità, di cui fino a un massimo di otto di livello dirigenziale generale, fino a un massimo di 24 di livello dirigenziale non generale e fino a un massimo di 268 unità di personale non dirigenziale.
5. Fermo restando l'adeguamento della dotazione organica di livello dirigenziale generale e non generale di cui all'articolo 6, comma 1-bis, e le relative decorrenze, la rimanente dotazione organica è progressivamente rideterminata, in linea con il processo di crescita della capacità operativa dell'Agenzia, con decreti del Presidente del Consiglio dei ministri di concerto con il Ministro dell'economia e delle finanze, nei limiti delle risorse finanziarie destinate al personale di cui all'articolo 18, comma 1. Dei provvedimenti adottati in materia di dotazione organica è data tempestiva e motivata comunicazione alle Commissioni parlamentari competenti e al COPASIR [58].
6. Le assunzioni effettuate in violazione delle disposizioni del presente decreto o del regolamento di cui al presente articolo sono nulle, ferma restando la responsabilità personale, patrimoniale e disciplinare dichi le ha disposte.
7. Il personale che presta comunque la propria opera alle dipendenze o in favore dell'Agenzia è tenuto, anche dopo la cessazione di tale attività, al rispetto del segreto su ciò di cui sia venuto a conoscenza nell'esercizio o a causa delle proprie funzioni [59].
8. Il regolamento di cui al comma 1 è adottato, entro centoventi giorni dalla data di entrata in vigore della legge di conversione del presente decreto, con decreto del Presidente del Consiglio dei ministri, anche in deroga all'articolo 17 della
8-bis. In relazione alle assunzioni a tempo determinato di cui al comma 2, lettera b), i relativi contratti per lo svolgimento delle funzioni volte alla tutela della sicurezza nazionale nello spazio cibernetico attribuite all'Agenzia, possono prevedere una durata massima di quattro anni, rinnovabile per periodi non superiori ad ulteriori complessivi quattro anni. Delle assunzioni e dei rinnovi disposti ai sensi del presente comma è data comunicazione al COPASIR nell'ambito della relazione di cui all'articolo 14, comma 2 [61].
8-ter. I dipendenti appartenenti al ruolo del personale dell'Agenzia di cui al comma 2, lettera a), che abbiano partecipato, nell'interesse e a spese dell'Agenzia, a specifici percorsi formativi di specializzazione, per la durata di due anni a decorrere dalla data di completamento dell'ultimo dei predetti percorsi formativi non possono essere assunti nè assumere incarichi presso soggetti privati al fine di svolgere mansioni in materia di cybersicurezza. I contratti stipulati in violazione di quanto disposto dal presente comma sono nulli. Le disposizioni del presente comma non si applicano al personale cessato dal servizio presso l'Agenzia secondo quanto previsto dalle disposizioni del regolamento adottato ai sensi del presente articolo relative al collocamento a riposo d'ufficio, al raggiungimento del requisito anagrafico previsto dalla legge per la pensione di vecchiaia, alla cessazione a domanda per inabilità o alla dispensa dal servizio per motivi di salute. I percorsi formativi di specializzazione di cui al presente comma sono individuati con determinazione del direttore generale dell'Agenzia, tenendo conto della particolare qualità dell'offerta formativa, dei costi, della durata e del livello di specializzazione che consegue alla frequenza dei suddetti percorsi [62].
Art. 13. Trattamento dei dati personali
1. Il trattamento dei dati personali svolto per finalità di sicurezza nazionale in applicazione del presente decreto è effettuato ai sensi dell'articolo 58, commi 2 e 3, del
Art. 14. Relazioni annuali
1. Entro il 30 aprile di ogni anno, il Presidente del Consiglio dei ministri trasmette al Parlamento una relazione sull'attività svolta dall'Agenzia nell'anno precedente, in materia di cybersicurezza nazionale.
2. Entro il 30 giugno di ogni anno, il Presidente del Consiglio dei ministri trasmette al COPASIR una relazione sulle attività svolte nell'anno precedente dall'Agenzia negli ambiti concernenti la tutela della sicurezza nazionale nello spazio cibernetico relativamente ai profili di competenza del Comitato [63].
Art. 15. Modificazioni al decreto legislativo NIS [64]
[1. Al decreto legislativo NIS, sono apportate le seguenti modificazioni:
a) all'articolo 1, comma 2, lettera a), le parole: «strategia nazionale di sicurezza cibernetica» sono sostituite dalle seguenti: «strategia nazionale di cybersicurezza»;
b) all'articolo 1, comma 2, lettera b), le parole: «delle autorità nazionali competenti» sono sostituite dalle seguenti: «dell'autorità nazionale competente NIS, delle autorità di settore»;
c) all'articolo 3, lettera a), le parole da: «autorità competente NIS» a: «per settore,» sono sostituite dalle seguenti: «autorità nazionale competente NIS, l'autorità nazionale unica, competente»;
d) all'articolo 3, dopo la lettera a), è inserita la seguente: «a-bis) autorità di settore, le autorità di cui all'articolo 7, comma 1, lettere da a) a e)»;
e) all'articolo 4, il comma 6 è sostituito dal seguente:
«6. L'elenco degli operatori di servizi essenziali identificati ai sensi del comma 1 è riesaminato e, se del caso, aggiornato su base regolare, e almeno ogni due anni dopo il 9 maggio 2018, con le seguenti modalità:
a) le autorità di settore, in relazione ai settori di competenza, propongono all'autorità nazionale competente NIS le variazioni all'elenco degli operatori dei servizi essenziali, secondo i criteri di cui ai commi 2 e 3;
b) le proposte sono valutate ed eventualmente integrate, d'intesa con le autorità di settore, dall'autorità nazionale competente NIS che, con propri provvedimenti, provvede alle variazioni dell'elenco degli operatori dei servizi essenziali, dandone comunicazione, in relazione ai settori di competenza, anche alle autorità di settore.»;
f) all'articolo 6, nella rubrica, le parole: «sicurezza cibernetica» sono sostituite dalla seguente: «cybersicurezza»; ai commi 1, 2 e 3, le parole: «sicurezza cibernetica» sono sostituite dalla seguente: «cybersicurezza»; al comma 4, le parole: «La Presidenza del Consiglio dei ministri» sono sostituite dalle seguenti: «L'Agenzia per la cybersicurezza» e le parole: «sicurezza cibernetica» sono sostituite dalla seguente: «cybersicurezza»;
g) l'articolo 7 è sostituito dal seguente:
«Art. 7 (Autorità nazionale competente e punto di contatto unico). - 1. L'Agenzia per la cybersicurezza nazionale è designata quale autorità nazionale competente NIS per i settori e sottosettori di cui all'allegato II e per i servizi di cui all'allegato III. Sono designate quali autorità di settore:
a) il Ministero dello sviluppo economico, per il settore infrastrutture digitali, sottosettori IXP, DNS, TLD, nonchè per i servizi digitali;
b) il Ministero delle infrastrutture e della mobilità sostenibili, per il settore trasporti, sottosettori aereo, ferroviario, per vie d'acqua e su strada;
c) il Ministero dell'economia e delle finanze, per il settore bancario e per il settore infrastrutture dei mercati finanziari, in collaborazione con le autorità di vigilanza di settore, Banca d'Italia e Consob, secondo modalità di collaborazione e di scambio di informazioni stabilite con decreto del Ministro dell'economia e delle finanze;
d) il Ministero della salute, per l'attività di assistenza sanitaria, come definita dall'articolo 3, comma 1, lettera a), del
e) il Ministero della transizione ecologica per il settore energia, sottosettori energia elettrica, gas e petrolio;
f) il Ministero della transizione ecologica e le Regioni e le Province autonome di Trento e di Bolzano, direttamente o per il tramite delle Autorità territorialmente competenti, in merito al settore fornitura e distribuzione di acqua potabile.
2. L'autorità nazionale competente NIS è responsabile dell'attuazione del presente decreto con riguardo ai settori di cui all'allegato II e ai servizi di cui all'allegato III e vigila sull'applicazione del presente decreto a livello nazionale, esercitando altresì le relative potestà ispettive e sanzionatorie.
3. L'Agenzia per la cybersicurezza nazionale è designata quale punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi.
4. Il punto di contatto unico svolge una funzione di collegamento per garantire la cooperazione transfrontaliera dell'autorità nazionale competente NIS con le autorità competenti degli altri Stati membri, nonchè con il gruppo di cooperazione di cui all'articolo 10 e la rete di CSIRT di cui all'articolo 11.
5. Il punto di contatto unico collabora nel gruppo di cooperazione in modo effettivo, efficiente e sicuro con i rappresentanti designati dagli altri Stati.
6. L'Agenzia per la cybersicurezza nazionale, in qualità di autorità nazionale competente NIS e di punto di contatto unico, consulta, conformemente alla normativa vigente, l'autorità di contrasto ed il Garante per la protezione dei dati personali e collabora con essi.
7. La Presidenza del Consiglio dei ministri comunica tempestivamente alla Commissione europea la designazione del punto di contatto unico e quella dell'autorità nazionale competente NIS, i relativi compiti e qualsiasi ulteriore modifica. Alle designazioni sono assicurate idonee forme di pubblicità.
8. Agli oneri derivanti dal presente articolo, pari a 1.300.000 euro annui a decorrere dall'anno 2018, si provvede ai sensi dell'articolo 22.»;
h) all'articolo 8, comma 1, le parole da: «la Presidenza» a: «la sicurezza» sono sostituite dalle seguenti: «l'Agenzia per la cybersicurezza nazionale»;
i) l'articolo 9, comma 1, è sostituito dal seguente:
«1. Le autorità di settore collaborano con l'autorità nazionale competente NIS per l'adempimento degli obblighi di cui al presente decreto. A tal fine è istituito presso l'Agenzia per la cybersicurezza nazionale un Comitato tecnico di raccordo. Il Comitato è presieduto dall'autorità nazionale competente NIS ed è composto dai rappresentanti delle amministrazioni statali individuate quali autorità di settore e da rappresentanti delle Regioni e Province autonome in numero non superiore a due, designati dalle Regioni e Province autonome in sede di Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e di Bolzano. L'organizzazione del Comitato è definita con decreto del Presidente del Consiglio dei ministri, sentita la Conferenza unificata. Per la partecipazione al Comitato tecnico di raccordo non sono previsti gettoni di presenza, compensi o di spese.»;
l) all'articolo 12, comma 5, le parole da: «e, per conoscenza,» a: «NIS,» sono soppresse;
m) all'articolo 14, comma 4, le parole da: «e, per conoscenza,» a: «NIS,» sono soppresse;
n) all'articolo 19, comma 1, le parole: «dalle autorità competenti NIS» sono sostituite dalle seguenti: «dall'autorità nazionale competente NIS»;
o) all'articolo 19, il comma 2 è abrogato;
p) all'articolo 20, comma 1, le parole da: «Le autorità competenti NIS» a: «sono competenti» sono sostituite da: «L'autorità nazionale competente NIS è competente»;
q) all'allegato I:
1) al punto 1, dopo la lettera d) è aggiunta la seguente: «d-bis) il CSIRT Italia conforma i propri servizi e la propria attività alle migliori pratiche internazionalmente riconosciute in materia di prevenzione, gestione e risposta rispetto a eventi di natura cibernetica»;
2) al punto 2, lettera c), dopo la parola: «standardizzate» sono inserite le seguenti: «, secondo le migliori pratiche internazionalmente riconosciute,» [65].
2. Nel decreto legislativo NIS:
a) ogni riferimento al Ministero dello sviluppo economico, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale, fatta eccezione per le disposizioni di cui all'articolo 7, comma 1, lettera a), del medesimo decreto legislativo, come sostituito dal comma 1, lettera g), del presente articolo [66];
b) ogni riferimento al DIS, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale;
c) ogni riferimento alle autorità competenti NIS, ovunque ricorra, deve intendersi riferito all'autorità nazionale competente NIS, fatta eccezione per le disposizioni di cui all'articolo 5, comma 1, del medesimo decreto legislativo, come modificato dalla lettera d) del presente comma [67];
d) all'articolo 5, comma 1, alinea, le parole: «le autorità competenti NIS» sono sostituite dalle seguenti: «l'autorità nazionale competente NIS e le autorità di settore»;
e) agli articoli 6 e 12, le parole: «Comitato interministeriale per la sicurezza della Repubblica (CISR)» sono sostituite dalle seguenti: «Comitato interministeriale per la cybersicurezza (CIC)».]
Art. 16. Altre modificazioni
1. All'articolo 3, comma 1-bis, della
2. All'articolo 38 della
3. La denominazione: «CSIRT Italia» sostituisce, ad ogni effetto e ovunque presente in provvedimenti legislativi e regolamentari, la denominazione: «CSIRT Italiano».
4. Nel decreto-legge perimetro le parole: «Comitato interministeriale per la sicurezza della Repubblica (CISR)» e «CISR», ovunque ricorrano, sono rispettivamente sostituite dalle seguenti: «Comitato interministeriale per la cybersicurezza (CIC)» e «CIC», fatta eccezione per le disposizioni di cui all'articolo 5 del medesimo decreto-legge.
5. Nel decreto-legge perimetro ogni riferimento al Dipartimento delle informazioni per la sicurezza, o al DIS, ovunque ricorra, è da intendersi riferito all'Agenzia per la cybersicurezza nazionale, fatta eccezione per le disposizioni dell'articolo 1, commi 2, lettera b), e 2-ter, del medesimo decreto-legge perimetro, e ogni riferimento al Nucleo per la sicurezza cibernetica è da intendersi riferito al Nucleo per la cybersicurezza [70].
6. Nel decreto-legge perimetro:
a) ogni riferimento al Ministero dello sviluppo economico e alla Presidenza del Consiglio dei ministri, ovunque ricorra, è da intendersi riferito all'Agenzia per la cybersicurezza nazionale;
b) all'articolo 1, comma 8, lettera a), le parole da: «definite dalla Presidenza del Consiglio dei ministri» a: «
c) all'articolo 1, comma 8, lettera b), le parole: «all'autorità competente» sono sostituite dalle seguenti: «autorità nazionale competente NIS».
7. Nei provvedimenti di natura regolamentare e amministrativa la cui adozione è prevista dall'articolo 1 del decreto-legge perimetro, ogni riferimento al CISR e al DIS deve intendersi rispettivamente riferito al CIC e all'Agenzia per la cybersicurezza nazionale.
8. Nei provvedimenti di natura regolamentare e amministrativa la cui adozione è prevista dall'articolo 1 del decreto-legge perimetro, ogni riferimento al Ministero dello sviluppo economico e alla struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale, fatta eccezione per le disposizioni di cui all'articolo 3 del
9. Al decreto-legge perimetro sono apportate le seguenti modificazioni:
a) all'articolo 1, comma 6, lettera a), dopo il primo periodo è inserito il seguente: «L'obbligo di comunicazione di cui alla presente lettera è efficace a decorrere dal trentesimo giorno successivo alla pubblicazione nella Gazzetta Ufficiale della Repubblica italiana del decreto del Presidente del Consiglio dei ministri che, sentita l'Agenzia per la cybersicurezza nazionale, attesta l'operatività del CVCN e comunque dal 30giugno 2022.»;
a-bis) all'articolo 1, comma 7, lettera c), le parole: «dell'organismo tecnico di supporto al CISR» sono sostituite dalle seguenti: «del Tavolo interministeriale di cui all'articolo 6 del
a-ter) all'articolo 1, comma 2, la lettera b) è sostituita dalla seguente:
«b) sono definiti, sulla base di un'analisi del rischio e di un criterio di gradualità che tenga conto delle specificità dei diversi settori di attività, i criteri con i quali i soggetti di cui al comma 2-bis predispongono e aggiornano con cadenza almeno annuale un elenco delle reti, dei sistemi informativi e dei servizi informatici di cui al comma 1, di rispettiva pertinenza, comprensivo della relativa architettura e componentistica, fermo restando che, per le reti, i sistemi informativi e i servizi informatici attinenti alla gestione delle informazioni classificate, si applica quanto previsto dal regolamento adottato ai sensi dell'articolo 4, comma 3, lettera l), della
a-quater) all'articolo 1, dopo il comma 2-bis è inserito il seguente:
«2-ter. Gli elenchi dei soggetti di cui alla lettera a) del comma 2 del presente articolo sono trasmessi al Dipartimento delle informazioni per la sicurezza, che provvede anche a favore dell'AISE e dell'AISI ai fini dell'esercizio delle funzioni istituzionali previste dagli articoli 1, comma 3-bis, 4, 6 e 7 della
b) all'articolo 3, il comma 2 è abrogato;
c) a decorrere dalla data in cui diviene efficace l'obbligo di comunicazione disciplinato dalla lettera a), all'articolo 3:
1) il comma 1 è sostituito dal seguente: «1. I soggetti che intendono procedere all'acquisizione, a qualsiasi titolo, di beni, servizi e componenti di cui all'articolo 1-bis, comma 2, del decreto-legge 15 marzo 2012, n.21, convertito, con modificazioni, dalla
2) il comma 3 è abrogato;
10. [A decorrere dalla data in cui diviene efficace l'obbligo di comunicazione disciplinato dal comma 9, lettera a), al
11. All'articolo 135, comma 1, del Codice del processo amministrativo, di cui all'allegato 1 al
12. Alla
a) all'articolo 4, comma 1, lettera b), dopo le parole: «Ministero dello sviluppo economico» sono aggiunte le seguenti: «e l'Agenzia perla cybersicurezza nazionale»;
b) all'articolo 18, ogni riferimento al Ministero dello sviluppo economico, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale.
13. All'articolo 33-septies, comma 4, del
14. Al
a) agli articoli 16-bis e 16-ter, ogni riferimento al Ministero dello sviluppo economico, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale;
b) all'articolo 16-ter, comma 1, le parole: «Ministro dello sviluppo economico» sono sostituite dalle seguenti: «Presidente del Consiglio dei ministri»;
c) all'articolo 16-ter, comma 2, lettera b), le parole: «, in collaborazione con gli Ispettorati territoriali del Ministero dello sviluppo economico,» sono soppresse.
Art. 17. Disposizioni transitorie e finali
1. Per lo svolgimento delle funzioni ispettive, di accertamento delle violazioni e di irrogazione delle sanzioni, di cui all'articolo 7, l'Agenzia può provvedere, oltre che con proprio personale, con l'ausilio dell'organo centrale del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all'articolo 7-bis del
2. Per lo svolgimento delle funzioni relative all'attuazione e al controllo dell'esecuzione dei provvedimenti assunti da parte del Presidente del Consiglio dei ministri ai sensi dell'articolo 5 del decreto-legge perimetro, l'Agenzia provvede con l'ausilio dell'organo centrale del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all'articolo 7-bis del
3. Il personale dell'Agenzia, nello svolgimento delle funzioni ispettive, di accertamento delle violazioni e di irrogazione delle sanzioni, di cui all'articolo 7, nonchè delle funzioni relative all'attuazione e al controllo dell'esecuzione dei provvedimenti assunti da parte del Presidente del Consiglio dei ministri ai sensi dell'articolo 5 del decreto-legge perimetro, riveste la qualifica di pubblico ufficiale.
4. Il personale dell'Agenzia addetto al CSIRT Italia, nello svolgimento delle proprie funzioni, riveste la qualifica di pubblico ufficiale. La trasmissione immediata delle notifiche di incidente ricevute dal CSIRT Italia all'organo centrale del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all'articolo 7-bis del
4-bis. Fermo restando quanto previsto dal comma 4, l'Agenzia trasmette al procuratore nazionale antimafia e antiterrorismo i dati, le notizie e le informazioni rilevanti per l'esercizio delle funzioni di cui all'articolo 371-bis del codice di procedura penale [80].
4-bis.1. Nei casi in cui l'Agenzia ha notizia di un attacco ai danni di uno dei sistemi informatici o telematici di cui all'articolo 371-bis, comma 4-bis, del codice di procedura penale e in ogni caso quando risulti interessato taluno dei soggetti di cui all'articolo 1, comma 2-bis, del decreto-legge perimetro, all'articolo 3, comma 1, lettere g) e i), del decreto legislativo NIS ovvero all'articolo 40, comma 3, alinea, del codice delle comunicazioni elettroniche, di cui al decreto legislativo 1° agosto 2003, n. 259, fermo restando quanto previsto dal comma 4 del presente articolo, procede alle attività di cui all'articolo 7, comma 1, lettere n) e n-bis), e ne informa senza ritardo il procuratore nazionale antimafia e antiterrorismo, ai sensi del comma 4-bis del presente articolo [81].
4-bis.2. Fuori dei casi di cui al comma 4-bis.1, quando acquisisce la notizia dei delitti di cui all'articolo 371-bis, comma 4-bis, del codice di procedura penale, il pubblico ministero ne dà tempestiva informazione all'Agenzia e assicura, altresì, il raccordo informativo con l'organo del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione ai fini di cui all'articolo 7-bis del
4-bis.3. In ogni caso, il pubblico ministero impartisce le disposizioni necessarie ad assicurare che gli accertamenti urgenti siano compiuti tenendo conto delle attività svolte dall'Agenzia, a fini di resilienza, di cui all'articolo 7, comma 1, lettere n) e n-bis), e può disporre il differimento di una o più delle predette attività, con provvedimento motivato adottato senza ritardo, per evitare un grave pregiudizio per il corso delle indagini [83].
4-bis.4. Il pubblico ministero, quando procede ad accertamenti tecnici irripetibili in relazione ai delitti di cui all'articolo 371-bis, comma 4-bis, del codice di procedura penale, informa senza ritardo l'Agenzia, che mediante propri rappresentanti può assistere al conferimento dell'incarico e partecipare agli accertamenti. Le disposizioni del primo periodo si applicano anche quando agli accertamenti si procede nelle forme dell'incidente probatorio [84].
4-ter. Al fine di consentire la piena operatività dell'Agenzia, le disposizioni di cui all'articolo 15, commi 1 e 2, del
4-quater. La disciplina del procedimento sanzionatorio amministrativo dell'Agenzia è definita con regolamento che stabilisce, in particolare, termini e modalità per l'accertamento, la contestazione e la notificazione delle violazioni della normativa in materia di cybersicurezza e l'irrogazione delle relative sanzioni di competenza dell'Agenzia ai sensi del presente decreto e delle altre disposizioni che assegnano poteri accertativi e sanzionatori all'Agenzia. Il regolamento di cui al primo periodo è adottato, entro novanta giorni dalla data di entrata in vigore della presente disposizione, con decreto del Presidente del Consiglio dei ministri, anche in deroga all'articolo 17 della
5. Con uno o più decreti del Presidente del Consiglio dei ministri, di concerto con il Ministro dell'economia e delle finanze, da adottare entro centottanta giorni dalla data di entrata in vigore della legge di conversione del presente decreto, sono definiti i termini e le modalità:
a) per assicurare la prima operatività dell'Agenzia, mediante l'individuazione di appositi spazi, in via transitoria e per un massimo di ventiquattro mesi, secondo opportune intese con le amministrazioni interessate, per l'attuazione delle disposizioni del presente decreto;
b) mediante opportune intese con le amministrazioni interessate, nel rispetto delle specifiche norme riguardanti l'organizzazione e il funzionamento, per il trasferimento delle funzioni di cui all'articolo 7, nonchè per il trasferimento dei beni strumentali e della documentazione, anche di natura classificata, per l'attuazione delle disposizioni del presente decreto e la corrispondente riduzione di risorse finanziarie ed umane da parte delle amministrazioni cedenti [87].
5-bis. Fino alla scadenza dei termini indicati nel decreto o nei decreti di cui al comma 5, lettera b), la gestione delle risorse finanziarie relative alle funzioni trasferite, compresa la gestione dei residui passivi e perenti, è esercitata dalle amministrazioni cedenti. A decorrere dalla medesima data sono trasferiti in capo all'Agenzia i rapporti giuridici attivi e passivi relativi alle funzioni trasferite [88].
6. In relazione al trasferimento delle funzioni di cui all'articolo 7, comma 1, lettera m), dall'AgID all'Agenzia, i decreti di cui al comma 5 definiscono, altresì, i raccordi tra le due amministrazioni, per le funzioni che restano di competenza dell'AgID. Nelle more dell'adozione dei decreti di cui al comma 5, il regolamento di cui all'articolo 33-septies, comma 4, del
7. Al fine di assicurare la prima operatività dell'Agenzia, il direttore generale dell'Agenzia, fino all'adozione dei regolamenti di cui all'articolo 11, commi 3 e 4, identifica, assume e liquida gli impegni di spesa che saranno pagati a cura del DIS, nell'ambito delle risorse destinate all'Agenzia. A tale fine è istituito un apposito capitolo nel bilancio del DIS. Entro 90 giorni dall'approvazione dei regolamenti di cui all'articolo 11, commi 3 e 4, il Presidente del Consiglio dei ministri dà informazione al COPASIR delle spese effettuate ai sensi del presente comma [90].
8. Al fine di assicurare la prima operatività dell'Agenzia, dalla data della nomina del direttore generale dell'Agenzia e nel limite del 30 per cento della dotazione organica complessiva iniziale di cui all'articolo 12, comma 4:
a) il DIS mette a disposizione il personale impiegato nell'ambito delle attività relative allo svolgimento delle funzioni oggetto di trasferimento, con modalità da definire mediante intese con lo stesso Dipartimento;
b) l'Agenzia si avvale, altresì, di unità di personale appartenenti al Ministero dello sviluppo economico, all'Agenzia per l'Italia digitale, ad altre pubbliche amministrazioni e ad autorità indipendenti, per un periodo massimo di sei mesi, prorogabile una sola volta per un massimo di ulteriori sei mesi, messo a disposizione dell'Agenzia stessa su specifica richiesta e secondo modalità individuate mediante intese con le rispettive amministrazioni di appartenenza [91].
8.1. Ai fini di cui al comma 8, l'Agenzia si avvale altresì, sino al 31 dicembre 2023, di un contingente di personale, nel limite di cinquanta unità, appartenente alle pubbliche amministrazioni, alle autorità indipendenti e alle società a controllo pubblico, messo a disposizione dell'Agenzia stessa su specifica richiesta e secondo modalità individuate d'intesa con i soggetti pubblici e privati di appartenenza. I relativi oneri sono a carico dell'Agenzia e ai fini del trattamento retributivo si applicano le disposizioni del regolamento di cui all'articolo 12, comma 1. Il personale di cui al primo periodo, fatta eccezione per il personale proveniente dalle società a controllo pubblico, può essere inquadrato, con provvedimento dell'Agenzia adottato ai sensi dell'articolo 5, comma 3, del regolamento di cui al
8-bis. Gli oneri derivanti dall'attuazione del comma 8 restano a carico dell'amministrazione di appartenenza [93].
9. Il regolamento di cui all'articolo 12, comma 1, prevede apposite modalità selettive per l'inquadramento, nella misura massima del 50 per cento della dotazione organica complessiva, del personale di cui al comma 8 del presente articolo e del personale di cui all'articolo 12, comma 2, lettera b), ove già appartenente alla pubblica amministrazione, nel contingente di personale addetto all'Agenzia di cui al medesimo articolo 12, che tengano conto delle mansioni svolte e degli incarichi ricoperti durante il periodo di servizio presso l'Agenzia, nonchè delle competenze possedute e dei requisiti di professionalità ed esperienza richiesti per le specifiche posizioni. Il personale di cui al comma 8, lettera a), è inquadrato, a decorrere dal 1° gennaio 2022 nel ruolo di cui all'articolo 12, comma 2, lettera a), secondo le modalità definite dal regolamento di cui all'articolo 12, comma 1. Gli inquadramenti conseguenti alle procedure selettive di cui al presente comma, relative al personale di cui al comma 8, lettera b), decorrono allo scadere dei sei mesi o della relativa proroga e, comunque, non oltre il 30 giugno 2022 [94].
10. L'Agenzia si avvale del patrocinio dell'Avvocatura dello Stato, ai sensi dell'articolo 1 del testo unico approvato con
10-bis. In sede di prima applicazione del presente decreto:
a) la prima relazione di cui all'articolo 14, comma 1, è trasmessa entro il 30 novembre 2022;
b) entro il 31 ottobre 2022, il Presidente del Consiglio dei ministri trasmette alle Camere una relazione che dà conto dello stato di attuazione, al 30 settembre 2022, delle disposizioni di cui al presente decreto, anche al fine di formulare eventuali proposte in materia [95].
10-ter. I pareri delle Commissioni parlamentari competenti per materia e per i profili finanziari e del COPASIR previsti dal presente decreto sono resi entro il termine di trenta giorni dalla trasmissione dei relativi schemi di decreto, decorso il quale il Presidente del Consiglio dei ministri può comunque procedere all'adozione dei relativi provvedimenti [96].
Art. 18. Disposizioni finanziarie
1. Per l'attuazione degli articoli da 5 a 7 è istituito, nello stato di previsione del Ministero dell'economia e delle finanze, un apposito capitolo con una dotazione di 2.000.000 di euro per l'anno 2021, 41.000.000 di euro per l'anno 2022, 70.000.000 di euro per l'anno 2023, 84.000.000 di euro per l'anno 2024, 100.000.000 di euro per l'anno 2025,110.000.000 di euro per l'anno 2026 e 122.000.000 di euro annui a decorrere dall'anno 2027.
2. Agli oneri di cui al comma 1, si provvede mediante corrispondente riduzione del Fondo di cui all'articolo 1, comma 200, della
3. Le risorse iscritte sui bilanci delle amministrazioni interessate, correlate alle funzioni ridefinite ai sensi del presente decreto a decorrere dall'inizio del funzionamento dell'Agenzia di cui all'articolo 5, sono accertate, anche in conto residui, con decreto del Ministro dell'economia e delle finanze, di concerto con i Ministri responsabili, e portate ad incremento del Fondo di cui all'articolo 1, comma 200, della
4. I proventi di cui all'articolo 11, comma 2, sono versati all'entrata del bilancio dello Stato, per essere riassegnati al capitolo di cui al comma 1 del presente articolo [99].
5. Ai fini dell'immediata attuazione delle disposizioni del presente decreto il Ministro dell'economia e delle finanze è autorizzato ad apportare, con propri decreti, anche in conto residui, le occorrenti variazioni di bilancio [100].
Art. 19. Entrata in vigore
1. Il presente decreto entra in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana e sarà presentato alle Camere per la conversione in legge.
Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale.
IL PRESIDENTE DELLA REPUBBLICA
Visti gli articoli 77 e 87, quinto comma, della Costituzione;
Vista la
Considerato che le vulnerabilità delle reti, dei sistemi informativi, dei servizi informatici e delle comunicazioni elettroniche di soggetti pubblici e privati possono essere sfruttate al fine di provocare il malfunzionamento o l'interruzione, totali o parziali, di funzioni essenziali dello Stato e di servizi essenziali per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato, nonchè di servizi di pubblica utilità, con potenziali gravi ripercussioni sui cittadini, sulle imprese e sulle pubbliche amministrazioni, sino a poter determinare un pregiudizio per la sicurezza nazionale;
Considerata la straordinaria necessità e urgenza, nell'attuale quadro normativo e a fronte della realizzazione in corso di importanti e strategiche infrastrutture tecnologiche, anche in relazione a recenti attacchi alle reti di Paesi europei e di importanti partner internazionali idonei a determinare effetti anche di natura sistemica e che sottolineano ulteriormente come il dominio cibernetico costituisca terreno di confronto con riflessi sulla sicurezza nazionale, di razionalizzare le competenze in materia, di assicurare un più efficace coordinamento, di attuare misure tese a rendere il Paese più sicuro e resiliente anche nel dominio digitale, di disporre dei più idonei strumenti di immediato intervento che consentano di affrontare con la massima efficacia e tempestività eventuali situazioni di emergenza che coinvolgano profili di cybersicurezza;
Considerata altresì la necessità e urgenza di dare attuazione al Piano nazionale di ripresa e resilienza, deliberato dal Consiglio dei ministri nella riunione del 29 aprile 2021, che prevede apposite progettualità nell'ambito della cybersicurezza, in particolare per l'istituzione di un'Agenzia di cybersicurezza nazionale, quale fattore necessario per tutelare la sicurezza dello sviluppo e della crescita dell'economia e dell'industria nazionale, ponendo la cybersicurezza a fondamento della trasformazione digitale;
Ritenuto pertanto di dover intervenire con urgenza al fine di ridefinire l'architettura italiana di cybersicurezza, prevedendo anche l'istituzione di un'apposita Agenzia per la cybersicurezza nazionale, per adeguarla all'evoluzione tecnologica, al contesto di minaccia proveniente dallo spazio cibernetico, nonchè al quadro normativo europeo, e di dover raccordare, altresì, pure a tutela dell'unità giuridica dell'ordinamento, le disposizioni in materia di sicurezza delle reti, dei sistemi informativi, dei servizi informatici e delle comunicazioni elettroniche;
Vista la deliberazione del Consiglio dei ministri, adottata nella riunione del 10 giugno 2021;
Sulla proposta del Presidente del Consiglio dei ministri;
Emana
il seguente decreto-legge:
Art. 1. Definizioni
1. Ai fini del presente decreto si intende per:
a) cybersicurezza, l'insieme delle attività necessarie per proteggere dalle minacce informatiche reti, sistemi informativi, servizi informatici e comunicazioni elettroniche, assicurandone la disponibilità, la confidenzialità e l'integrità, e garantendone altresì la resilienza;
b) decreto-legge perimetro, il
c) decreto legislativo NIS, il
d) CISR, il Comitato interministeriale per la sicurezza della Repubblica di cui all'articolo 5 della
e) DIS, il Dipartimento delle informazioni per la sicurezza di cui all'articolo 4 della
f) AISE, l'Agenzia informazioni e sicurezza esterna di cui all'articolo 6 della
g) AISI, l'Agenzia informazioni e sicurezza interna di cui all'articolo 7 della
h) COPASIR, il Comitato parlamentare per la sicurezza della Repubblica di cui all'articolo 30 della
i) strategia nazionale di cybersicurezza, la strategia di cui all'articolo 6 del decreto legislativo NIS.
Art. 2. Competenze del Presidente del Consiglio dei ministri
1. Al Presidente del Consiglio dei ministri sono attribuite in via esclusiva:
a) l'alta direzione e la responsabilità generale delle politiche di cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico;
b) l'adozione della strategia nazionale di cybersicurezza, sentito il Comitato interministeriale per la cybersicurezza (CIC) di cui all'articolo 4;
c) la nomina e la revoca del direttore generale e del vice direttore generale dell'Agenzia per la cybersicurezza nazionale di cui all'articolo 5.
2. Ai fini dell'esercizio delle competenze di cui al comma 1, lett. a), e dell'attuazione della strategia nazionale di cybersicurezza, il Presidente del Consiglio dei ministri, sentito il CIC, impartisce le direttive per la cybersicurezza ed emana ogni disposizione necessaria per l'organizzazione e il funzionamento dell'Agenzia per la cybersicurezza nazionale.
3. Il Presidente del Consiglio dei ministri informa preventivamente il presidente del COPASIR circa le nomine di cui al comma 1, lettera c).
Art. 3. Autorità delegata
1. Il Presidente del Consiglio dei ministri, ove lo ritenga opportuno, può delegare alla medesima Autorità di cui all'articolo 3 della
2. Il Presidente del Consiglio dei ministri è costantemente informato dall'Autorità delegata sulle modalità di esercizio delle funzioni delegate ai sensi del presente decreto e, fermo restando il potere di direttiva, può in qualsiasi momento avocare l'esercizio di tutte o di alcune di esse.
3. L'Autorità delegata, in relazione alle funzioni delegate ai sensi del presente decreto, partecipa alle riunioni del Comitato interministeriale per la transizione digitale di cui all'articolo 8 del decreto-legge 1° marzo 2021, n. 22, convertito, con modificazioni, dalla
Art. 4. Comitato interministeriale per la cybersicurezza
1. Presso la Presidenza del Consiglio dei ministri è istituito il Comitato interministeriale per la cybersicurezza (CIC), con funzioni di consulenza, proposta e vigilanza in materia di politiche di cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico.
2. Il Comitato:
a) propone al Presidente del Consiglio dei ministri gli indirizzi generali da perseguire nel quadro delle politiche di cybersicurezza nazionale;
b) esercita l'alta sorveglianza sull'attuazione della strategia nazionale di cybersicurezza;
c) promuove l'adozione delle iniziative necessarie per favorire l'efficace collaborazione, a livello nazionale e internazionale, tra i soggetti istituzionali e gli operatori privati interessati alla cybersicurezza, nonchè per la condivisione delle informazioni e per l'adozione di migliori pratiche e di misure rivolte all'obiettivo della cybersicurezza e allo sviluppo industriale, tecnologico e scientifico in materia di cybersicurezza;
d) esprime il parere sul bilancio preventivo e sul bilancio consuntivo dell'Agenzia per la cybersicurezza nazionale.
3. Il Comitato è presieduto dal Presidente del Consiglio dei ministri ed è composto dall'Autorità delegata, ove istituita, dal Ministro degli affari esteri e della cooperazione internazionale, dal Ministro dell'interno, dal Ministro della giustizia, dal Ministro della difesa, dal Ministro dell'economia e delle finanze, dal Ministro dello sviluppo economico, dal Ministro della transizione ecologica, dal Ministro dell'università e della ricerca, dal Ministro delegato per l'innovazione tecnologica e la transizione digitale e dal Ministro delle infrastrutture e della mobilità sostenibili.
4. Il direttore generale dell'Agenzia svolge le funzioni di segretario del Comitato.
5. Il Presidente del Consiglio dei ministri può chiamare a partecipare alle sedute del Comitato, anche a seguito di loro richiesta, senza diritto di voto, altri componenti del Consiglio dei ministri, il direttore generale del DIS, il direttore dell'AISE, il direttore dell'AISI, nonchè altre autorità civili e militari di cui, di volta in volta, ritenga necessaria la presenza in relazione alle questioni da trattare.
6. Il Comitato svolge altresì le funzioni già attribuite al CISR dal decreto-legge perimetro e dai relativi provvedimenti attuativi, fatta eccezione per quelle previste dall'articolo 5 del medesimo decreto-legge perimetro.
Art. 5. Agenzia per la cybersicurezza nazionale
1. È istituita, a tutela degli interessi nazionali nel campo della cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico, l'Agenzia per la cybersicurezza nazionale, denominata ai fini del presente decreto «Agenzia», con sede in Roma.
2. L'Agenzia ha personalità giuridica di diritto pubblico ed è dotata di autonomia regolamentare, amministrativa, patrimoniale, organizzativa, contabile e finanziaria, nei limiti di quanto previsto dal presente decreto. Il Presidente del Consiglio dei ministri e l'Autorità delegata, ove istituita, si avvalgono dell'Agenzia per l'esercizio delle competenze di cui al presente decreto.
3. Il direttore generale dell'Agenzia è nominato tra soggetti appartenenti a una delle categorie di cui all'articolo 18, comma 2, della
4. L'attività dell'Agenzia è regolata dal presente decreto e dalle disposizioni la cui adozione è prevista dallo stesso.
5. L'Agenzia può richiedere, anche sulla base di apposite convenzioni e nel rispetto degli ambiti di precipua competenza, la collaborazione di altri organi dello Stato, di altre amministrazioni, delle forze di polizia o di enti pubblici per lo svolgimento dei suoi compiti istituzionali.
6. Il COPASIR può chiedere l'audizione del direttore generale dell'Agenzia su questioni di propria competenza.
Art. 6. Organizzazione dell'Agenzia per la cybersicurezza nazionale
1. L'organizzazione e il funzionamento dell'Agenzia sono definiti da un apposito regolamento che ne prevede, in particolare, l'articolazione fino ad un numero massimo di otto uffici di livello dirigenziale generale, nonchè fino ad un numero massimo di trenta articolazioni di livello dirigenziale non generale nell'ambito delle risorse disponibili.
2. Sono organi dell'Agenzia il direttore generale e il Collegio dei revisori dei conti. Con il regolamento di cui al comma 1 sono disciplinati altresì:
a) le funzioni del direttore generale e del vice direttore generale dell'Agenzia;
b) la composizione e il funzionamento del Collegio dei revisori dei conti;
c) l'istituzione di eventuali sedi secondarie.
3. Il regolamento di cui al comma 1 è adottato, entro centoventi giorni dalla data di entrata in vigore della legge di conversione del presente decreto, con decreto del Presidente del Consiglio dei ministri, di concerto con il Ministro dell'economia e delle finanze, anche in deroga all'articolo 17 della
Art. 7. Funzioni dell'Agenzia per la cybersicurezza nazionale
1. L'Agenzia:
a) è Autorità nazionale per la cybersicurezza e, in relazione a tale ruolo, assicura, nel rispetto delle competenze attribuite dalla normativa vigente ad altre amministrazioni, ferme restando le attribuzioni del Ministro dell'interno in qualità di autorità nazionale di pubblica sicurezza, ai sensi della
b) predispone la strategia nazionale di cybersicurezza;
c) svolge ogni necessaria attività di supporto al funzionamento del Nucleo per la cybersicurezza, di cui all'articolo 8;
d) è Autorità nazionale competente e punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi, per le finalità di cui al decreto legislativo NIS, a tutela dell'unità giuridica dell'ordinamento, ed è competente all'accertamento delle violazioni e all'irrogazione delle sanzioni amministrative previste dal medesimo decreto;
e) è Autorità nazionale di certificazione della cybersicurezza ai sensi dell'articolo 58 del
1) accredita, ai sensi dell'articolo 60, comma 1, del
2) delega, ai sensi dell'articolo 56, comma 6, lettera b), del
f) assume tutte le funzioni in materia di cybersicurezza già attribuite dalle disposizioni vigenti al Ministero dello sviluppo economico, ivi comprese quelle relative:
1) al perimetro di sicurezza nazionale cibernetica, di cui al decreto-legge perimetro e ai relativi provvedimenti attuativi, ivi incluse le funzioni attribuite al Centro di valutazione e certificazione nazionale ai sensi del decreto-legge perimetro, le attività di ispezione e verifica di cui all'articolo 1, comma 6, lettera c), del decreto-legge perimetro e quelle relative all'accertamento delle violazioni e all'irrogazione delle sanzioni amministrative previste dal medesimo decreto, fatte salve quelle di cui all'articolo 3 del regolamento adottato con
2) alla sicurezza e all'integrità delle comunicazioni elettroniche, di cui agli articoli 16-bis e 16-ter del
3) alla sicurezza delle reti e dei sistemi informativi, di cui al decreto legislativo NIS;
g) partecipa, per gli ambiti di competenza, al gruppo di coordinamento istituito ai sensi dei regolamenti di cui all'articolo 1, comma 8, del
h) assume tutte le funzioni attribuite alla Presidenza del Consiglio dei ministri in materia di perimetro di sicurezza nazionale cibernetica, di cui al decreto-legge perimetro e ai relativi provvedimenti attuativi, ivi incluse le attività di ispezione e verifica di cui all'articolo 1, comma 6, lettera c), del decreto-legge perimetro e quelle relative all'accertamento delle violazioni e all'irrogazione delle sanzioni amministrative previste dal medesimo decreto, fatte salve quelle di cui all'articolo 3 del regolamento adottato con
i) assume tutte le funzioni già attribuite al DIS dal decreto-legge perimetro e dai relativi provvedimenti attuativi e supporta il Presidente del Consiglio dei ministri ai fini dell'articolo 1, comma 19-bis, del decreto-legge perimetro;
l) provvede, sulla base delle attività di competenza del Nucleo per la cybersicurezza di cui all'articolo 8, alle attività necessarie per l'attuazione e il controllo dell'esecuzione dei provvedimenti assunti dal Presidente del Consiglio dei ministri ai sensi dell'articolo 5 del decreto-legge perimetro;
m) assume tutte le funzioni in materia di cybersicurezza già attribuite all'Agenzia per l'Italia digitale dalle disposizioni vigenti e, in particolare, quelle di cui all'articolo 51 del
n) sviluppa capacità nazionali di prevenzione, monitoraggio, rilevamento, analisi e risposta, per prevenire e gestire gli incidenti di sicurezza informatica e gli attacchi informatici, anche attraverso il CSIRT Italia di cui all'articolo 8 del decreto legislativo NIS;
o) partecipa alle esercitazioni nazionali e internazionali che riguardano la simulazione di eventi di natura cibernetica al fine di innalzare la resilienza del Paese;
p) cura e promuove la definizione ed il mantenimento di un quadro giuridico nazionale aggiornato e coerente nel dominio della cybersicurezza, tenendo anche conto degli orientamenti e degli sviluppi in ambito internazionale. A tal fine, l'Agenzia esprime pareri non vincolanti sulle iniziative legislative o regolamentari concernenti la cybersicurezza;
q) coordina, in raccordo con il Ministero degli affari esteri e della cooperazione internazionale, la cooperazione internazionale nella materia della cybersicurezza. Nell'ambito dell'Unione europea e a livello internazionale, l'Agenzia cura i rapporti con i competenti organismi, istituzioni, ed enti, nonchè segue nelle competenti sedi istituzionali le tematiche di cybersicurezza, fatta eccezione per gli ambiti in cui la legge attribuisce specifiche competenze ad altre amministrazioni. In tali casi, è comunque assicurato il raccordo con l'Agenzia al fine di garantire posizioni nazionali unitarie e coerenti con le politiche di cybersicurezza definite dal Presidente del Consiglio dei ministri;
r) perseguendo obiettivi di eccellenza, supporta negli ambiti di competenza, mediante il coinvolgimento del sistema dell'università e della ricerca nonchè del sistema produttivo nazionali, lo sviluppo di competenze e capacità industriali, tecnologiche e scientifiche. A tali fini, l'Agenzia può promuovere, sviluppare e finanziare specifici progetti ed iniziative, volti anche a favorire il trasferimento tecnologico dei risultati della ricerca nel settore. L'Agenzia assicura il necessario raccordo con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza;
s) stipula accordi bilaterali e multilaterali, anche mediante il coinvolgimento del settore privato e industriale, con istituzioni, enti e organismi di altri Paesi per la partecipazione dell'Italia a programmi di cybersicurezza, assicurando il necessario raccordo con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza, ferme restando le competenze del Ministero degli esteri e della cooperazione internazionale;
t) promuove, sostiene e coordina la partecipazione italiana a progetti e iniziative dell'Unione europea e internazionali, anche mediante il coinvolgimento di soggetti pubblici e privati nazionali, nel campo della cybersicurezza e dei correlati servizi applicativi, ferme restando le competenze del Ministero degli esteri e della cooperazione internazionale. L'Agenzia assicura il necessario raccordo con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza;
u) svolge attività di comunicazione e promozione della consapevolezza in materia di cybersicurezza, al fine di contribuire allo sviluppo di una cultura nazionale in materia;
v) promuove la formazione, la crescita tecnico-professionale e la qualificazione delle risorse umane nel campo della cybersicurezza, anche attraverso l'assegnazione di borse di studio, di dottorato e assegni di ricerca, sulla base di apposite convenzioni con soggetti pubblici e privati;
z) per le finalità di cui al presente articolo, può costituire e partecipare a partenariati pubblico-privato sul territorio nazionale, nonchè, previa autorizzazione del Presidente del Consiglio dei ministri, a consorzi, fondazioni o società con soggetti pubblici e privati, italiani e stranieri;
aa) è designata quale Centro nazionale di coordinamento ai sensi dell'articolo 6 del
2. Nell'ambito dell'Agenzia sono nominati, con decreto del Presidente del Consiglio dei ministri, il rappresentante nazionale, e il suo sostituto, nel Consiglio di direzione del Centro europeo di competenza per la cybersicurezza nell'ambito industriale, tecnologico e della ricerca, ai sensi dell'articolo 12 del
3. Il CSIRT italiano di cui all'articolo 8 del decreto legislativo NIS è trasferito presso l'Agenzia e assume la denominazione di: «CSIRT Italia».
4. Il Centro di valutazione e certificazione nazionale, istituito presso il Ministero dello sviluppo economico, è trasferito presso l'Agenzia.
5. Nel rispetto delle competenze del Garante per la protezione dei dati personali, l'Agenzia, per le finalità di cui al presente decreto, consulta il Garante e collabora con esso, anche in relazione agli incidenti che comportano violazioni di dati personali. L'Agenzia e il Garante possono stipulare appositi protocolli d'intenti che definiscono altresì le modalità della loro collaborazione nell'ambito delle risorse disponibili a legislazione vigente e senza nuovi o maggiori oneri per la finanza pubblica.
Art. 8. Nucleo per la cybersicurezza
1. Presso l'Agenzia è costituito, in via permanente, il Nucleo per la cybersicurezza, a supporto del Presidente del Consiglio dei ministri nella materia della cybersicurezza, per gli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi e per l'attivazione delle procedure di allertamento.
2. Il Nucleo per la cybersicurezza è presieduto dal direttore generale dell'Agenzia o dal vice direttore generale da lui designato ed è composto dal Consigliere militare del Presidente del Consiglio dei ministri, da un rappresentante, rispettivamente, del DIS, dell'AISE, dell'AISI, di ciascuno dei Ministeri rappresentati nel Comitato di cui all'articolo 5 della
3. I componenti possono farsi assistere alle riunioni da altri rappresentanti delle rispettive amministrazioni in relazione alle materie oggetto di trattazione. In base agli argomenti delle riunioni possono anche essere chiamati a partecipare rappresentanti di altre amministrazioni, di università o di enti e istituti di ricerca, nonchè di operatori privati interessati alla materia della cybersicurezza.
4. Il Nucleo può essere convocato in composizione ristretta con la partecipazione dei rappresentanti delle sole amministrazioni e soggetti interessati, anche relativamente ai compiti di gestione delle crisi di cui all'articolo 10.
Art. 9. Compiti del Nucleo per la cybersicurezza
1. Per le finalità di cui all'articolo 8, il Nucleo per la cybersicurezza svolge i seguenti compiti:
a) può formulare proposte di iniziative in materia di cybersicurezza del Paese, anche nel quadro del contesto internazionale in materia;
b) promuove, sulla base delle direttive di cui all'articolo 2, comma 2, la programmazione e la pianificazione operativa della risposta a situazioni di crisi cibernetica da parte delle amministrazioni e degli operatori privati interessati e l'elaborazione delle necessarie procedure di coordinamento interministeriale, in raccordo con le pianificazioni di difesa civile e di protezione civile, anche nel quadro di quanto previsto dall'articolo 7-bis, comma 5, del
c) promuove e coordina lo svolgimento di esercitazioni interministeriali, ovvero la partecipazione nazionale in esercitazioni internazionali che riguardano la simulazione di eventi di natura cibernetica al fine di innalzare la resilienza del Paese;
d) valuta e promuove, in raccordo con le amministrazioni competenti per specifici profili della cybersicurezza, procedure di condivisione delle informazioni, anche con gli operatori privati interessati, ai fini della diffusione di allarmi relativi ad eventi cibernetici e per la gestione delle crisi;
e) riceve, per il tramite del CSIRT Italia, le comunicazioni circa i casi di violazioni o tentativi di violazione della sicurezza o di perdita dell'integrità significativi ai fini del corretto funzionamento delle reti e dei servizi, dal DIS, dall'AISE e dall'AISI, dalle Forze di polizia e, in particolare, dall'organo del Ministero dell'interno di cui all'articolo 7-bis del
f) riceve dal CSIRT Italia le notifiche di incidente ai sensi delle disposizioni vigenti;
g) valuta se gli eventi di cui alle lettere e) e f) assumono dimensioni, intensità o natura tali da non poter essere fronteggiati dalle singole amministrazioni competenti in via ordinaria, ma richiedono l'assunzione di decisioni coordinate in sede interministeriale, provvedendo in tal caso a informare tempestivamente il Presidente del Consiglio dei ministri, ovvero l'Autorità delegata, ove istituita, sulla situazione in atto e allo svolgimento delle attività di raccordo e coordinamento di cui all'articolo 10, nella composizione ivi prevista.
Art. 10. Gestione delle crisi che coinvolgono aspetti di cybersicurezza
1. Nelle situazioni di crisi che coinvolgono aspetti di cybersicurezza, nei casi in cui il Presidente del Consiglio dei ministri convochi il CISR in materia di gestione delle predette situazioni di crisi, alle sedute del Comitato sono chiamati a partecipare il Ministro delegato per l'innovazione tecnologica e la transizione digitale e il direttore generale dell'Agenzia.
2. Il Nucleo assicura il supporto al CISR e al Presidente del Consiglio dei ministri, nella materia della cybersicurezza, per gli aspetti relativi alla gestione di situazioni di crisi ai sensi del comma 1, nonchè per l'esercizio dei poteri attribuiti al Presidente del Consiglio dei ministri, ivi comprese le attività istruttorie e le procedure di attivazione necessarie, ai sensi dell'articolo 5 del decreto-legge perimetro.
3. In situazioni di crisi di natura cibernetica il Nucleo è integrato, in ragione della necessità, con un rappresentante, rispettivamente, del Ministero della salute, del Ministero delle infrastrutture e della mobilità sostenibili, del Ministero dell'interno-Dipartimento dei Vigili del fuoco, del soccorso pubblico e della difesa civile, in rappresentanza anche della Commissione interministeriale tecnica di difesa civile, autorizzati ad assumere decisioni che impegnano la propria amministrazione. Alle riunioni i componenti possono farsi accompagnare da altri funzionari della propria amministrazione. Alle stesse riunioni possono essere chiamati a partecipare rappresentanti di altre amministrazioni, anche locali, ed enti, anche essi autorizzati ad assumere decisioni, e di altri soggetti pubblici o privati eventualmente interessati. Per la partecipazione non sono previsti compensi, gettoni di presenza, rimborsi di spese o altri emolumenti comunque denominati.
4. È compito del Nucleo, nella composizione per la gestione delle crisi, di cui al comma 3, assicurare che le attività di reazione e stabilizzazione di competenza delle diverse amministrazioni ed enti rispetto a situazioni di crisi di natura cibernetica, vengano espletate in maniera coordinata secondo quanto previsto dall'articolo 9, comma 1, lettera b).
5. Il Nucleo, per l'espletamento delle proprie funzioni e fermo restando quanto previsto ai sensi dell'articolo 7-bis, comma 5, del
a) mantiene costantemente informato il Presidente del Consiglio dei ministri, ovvero l'Autorità delegata, ove istituita, sulla crisi in atto, predisponendo punti aggiornati di situazione;
b) assicura il coordinamento per l'attuazione a livello interministeriale delle determinazioni del Presidente del Consiglio dei ministri per il superamento della crisi;
c) raccoglie tutti i dati relativi alla crisi;
d) elabora rapporti e fornisce informazioni sulla crisi e li trasmette ai soggetti pubblici e privati interessati;
e) partecipa ai meccanismi europei di gestione delle crisi cibernetiche, assicurando altresì i collegamenti finalizzati alla gestione della crisi con gli omologhi organismi di altri Stati, della NATO, dell'UE o di organizzazioni internazionali di cui l'Italia fa parte.
Art. 11. Norme di contabilità e disposizioni finanziarie
1. Con legge di bilancio è determinato lo stanziamento annuale da assegnare all'Agenzia da iscrivere sul capitolo di cui all'articolo 18, comma 1, sulla base della determinazione del fabbisogno annuo operata dal Presidente del Consiglio dei ministri, previamente comunicata al COPASIR.
2. Le entrate dell'Agenzia sono costituite da:
a) dotazioni finanziarie e contributi ordinari di cui all'articolo 18 del presente decreto;
b) corrispettivi per i servizi prestati a soggetti pubblici o privati;
c) proventi derivanti dallo sfruttamento della proprietà industriale, dei prodotti dell'ingegno e delle invenzioni dell'Agenzia;
d) altri proventi patrimoniali e di gestione;
e) contribuiti dell'Unione europea o di organismi internazionali, anche a seguito della partecipazione a specifici bandi, progetti e programmi di collaborazione;
f) proventi delle sanzioni irrogate dall'Agenzia ai sensi di quanto previsto dal decreto legislativo NIS, dal decreto-legge perimetro e dal decreto legislativo 1° agosto 2003, n. 259, e relative disposizioni attuative;
g) ogni altra eventuale entrata.
3. Il regolamento di contabilità dell'Agenzia, che ne assicura l'autonomia gestionale e contabile, è adottato con decreto del Presidente del Consiglio dei ministri, di concerto con il Ministro dell'economia e delle finanze, su proposta del direttore generale dell'Agenzia, previo parere del COPASIR e sentito il CIC, entro centoventi giorni dalla data di entrata in vigore della legge di conversione del presente decreto, anche in deroga all'articolo 17 della
a) il bilancio preventivo e il bilancio consuntivo adottati dal direttore generale dell'Agenzia sono approvati con decreto del Presidente del Consiglio dei ministri, previo parere del CIC e sono trasmessi alla Corte dei conti che esercita il controllo previsto dall'articolo 3, comma 4, della
b) il bilancio consuntivo e la relazione della Corte dei conti sono trasmessi, al COPASIR.
4. Con regolamento adottato con decreto del Presidente del Consiglio dei ministri, su proposta del direttore generale dell'Agenzia, entro centoventi giorni dalla data di entrata in vigore della legge di conversione del presente decreto, anche in deroga all'articolo 17 della
Art. 12. Personale
1. Con apposito regolamento è dettata, nel rispetto dei principi generali dell'ordinamento giuridico, anche in deroga alle vigenti disposizioni di legge, ivi incluso il
2. Il regolamento determina, nei limiti delle risorse finanziarie disponibili, in particolare:
a) l'istituzione di un ruolo del personale e la disciplina generale del rapporto d'impiego alle dipendenze dell'Agenzia;
b) la possibilità di procedere, oltre che ad assunzioni a tempo indeterminato attraverso modalità concorsuali, ad assunzioni a tempo determinato, con contratti di diritto privato, di soggetti in possesso di alta e particolare specializzazione debitamente documentata, individuati attraverso adeguate modalità selettive, per lo svolgimento di attività assolutamente necessarie all'operatività dell'Agenzia o per specifiche progettualità da portare a termine in un arco di tempo prefissato;
c) la possibilità di avvalersi di un contingente di esperti, non superiore a cinquanta unità, composto da personale collocato fuori ruolo o in posizione di comando o altra analoga posizione, prevista dagli ordinamenti di appartenenza, proveniente da pubbliche amministrazioni di cui all'articolo 1, comma 2, del
d) la determinazione della percentuale massima dei dipendenti che è possibile assumere a tempo determinato;
e) la possibilità di impiegare personale del Ministero della difesa, secondo termini e modalità da definire con apposito decreto del Presidente del Consiglio dei ministri;
f) le ipotesi di incompatibilità;
g) le modalità di progressione di carriera all'interno dell'Agenzia;
h) la disciplina e il procedimento per la definizione degli aspetti giuridici e, limitatamente ad eventuali compensi accessori, economici del rapporto di impiego del personale oggetto di negoziazione con le rappresentanze del personale;
i) le modalità applicative delle disposizioni del
l) i casi di cessazione dal servizio del personale assunto a tempo indeterminato ed i casi di anticipata risoluzione dei rapporti a tempo determinato;
m) quali delle disposizioni possono essere oggetto di revisione per effetto della negoziazione con le rappresentanze del personale.
3. Qualora le assunzioni di cui al comma 2, lettera b), riguardino professori universitari di ruolo o ricercatori universitari confermati si applicano le disposizioni di cui all'articolo 12 del
4. In sede di prima applicazione delle disposizioni di cui al presente decreto, il numero di posti previsti dalla dotazione organica dell'Agenzia è individuato nella misura complessiva di trecento unità, di cui fino a un massimo di otto di livello dirigenziale generale, fino a un massimo di 24 di livello dirigenziale non generale e fino a un massimo di 268 unità di personale non dirigenziale.
5. Con decreti del Presidente del Consiglio dei ministri di concerto con il Ministro dell'economia e delle finanze, la dotazione organica può essere rideterminata nei limiti delle risorse finanziarie destinate alle spese per il personale di cui all'articolo 18, comma 1. Dei provvedimenti adottati in materia di dotazione organica dell'Agenzia è data tempestiva e motivata comunicazione al presidente del COPASIR.
6. Le assunzioni effettuate in violazione delle disposizioni del presente decreto o del regolamento di cui al presente articolo sono nulle, ferma restando la responsabilità personale, patrimoniale e disciplinare di chi le ha disposte.
7. Fatto salvo quanto previsto dall'articolo 42 della
8. Il regolamento di cui al comma 1 è adottato, entro centoventi giorni dalla data di entrata in vigore della legge di conversione del presente decreto, con decreto del Presidente del Consiglio dei ministri, anche in deroga all'articolo 17 della
Art. 13. Trattamento dei dati personali
1. Il trattamento dei dati personali svolto per finalità di sicurezza nazionale in applicazione del presente decreto è effettuato ai sensi dell'articolo 58, commi 2 e 3, del
Art. 14. Relazioni annuali
1. Entro il 30 aprile di ogni anno, il Presidente del Consiglio dei ministri trasmette al Parlamento una relazione sull'attività svolta dall'Agenzia nell'anno precedente, in materia di cybersicurezza nazionale.
2. Entro il 30 giugno di ogni anno, il Presidente del Consiglio dei ministri trasmette al COPASIR una relazione sulle attività svolte nell'anno precedente dall'Agenzia in raccordo con il Sistema di informazione per la sicurezza della Repubblica di cui alla
Art. 15. Modificazioni al decreto legislativo NIS
1. Al decreto legislativo NIS, sono apportate le seguenti modificazioni:
a) all'articolo 1, comma 2, lettera a), le parole: «strategia nazionale di sicurezza cibernetica» sono sostituite dalle seguenti: «strategia nazionale di cybersicurezza»;
b) all'articolo 1, comma 2, lettera b), le parole: «delle autorità nazionali competenti» sono sostituite dalle seguenti: «dell'autorità nazionale competente NIS, delle autorità di settore»;
c) all'articolo 3, lettera a), le parole da: «autorità competente NIS» a: «per settore,» sono sostituite dalle seguenti: «autorità nazionale competente NIS, l'autorità nazionale unica, competente»;
d) all'articolo 3, dopo la lettera a), è inserita la seguente: «a-bis) autorità di settore, le autorità di cui all'articolo 7, comma 1, lettere da a) a e)»;
e) all'articolo 4, il comma 6 è sostituito dal seguente:
«6. L'elenco degli operatori di servizi essenziali identificati ai sensi del comma 1 è riesaminato e, se del caso, aggiornato su base regolare, e almeno ogni due anni dopo il 9 maggio 2018, con le seguenti modalità:
a) le autorità di settore, in relazione ai settori di competenza, propongono all'autorità nazionale competente NIS le variazioni all'elenco degli operatori dei servizi essenziali, secondo i criteri di cui ai commi 2 e 3;
b) le proposte sono valutate dall'autorità nazionale competente NIS che, con propri provvedimenti, provvede alle variazioni dell'elenco degli operatori dei servizi essenziali, dandone comunicazione, in relazione ai settori di competenza, anche alle autorità di settore.»;
f) all'articolo 6, nella rubrica, le parole: «sicurezza cibernetica» sono sostituite dalle seguenti: «cybersicurezza»; ai commi 1, 2 e 3, le parole: «sicurezza cibernetica» sono sostituite dalla seguente: «cybersicurezza»; al comma 4, le parole: «La Presidenza del Consiglio dei ministri» sono sostituite dalle seguenti: «L'Agenzia per la cybersicurezza» e le parole: «sicurezza cibernetica» sono sostituite dalle seguenti: «cybersicurezza»;
g) l'articolo 7 è sostituito dal seguente:
«Art. 7 (Autorità nazionale competente e punto di contatto unico). - 1. L'Agenzia per la cybersicurezza nazionale è designata quale autorità nazionale competente NIS per i settori e sottosettori di cui all'allegato II e per i servizi di cui all'allegato III. Sono designate quali autorità di settore:
a) il Ministero dello sviluppo economico, per il settore infrastrutture digitali, sottosettori IXP, DNS, TLD, nonchè per i servizi digitali;
b) il Ministero delle infrastrutture e della mobilità sostenibili, per il settore trasporti, sottosettori aereo, ferroviario, per vie d'acqua e su strada;
c) il Ministero dell'economia e delle finanze, per il settore bancario e per il settore infrastrutture dei mercati finanziari, in collaborazione con le autorità di vigilanza di settore, Banca d'Italia e Consob, secondo modalità di collaborazione e di scambio di informazioni stabilite con decreto del Ministro dell'economia e delle finanze;
d) il Ministero della salute, per l'attività di assistenza sanitaria, come definita dall'articolo 3, comma 1, lettera a), del
e) il Ministero della transizione ecologica per il settore energia, sottosettori energia elettrica, gas e petrolio;
f) il Ministero della transizione ecologica e le Regioni e le Province autonome di Trento e di Bolzano, direttamente o per il tramite delle Autorità territorialmente competenti, in merito al settore fornitura e distribuzione di acqua potabile.
2. L'autorità nazionale competente NIS è responsabile dell'attuazione del presente decreto con riguardo ai settori di cui all'allegato II e ai servizi di cui all'allegato III e vigila sull'applicazione del presente decreto a livello nazionale, esercitando altresì le relative potestà ispettive e sanzionatorie.
3. L'Agenzia per la cybersicurezza nazionale è designata quale punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi.
4. Il punto di contatto unico svolge una funzione di collegamento per garantire la cooperazione transfrontaliera dell'autorità nazionale competente NIS con le autorità competenti degli altri Stati membri, nonchè con il gruppo di cooperazione di cui all'articolo 10 e la rete di CSIRT di cui all'articolo 11.
5. Il punto di contatto unico collabora nel gruppo di cooperazione in modo effettivo, efficiente e sicuro con i rappresentanti designati dagli altri Stati.
6. L'Agenzia per la cybersicurezza nazionale, in qualità di autorità nazionale competente NIS e di punto di contatto unico, consulta, conformemente alla normativa vigente, l'autorità di contrasto ed il Garante per la protezione dei dati personali e collabora con essi.
7. La Presidenza del Consiglio dei ministri comunica tempestivamente alla Commissione europea la designazione del punto di contatto unico e quella dell'autorità nazionale competente NIS, i relativi compiti e qualsiasi ulteriore modifica. Alle designazioni sono assicurate idonee forme di pubblicità.
8. Agli oneri derivanti dal presente articolo pari a 1.300.000 euro a decorrere dal 2018, si provvede ai sensi dell'articolo 22.»;
h) all'articolo 8, comma 1, le parole da: «la Presidenza» a: «la sicurezza» sono sostituite dalle seguenti: «l'Agenzia di cybersicurezza nazionale»;
i) l'articolo 9, comma 1, è sostituito dal seguente:
«1. Le autorità di settore collaborano con l'autorità nazionale competente NIS per l'adempimento degli obblighi di cui al presente decreto. A tal fine è istituito presso l'Agenzia per la cybersicurezza nazionale, un Comitato tecnico di raccordo. Il Comitato è presieduto dall'autorità nazionale competente NIS ed è composto dai rappresentanti delle amministrazioni statali individuate quali autorità di settore e da rappresentanti delle Regioni e Province autonome in numero non superiore a due, designati dalle Regioni e Province autonome in sede di Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e di Bolzano. L'organizzazione del Comitato è definita con decreto del Presidente del Consiglio dei ministri, sentita la Conferenza unificata. Per la partecipazione al Comitato tecnico di raccordo non sono previsti gettoni di presenza, compensi o rimborsi spese.»;
l) all'articolo 12, comma 5, le parole da: «e, per conoscenza,» a: «NIS,» sono soppresse;
m) all'articolo 14, comma 4, le parole da: «e, per conoscenza,» a: «NIS,» sono soppresse;
n) all'articolo 19, comma 1, le parole: «dalle autorità competenti NIS» sono sostituite dalle seguenti: «dall'autorità nazionale competente NIS»;
o) all'articolo 19, il comma 2 è abrogato;
p) all'articolo 20, comma 1, le parole da: «Le autorità competenti NIS» a: «sono competenti» sono sostituite da: «L'autorità nazionale competente NIS è competente»;
q) all'allegato I:
1) al punto 1, dopo la lettera d) è aggiunta la seguente: «d-bis) il CSIRT Italia conforma i propri servizi e la propria attività alle migliori pratiche internazionalmente riconosciute in materia di prevenzione, gestione e risposta rispetto a eventi di natura cibernetica»;
2) al punto 2, lettera c), dopo la parola: «standardizzate» sono inserite le seguenti: «, secondo le migliori pratiche internazionalmente riconosciute,».
2. Nel decreto legislativo NIS:
a) ogni riferimento al Ministero dello sviluppo economico, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale, fatta eccezione per le disposizioni di cui all'articolo 7, comma 1, lettera a), del medesimo decreto legislativo;
b) ogni riferimento al DIS, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale;
c) ogni riferimento alle autorità competenti NIS, ovunque ricorra, deve intendersi riferito all'autorità nazionale competente NIS, fatta eccezione per le disposizioni di cui all'articolo 5, comma 1, del medesimo decreto legislativo;
d) all'articolo 5, comma 1, alinea, le parole: «le autorità competenti NIS» sono sostituite dalle seguenti: «l'autorità nazionale competente NIS e le autorità di settore»;
e) agli articoli 6 e 12, le parole: «Comitato interministeriale per la sicurezza della Repubblica (CISR)» sono sostituite dalle seguenti: «Comitato interministeriale per la cybersicurezza (CIC)».
Art. 16. Altre modificazioni
1. All'articolo 3, comma 1-bis, della
2. All'articolo 38 della
3. La denominazione: «CSIRT Italia» sostituisce, ad ogni effetto e ovunque presente in provvedimenti legislativi e regolamentari, la denominazione: «CSIRT Italiano».
4. Nel decreto-legge perimetro le parole: «Comitato interministeriale per la sicurezza della Repubblica (CISR)» e «CISR», ovunque ricorrano, sono rispettivamente sostituite dalle seguenti: «Comitato interministeriale per la cybersicurezza (CIC)» e «CIC», fatta eccezione per le disposizioni di cui all'articolo 5 del medesimo decreto-legge.
5. Nel decreto-legge perimetro ogni riferimento al Dipartimento delle informazioni per la sicurezza, o al DIS, ovunque ricorra, è da intendersi riferito all'Agenzia per la cybersicurezza nazionale e ogni riferimento al Nucleo per la sicurezza cibernetica è da intendersi riferito al Nucleo per la cybersicurezza.
6. Nel decreto-legge perimetro:
a) ogni riferimento al Ministero dello sviluppo economico e alla Presidenza del Consiglio dei ministri, ovunque ricorra, è da intendersi riferito all'Agenzia per la cybersicurezza nazionale;
b) all'articolo 1, comma 8, lettera a), le parole da: «definite dalla Presidenza del Consiglio dei ministri» a: «
c) all'articolo 1, comma 8, lettera b), le parole: «all'autorità competente» sono sostituite dalle seguenti: «autorità nazionale competente NIS».
7. Nei provvedimenti di natura regolamentare e amministrativa la cui adozione è prevista dall'articolo 1 del decreto-legge perimetro, ogni riferimento al CISR e al DIS deve intendersi rispettivamente riferito al CIC e all'Agenzia per la cybersicurezza nazionale.
8. Nei provvedimenti di natura regolamentare e amministrativa la cui adozione è prevista dall'articolo 1 del decreto-legge perimetro, ogni riferimento al Ministero dello sviluppo economico e alla struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale, fatta eccezione per le disposizioni di cui agli articoli 3 del
9. Al decreto-legge perimetro sono apportate le seguenti modificazioni:
a) all'articolo 1, comma 6, lettera a), dopo il primo periodo è inserito il seguente: «L'obbligo di comunicazione di cui alla presente lettera è efficace a decorrere dal trentesimo giorno successivo alla pubblicazione nella Gazzetta Ufficiale della Repubblica italiana del decreto del Presidente del Consiglio dei ministri che, sentita l'Agenzia per la cybersicurezza nazionale, attesta l'operatività del CVCN e comunque dal 30 giugno 2022.»;
b) all'articolo 3, il comma 2 è abrogato;
c) a decorrere dalla data in cui diviene efficace l'obbligo di comunicazione disciplinato dalla lettera a), all'articolo 3:
1) il comma 1 è sostituito dal seguente: «1. I soggetti che intendono procedere all'acquisizione, a qualsiasi titolo, di beni, servizi e componenti di cui all'articolo 1-bis, comma 2, del
2) il comma 3 è abrogato;
10. A decorrere dalla data in cui diviene efficace l'obbligo di comunicazione disciplinato dal comma 9, lettera a), al
11. All'articolo 135 del
12. Alla
a) all'articolo 4, comma 1, lettera b), dopo le parole: «Ministero dello sviluppo economico» sono aggiunte le seguenti: «e l'Agenzia per la cybersicurezza nazionale»;
b) all'articolo 18, ogni riferimento al Ministero dello sviluppo economico, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale.
13. All'articolo 33-septies, comma 4, del
14. Al
a) agli articoli 16-bis e 16-ter, ogni riferimento al Ministero dello sviluppo economico, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale;
b) all'articolo 16-ter, comma 1, le parole: «Ministro dello sviluppo economico» sono sostituite dalle seguenti: «Presidente del Consiglio dei ministri»;
c) all'articolo 16-ter, comma 2, lettera b), le parole: «, in collaborazione con gli Ispettorati territoriali del Ministero dello sviluppo economico,» sono soppresse.
Art. 17. Disposizioni transitorie e finali
1. Per lo svolgimento delle funzioni ispettive, di accertamento delle violazioni e di irrogazione delle sanzioni, di cui all'articolo 7, l'Agenzia può provvedere, oltre che con proprio personale, con l'ausilio dell'organo centrale del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all'articolo 7-bis del
2. Per lo svolgimento delle funzioni relative all'attuazione e al controllo dell'esecuzione dei provvedimenti assunti da parte del Presidente del Consiglio dei ministri ai sensi dell'articolo 5 del decreto-legge perimetro, l'Agenzia provvede con l'ausilio dell'organo centrale del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all'articolo 7-bis del
3. Il personale dell'Agenzia, nello svolgimento delle funzioni ispettive, di accertamento delle violazioni e di irrogazione delle sanzioni, di cui all'articolo 7, nonchè delle funzioni relative all'attuazione e al controllo dell'esecuzione dei provvedimenti assunti da parte del Presidente del Consiglio dei ministri ai sensi dell'articolo 5 del decreto-legge perimetro, riveste la qualifica di pubblico ufficiale.
4. Il personale dell'Agenzia addetto al CSIRT Italia, nello svolgimento delle proprie funzioni, riveste la qualifica di pubblico ufficiale. La trasmissione delle notifiche di incidente ricevute dal CSIRT Italia all'organo centrale del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all'articolo 7-bis del
5. Con uno o più decreti del Presidente del Consiglio dei ministri, di concerto con il Ministro dell'economia e delle finanze, da adottare entro centottanta giorni dalla data di entrata in vigore della legge di conversione del presente decreto, sono definiti i termini e le modalità:
a) per assicurare la prima operatività dell'Agenzia, mediante l'individuazione di appositi spazi, in via transitoria e per un massimo di ventiquattro mesi, secondo opportune intese con le amministrazioni interessate, per l'attuazione delle disposizioni del presente decreto;
b) mediante opportune intese con le amministrazioni interessate, per il trasferimento delle funzioni di cui all'articolo 7, nonchè per il trasferimento dei beni strumentali e della documentazione, anche di natura classificata, per l'attuazione delle disposizioni del presente decreto e la corrispondente riduzione di risorse finanziarie ed umane da parte delle amministrazioni cedenti.
6. In relazione al trasferimento delle funzioni di cui all'articolo 7, comma 1, lettera m), dall'AgID all'Agenzia, i decreti di cui al comma 5 definiscono, altresì, i raccordi tra le due amministrazioni, per le funzioni che restano di competenza di AgID.
7. Al fine di assicurare la prima operatività dell'Agenzia, il direttore generale dell'Agenzia, fino all'adozione dei regolamenti di cui all'articolo 11, commi 3 e 5, identifica e assume gli impegni di spesa che verranno liquidati a cura del DIS, nell'ambito delle risorse destinate all'Agenzia. Entro 90 giorni dall'approvazione dei regolamenti di cui all'articolo 11, commi 3 e 5, delle spese effettuate ai sensi del presente comma, il Presidente del Consiglio dei ministri ne dà informazione al COPASIR.
8. In sede di prima applicazione delle disposizioni di cui al presente decreto e per un periodo massimo di sei mesi, prorogabile una sola volta per un massimo di ulteriori sei mesi, dalla data della nomina del direttore generale dell'Agenzia, l'Agenzia si avvale di un nucleo di personale, non superiore al 30 per cento della dotazione organica complessiva iniziale, di unità appartenenti al Ministero dello sviluppo economico, all'Agenzia per l'Italia digitale, al DIS, ad altre pubbliche amministrazioni e ad autorità indipendenti, messo a disposizione dell'Agenzia stessa su specifica richiesta e secondo modalità individuate mediante intese con le rispettive amministrazioni di appartenenza. Il relativo onere resta a carico dell'amministrazione di appartenenza.
9. Il regolamento di cui all'articolo 12, comma 1, prevede apposite modalità selettive per l'inquadramento, nella misura massima del 50 per cento della dotazione organica complessiva, del personale di cui al comma 8 e del personale di cui all'articolo 12, comma 2, lettera b), ove già appartenente alla pubblica amministrazione, nel contingente di personale addetto all'Agenzia di cui al medesimo articolo 12, che tengano conto delle mansioni svolte e degli incarichi ricoperti durante il periodo di servizio presso l'Agenzia, nonchè delle competenze possedute e dei requisiti di professionalità ed esperienza richiesti per le specifiche posizioni. Gli inquadramenti conseguenti alle procedure selettive di cui al presente comma, relative al personale di cui al comma 8, decorrono allo scadere dei sei mesi o della relativa proroga e, comunque, non oltre il 30 giugno 2022.
10. L'Agenzia si avvale del patrocinio dell'Avvocatura dello Stato, ai sensi dell'articolo 1 del testo unico approvato con
Art. 18. Disposizioni finanziarie
1. Per l'attuazione degli articoli da 5 a 7 è istituito, nello stato di previsione del Ministero dell'economia e delle finanze, un apposito capitolo con una dotazione di 2.000.000 di euro per l'anno 2021, 41.000.000 di euro per l'anno 2022, 70.000.000 di euro per l'anno 2023, 84.000.000 di euro per l'anno 2024, 100.000.000 di euro per l'anno 2025, 110.000.000 di euro per l'anno 2026 e 122.000.000 di euro annui a decorrere dall'anno 2027.
2. Agli oneri di cui al comma 1, si provvede mediante corrispondete riduzione dell'autorizzazione di spesa di cui all'articolo 1, comma 200, della
3. Le risorse iscritte sui bilanci delle amministrazioni interessate, correlate alle funzioni ridefinite ai sensi del presente decreto a decorrere dall'entrata in servizio dell'Agenzia di cui all'articolo 5, sono accertate, anche in conto residui, con decreto del Ministro dell'economia e delle finanze, di concerto con i Ministri responsabili, e portate ad incremento del Fondo di cui all'articolo 1, comma 200, della
4. I proventi di cui all'articolo 11, comma 2, sono versati all'entrata del bilancio dello Stato, per essere riassegnati al capitolo di cui al comma 1.
5. Ai fini dell'immediata attuazione delle disposizioni del presente decreto il Ministro dell'economia e delle finanze è autorizzato ad apportare, con propri decreti, anche in conto residui, le occorrenti variazioni di bilancio per l'attuazione del presente decreto.
Art. 19. Entrata in vigore
1. Il presente decreto entra in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana e sarà presentato alle Camere per la conversione in legge.
[1] Convertito in legge, con modificazioni, dall'art. 1 della
[2] Comma sostituito dalla L. di conversione e così modificato dall'art. 43 del
[3] Comma così modificato dalla L. di conversione.
[4] Comma così modificato dalla L. di conversione.
[5] Comma così modificato dalla L. di conversione.
[6] Comma così modificato dalla L. di conversione.
[7] Comma così modificato dalla L. di conversione.
[8] Comma così modificato dalla L. di conversione.
[9] Comma così modificato dalla L. di conversione.
[10] Comma così modificato dalla L. di conversione.
[11] Comma così modificato dalla L. di conversione.
[12] Comma così modificato dalla L. di conversione.
[13] Comma così modificato dalla L. di conversione.
[14] Comma così modificato dalla L. di conversione.
[15] Comma inserito dall'art. 15 bis del
[16] Comma inserito dall'art. 15 bis del
[17] Comma così modificato dalla L. di conversione.
[18] Lettera così sostituita dall'art. 43 del
[19] Lettera aggiunta dall'art. 43 del
[20] Lettera aggiunta dall'art. 43 del
[21] Lettera così modificata dalla L. di conversione.
[22] Lettera inserita dall'art. 16 quater del
[23] Lettera così modificata dalla L. di conversione.
[24] Lettera così modificata dalla L. di conversione.
[25] Lettera inserita dalla L. di conversione e così sostituita dall'art. 10 della
[26] Lettera inserita dalla L. di conversione.
[27] Lettera già modificata dalla L. di conversione e così ulteriormente modificata dall'art. 43 del
[28] Lettera inserita dall'art. 2 bis del
[29] Lettera inserita dall'art. 4 della
[30] Lettera così modificata dalla L. di conversione.
[31] Lettera così modificata dalla L. di conversione.
[32] Lettera così modificata dalla L. di conversione.
[33] Lettera così modificata dalla L. di conversione.
[34] Lettera così modificata dalla L. di conversione.
[35] Lettera inserita dalla L. di conversione.
[36] Comma inserito dalla L. di conversione.
[37] Comma abrogato dall'art. 43 del
[38] Comma così modificato dalla L. di conversione.
[39] Comma così modificato dalla L. di conversione.
[40] Comma inserito dall'art. 5 della
[41] Comma inserito dalla L. di conversione.
[42] Lettera così modificata dalla L. di conversione.
[43] Lettera così modificata dalla L. di conversione.
[44] Lettera così modificata dalla L. di conversione.
[45] Comma soppresso dalla L. di conversione.
[46] Comma così modificato dalla L. di conversione.
[47] Comma così modificato dalla L. di conversione.
[48] Comma così modificato dalla L. di conversione.
[49] Comma così modificato dalla L. di conversione.
[50] Lettera così modificata dalla L. di conversione.
[51] Lettera così modificata dalla L. di conversione.
[52] Lettera così modificata dalla L. di conversione.
[53] Comma così modificato dalla L. di conversione.
[54] Comma così modificato dalla L. di conversione.
[55] Alinea così modificato dalla L. di conversione.
[56] Lettera così modificata dalla L. di conversione.
[57] Comma inserito dall'art. 1 del
[58] Comma così sostituito dall'art. 15 bis del
[59] Comma così modificato dalla L. di conversione.
[60] Comma così modificato dalla L. di conversione.
[61] Comma aggiunto dall'art. 29 del
[62] Comma aggiunto dall'art. 12 della
[63] Comma così modificato dalla L. di conversione.
[64] Articolo abrogato dall'art. 43 del
[65] Comma così modificato dalla L. di conversione.
[66] Lettera così modificata dalla L. di conversione.
[67] Lettera così modificata dalla L. di conversione.
[68] Comma così modificato dalla L. di conversione.
[69] Comma così modificato dalla L. di conversione.
[70] Comma così modificato dalla L. di conversione.
[71] Comma così modificato dalla L. di conversione.
[72] Lettera inserita dalla L. di conversione.
[73] Lettera inserita dalla L. di conversione.
[74] Lettera inserita dalla L. di conversione.
[75] Numero così modificato dalla L. di conversione.
[76] Comma modificato dalla L. di conversione e abrogato dall'art. 28 del
[77] Comma così modificato dalla L. di conversione.
[78] Comma così modificato dalla L. di conversione.
[79] Comma così sostituito dall'art. 22 della
[80] Comma inserito dall'art. 2 bis del
[81] Comma inserito dall'art. 22 della
[82] Comma inserito dall'art. 22 della
[83] Comma inserito dall'art. 22 della
[84] Comma inserito dall'art. 22 della
[85] Comma inserito dall'art. 15 bis del
[86] Comma inserito dall'art. 11 della
[87] Lettera così modificata dalla L. di conversione.
[88] Comma inserito dalla L. di conversione.
[89] Comma così modificato dalla L. di conversione.
[90] Comma così modificato dalla L. di conversione.
[91] Comma così sostituito dalla L. di conversione.
[92] Comma inserito dall'art. 1 del
[93] Comma aggiunto dalla L. di conversione.
[94] Comma così modificato dalla L. di conversione.
[95] Comma aggiunto dalla L. di conversione.
[96] Comma aggiunto dalla L. di conversione.
[97] Comma così modificato dalla L. di conversione.
[98] Comma così modificato dalla L. di conversione.
[99] Comma così modificato dalla L. di conversione.
[100] Comma così modificato dalla L. di conversione.