| Settore: | Normativa nazionale |
| Materia: | 81. Pubblica sicurezza |
| Capitolo: | 81.1 disciplina generale |
| Data: | 04/08/2021 |
| Numero: | 109 |
| Sommario |
| Art. 1. |
§ 81.1.85 - L. 4 agosto 2021, n. 109.
Conversione in legge, con modificazioni, del decreto-legge 14 giugno 2021, n. 82, recante disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale.
(G.U. 4 agosto 2021, n. 185)
1. Il
2. La presente legge entra in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale.
Allegato
MODIFICAZIONI APPORTATE IN SEDE DI CONVERSIONE AL DECRETO-LEGGE 14 GIUGNO 2021, N. 82
All'articolo 1:
il comma 1 è sostituito dal seguente:
«1. Ai fini del presente decreto si intende per:
a) cybersicurezza, l'insieme delle attività, fermi restando le attribuzioni di cui alla
b) resilienza nazionale nello spazio cibernetico, le attività volte a prevenire un pregiudizio per la sicurezza nazionale come definito dall'articolo 1, comma 1, lettera f), del regolamento di cui al
c) decreto-legge perimetro, il
d) decreto legislativo NIS, il
e) strategia nazionale di cybersicurezza, la strategia di cui all'articolo 6 del decreto legislativo NIS».
All'articolo 2:
al comma 1:
alla lettera a), le parole: «, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico» sono soppresse;
alla lettera c) sono aggiunte, in fine, le seguenti parole: «, previa deliberazione del Consiglio dei ministri»;
al comma 2, la parola: «lett.» è sostituita dalla seguente: «lettera»;
al comma 3, le parole: «il presidente del COPASIR» sono sostituite dalle seguenti: «il Comitato parlamentare per la sicurezza della Repubblica (COPASIR), di cui all'articolo 30 della
All'articolo 3:
al comma 1, le parole: «alla medesima Autorità» sono sostituite dalle seguenti: «all'Autorità» e le parole: «
All'articolo 4:
al comma 1, le parole: «, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico» sono soppresse;
al comma 4, dopo le parole: «dell'Agenzia» sono inserite le seguenti: «per la cybersicurezza nazionale»;
al comma 5, le parole: «il direttore generale del DIS, il direttore dell'AISE, il direttore dell'AISI,» sono soppresse;
al comma 6, la parola: «CISR» è sostituita dalle seguenti: «Comitato interministeriale per la sicurezza della Repubblica (CISR), di cui all'articolo 5 della
All'articolo 5:
al comma 1, le parole: «, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico» sono soppresse;
al comma 3, al primo periodo, le parole: «legge n. 400 del 1988» sono sostituite dalle seguenti: «
al comma 5, dopo le parole: «di altre amministrazioni,» sono inserite le seguenti: «delle Forze armate,»;
al comma 6, dopo le parole: «il COPASIR» sono inserite le seguenti: «, ai sensi di quanto previsto dall'articolo 31, comma 3, della
All'articolo 6:
al comma 1, le parole: «nell'ambito delle risorse disponibili» sono sostituite dalle seguenti: «nell'ambito delle risorse finanziarie destinate all'Agenzia ai sensi dell'articolo 18, comma 1»;
al comma 3, dopo le parole: «previo parere» sono inserite le seguenti: «delle Commissioni parlamentari competenti per materia e per i profili finanziari e, per i profili di competenza,».
All'articolo 7:
al comma 1:
alla lettera e):
al numero 1), le parole: «comma 1» sono sostituite dalle seguenti: «paragrafo 1»;
al numero 2), le parole: «comma 6» sono sostituite dalle seguenti: «paragrafo 6» e le parole: «punto 1)» sono sostituite dalle seguenti: «numero 1) della presente lettera»;
alla lettera i), la parola: «DIS» è sostituita dalle seguenti: «Dipartimento delle informazioni per la sicurezza (DIS), di cui all'articolo 4 della
alla lettera m), le parole: «nonchè in materia» sono sostituite dalle seguenti: «nonchè quelle in materia»;
dopo la lettera m) sono inserite le seguenti:
«m-bis) assume le iniziative idonee a valorizzare la crittografia come strumento di cybersicurezza, anche attraverso un'apposita sezione dedicata nell'ambito della strategia di cui alla lettera b). In particolare, l'Agenzia attiva ogni iniziativa utile volta al rafforzamento dell'autonomia industriale e tecnologica dell'Italia, valorizzando lo sviluppo di algoritmi proprietari nonchè la ricerca e il conseguimento di nuove capacità crittografiche nazionali;
m-ter) provvede alla qualificazione dei servizi cloud per la pubblica amministrazione nel rispetto della disciplina dell'Unione europea e del regolamento di cui all'articolo 33-septies, comma 4, del
alla lettera n) sono aggiunte, in fine, le seguenti parole: «. A tale fine, promuove iniziative di partenariato pubblico-privato per rendere effettive tali capacità»;
alla lettera q), le parole: «istituzioni, ed enti» sono sostituite dalle seguenti: «istituzioni ed enti»;
alla lettera r) sono aggiunte, in fine, le seguenti parole: « e, in particolare, con il Ministero della difesa per gli aspetti inerenti alla ricerca militare. L'Agenzia può altresì promuovere la costituzione di aree dedicate allo sviluppo dell'innovazione finalizzate a favorire la formazione e il reclutamento di personale nei settori avanzati dello sviluppo della cybersicurezza, nonchè promuovere la realizzazione di studi di fattibilità e di analisi valutative finalizzati a tale scopo»;
alla lettera s), le parole: «Ministero degli esteri» sono sostituite dalle seguenti: «Ministero degli affari esteri»;
alla lettera t), le parole: «Ministero degli esteri» sono sostituite dalle seguenti: «Ministero degli affari esteri» e sono aggiunte, in fine, le seguenti parole: «e, in particolare, con il Ministero della difesa per gli aspetti inerenti a progetti e iniziative in collaborazione con la NATO e con l'Agenzia europea per la difesa»;
alla lettera v), dopo le parole: «nel campo della cybersicurezza,» sono inserite le seguenti: «in particolare favorendo l'attivazione di percorsi formativi universitari in materia,» e sono aggiunte, in fine, le seguenti parole: «; nello svolgimento di tali compiti, l'Agenzia può avvalersi anche delle strutture formative e delle capacità della Presidenza del Consiglio dei ministri, del Ministero della difesa e del Ministero dell'interno, secondo termini e modalità da definire con apposito decreto del Presidente del Consiglio dei ministri, di concerto con i Ministri interessati»;
dopo la lettera v) è inserita la seguente:
«v-bis) può predisporre attività di formazione specifica riservate ai giovani che aderiscono al servizio civile regolate sulla base di apposite convenzioni. In ogni caso, il servizio prestato è, a tutti gli effetti, riconosciuto come servizio civile»;
dopo il comma 1 è inserito il seguente:
«1-bis. Anche ai fini dell'esercizio delle funzioni di cui al comma 1, lettere r), s), t), u), v), z) e aa), presso l'Agenzia è istituito, con funzioni di consulenza e di proposta, un Comitato tecnico-scientifico, presieduto dal direttore generale della medesima Agenzia, o da un dirigente da lui delegato, e composto da personale della stessa Agenzia e da qualificati rappresentanti dell'industria, degli enti di ricerca, dell'accademia e delle associazioni del settore della sicurezza, designati con decreto del Presidente del Consiglio dei ministri. La composizione e l'organizzazione del Comitato tecnico-scientifico sono disciplinate secondo le modalità e i criteri definiti dal regolamento di cui all'articolo 6, comma 1. Per la partecipazione al Comitato tecnico-scientifico non sono previsti gettoni di presenza, compensi o rimborsi di spese».
All'articolo 8:
al comma 2, primo periodo, le parole: «o dal vice direttore generale da lui designato» sono sostituite dalle seguenti: «o, per sua delega, dal vice direttore generale» e le parole: «dell'AISE, dell'AISI, di ciascuno dei Ministeri rappresentati nel Comitato di cui all'articolo 5 della
al comma 3, primo periodo, dopo le parole: «I componenti» sono inserite le seguenti: «del Nucleo»;
dopo il comma 4 è inserito il seguente:
«4-bis. Ai componenti del Nucleo non spettano compensi, gettoni di presenza, rimborsi di spese o altri emolumenti comunque denominati».
All'articolo 9:
al comma 1:
alla lettera b), le parole: «
alla lettera c), le parole: «in esercitazioni» sono sostituite dalle seguenti: «a esercitazioni»;
alla lettera e), le parole: «riceve, per il tramite del CSIRT Italia, le comunicazioni circa i casi di violazioni o tentativi di violazione della sicurezza o di perdita dell'integrità significativi ai fini del corretto funzionamento delle reti e dei servizi, dal DIS, dall'AISE e dall'AISI» sono sostituite dalle seguenti: «acquisisce, anche per il tramite del CSIRT Italia, le comunicazioni circa i casi di violazioni o tentativi di violazione della sicurezza o di perdita dell'integrità significativi ai fini del corretto funzionamento delle reti e dei servizi dagli organismi di informazione di cui agli articoli 4, 6 e 7 della
All'articolo 10:
il comma 2 è soppresso;
al comma 3, primo periodo, le parole: «, del Ministero delle infrastrutture e della mobilità sostenibili,» sono sostituite dalla seguente: «e»;
al comma 4, le parole: «di natura cibernetica,» sono sostituite dalle seguenti: «di natura cibernetica»;
al comma 5:
all'alinea, le parole: «
alla lettera e), le parole: «dell'UE» sono sostituite dalle seguenti: «dell'Unione europea».
All'articolo 11:
al comma 1, le parole: «Con legge di bilancio» sono sostituite dalle seguenti: «Con la legge di bilancio»;
al comma 2, lettera e), la parola: «contribuiti» è sostituita dalla seguente: «contributi»;
al comma 3:
alla lettera a), dopo le parole: «del CIC» è inserito il seguente segno d'interpunzione: «,»;
alla lettera b), le parole: «sono trasmessi, al» sono sostituite dalle seguenti: «sono trasmessi alle Commissioni parlamentari competenti e al»;
al comma 4, le parole: «e per quelle svolte in raccordo con il Sistema di informazione per la sicurezza della Repubblica di cui alla legge n. 124 del 2007» sono soppresse.
All'articolo 12:
al comma 1:
al primo periodo, le parole: «di tutela della sicurezza nazionale nello spazio cibernetico attribuite all'Agenzia e tenuto conto delle attività svolte dalla stessa in raccordo con il Sistema di informazione per la sicurezza della Repubblica di cui alla legge n. 124 del 2007» sono sostituite dalle seguenti: «volte alla tutela della sicurezza nazionale nello spazio cibernetico attribuite all'Agenzia»;
al secondo periodo, dopo le parole: «per il personale dell'Agenzia» sono inserite le seguenti: «di cui al comma 2, lettera a),»;
al terzo periodo, le parole: «sia con riferimento» sono sostituite dalle seguenti: «con riferimento sia» e dopo le parole: «in servizio che» sono inserite le seguenti: «al trattamento»;
al comma 2:
all'alinea, le parole: «nei limiti delle risorse finanziarie disponibili» sono sostituite dalle seguenti: «nell'ambito delle risorse finanziarie destinate all'Agenzia ai sensi dell'articolo 18, comma 1»;
alla lettera c), dopo le parole: «composto da personale» è inserito il seguente segno d'interpunzione: «,» e le parole: «analoga posizione, prevista» sono sostituite dalle seguenti: «analoga posizione prevista»;
al comma 5, le parole: «al presidente del» sono sostituite dalle seguenti: «alle Commissioni parlamentari competenti e al»;
al comma 7, le parole: «Fatto salvo quanto previsto dall'articolo 42 della legge n. 124 del 2007,» sono soppresse;
al comma 8, dopo le parole: «previo parere» sono inserite le seguenti: «delle Commissioni parlamentari competenti per materia e per i profili finanziari e, per i profili di competenza,».
All'articolo 14:
al comma 2, le parole: «in raccordo con il Sistema di informazione per la sicurezza della Repubblica di cui alla
All'articolo 15:
al comma 1:
alla lettera e), capoverso comma 6, lettera b), dopo le parole: «sono valutate» sono inserite le seguenti: «ed eventualmente integrate, d'intesa con le autorità di settore,»;
alla lettera f), le parole: «dalle seguenti: "cybersicurezza"», ovunque ricorrono, sono sostituite dalle seguenti: «dalla seguente: "cybersicurezza"»;
alla lettera g), capoverso Art. 7:
al comma 1, lettera d), le parole: «delle Regioni» sono sostituite dalle seguenti: «dalle Regioni»;
al comma 8, alinea, dopo le parole: «dal presente articolo» è inserito il seguente segno d'interpunzione: «,» e le parole: «a decorrere dal» sono sostituite dalle seguenti: «annui a decorrere dall'anno»;
alla lettera h), le parole: «l'Agenzia di cybersicurezza» sono sostituite dalle seguenti: «l'Agenzia per la cybersicurezza»;
alla lettera i), capoverso 1, al secondo periodo, le parole: «nazionale, un» sono sostituite dalle seguenti: «nazionale un» e, al quinto periodo, dopo le parole: «o rimborsi» è inserita la seguente: «di»;
al comma 2:
alla lettera a) sono aggiunte, in fine, le seguenti parole: «, come sostituito dal comma 1, lettera g), del presente articolo»;
alla lettera c) sono aggiunte, in fine, le seguenti parole: «, come modificato dalla lettera d) del presente comma».
All'articolo 16:
al comma 1, le parole: «legge n. 124 del 2007» sono sostituite dalle seguenti: «
al comma 2, dopo le parole: «è abrogato» sono aggiunte le seguenti: «a decorrere dal 1° gennaio 2023»;
al comma 5, dopo le parole: «cybersicurezza nazionale» sono inserite le seguenti: «, fatta eccezione per le disposizioni dell'articolo 1, commi 2, lettera b), e 2-ter, del medesimo decreto-legge perimetro,»;
al comma 8, le parole: «di cui agli articoli 3 del decreto del Presidente del Consiglio dei ministri n. 131 del 2020» sono sostituite dalle seguenti: «di cui all'articolo 3 del
al comma 9:
dopo la lettera a) sono inserite le seguenti:
«a-bis) all'articolo 1, comma 7, lettera c), le parole: "dell'organismo tecnico di supporto al CISR" sono sostituite dalle seguenti: "del Tavolo interministeriale di cui all'articolo 6 del
a-ter) all'articolo 1, comma 2, la lettera b) è sostituita dalla seguente:
"b) sono definiti, sulla base di un'analisi del rischio e di un criterio di gradualità che tenga conto delle specificità dei diversi settori di attività, i criteri con i quali i soggetti di cui al comma 2-bis predispongono e aggiornano con cadenza almeno annuale un elenco delle reti, dei sistemi informativi e dei servizi informatici di cui al comma 1, di rispettiva pertinenza, comprensivo della relativa architettura e componentistica, fermo restando che, per le reti, i sistemi informativi e i servizi informatici attinenti alla gestione delle informazioni classificate, si applica quanto previsto dal regolamento adottato ai sensi dell'articolo 4, comma 3, lettera l), della
a-quater) all'articolo 1, dopo il comma 2-bis è inserito il seguente:
"2-ter. Gli elenchi dei soggetti di cui alla lettera a) del comma 2 del presente articolo sono trasmessi al Dipartimento delle informazioni per la sicurezza, che provvede anche a favore dell'AISE e dell'AISI ai fini dell'esercizio delle funzioni istituzionali previste dagli articoli 1, comma 3-bis, 4, 6 e 7 della
alla lettera c), numero 1), capoverso 1, secondo periodo, le parole: «di predetti» sono sostituite dalle seguenti: «dei predetti»;
al comma 10, capoverso 3-bis, decimo periodo, dopo le parole: «sanzione amministrativa pecuniaria» sono inserite le seguenti: «del pagamento di una somma»;
al comma 11, le parole: «135 del decreto legislativo» sono sostituite dalle seguenti: «135, comma 1, del codice del processo amministrativo, di cui all'allegato 1 al decreto legislativo» e sono aggiunte, in fine, le seguenti parole: «e alla lettera o) le parole: "e dell'AISE" sono sostituite dalle seguenti: ", dell'AISE e dell'Agenzia per la cybersicurezza nazionale"»;
al comma 13 sono aggiunte, in fine, le seguenti parole: «e sono aggiunte, in fine, le seguenti parole: "nonchè le modalità del procedimento di qualificazione dei servizi cloud per la pubblica amministrazione"».
All'articolo 17:
al comma 5, lettera b), dopo le parole: «amministrazioni interessate,» sono inserite le seguenti: «nel rispetto delle specifiche norme riguardanti l'organizzazione e il funzionamento,»;
dopo il comma 5 è inserito il seguente:
«5-bis. Fino alla scadenza dei termini indicati nel decreto o nei decreti di cui al comma 5, lettera b), la gestione delle risorse finanziarie relative alle funzioni trasferite, compresa la gestione dei residui passivi e perenti, è esercitata dalle amministrazioni cedenti. A decorrere dalla medesima data sono trasferiti in capo all'Agenzia i rapporti giuridici attivi e passivi relativi alle funzioni trasferite»;
al comma 6, le parole: «di AgID» sono sostituite dalle seguenti: «dell'AgID. Nelle more dell'adozione dei decreti di cui al comma 5, il regolamento di cui all'articolo 33-septies, comma 4, del
al comma 7:
il primo periodo è sostituito dai seguenti: «Al fine di assicurare la prima operatività dell'Agenzia, il direttore generale dell'Agenzia, fino all'adozione dei regolamenti di cui all'articolo 11, commi 3 e 4, identifica, assume e liquida gli impegni di spesa che saranno pagati a cura del DIS, nell'ambito delle risorse destinate all'Agenzia. A tale fine è istituito un apposito capitolo nel bilancio del DIS»;
al secondo periodo, le parole: «commi 3 e 5, delle spese effettuate ai sensi del presente comma, il Presidente del Consiglio dei ministri ne dà informazione al COPASIR» sono sostituite dalle seguenti: «commi 3 e 4, il Presidente del Consiglio dei ministri dà informazione al COPASIR delle spese effettuate ai sensi del presente comma»;
il comma 8 è sostituito dai seguenti:
«8. Al fine di assicurare la prima operatività dell'Agenzia, dalla data della nomina del direttore generale dell'Agenzia e nel limite del 30 per cento della dotazione organica complessiva iniziale di cui all'articolo 12, comma 4:
a) il DIS mette a disposizione il personale impiegato nell'ambito delle attività relative allo svolgimento delle funzioni oggetto di trasferimento, con modalità da definire mediante intese con lo stesso Dipartimento;
b) l'Agenzia si avvale, altresì, di unità di personale appartenenti al Ministero dello sviluppo economico, all'Agenzia per l'Italia digitale, ad altre pubbliche amministrazioni e ad autorità indipendenti, per un periodo massimo di sei mesi, prorogabile una sola volta per un massimo di ulteriori sei mesi, messo a disposizione dell'Agenzia stessa su specifica richiesta e secondo modalità individuate mediante intese con le rispettive amministrazioni di appartenenza.
8-bis. Gli oneri derivanti dall'attuazione del comma 8 restano a carico dell'amministrazione di appartenenza»;
al comma 9:
al primo periodo, dopo le parole: «di cui al comma 8» sono inserite le seguenti: «del presente articolo»;
dopo il primo periodo è inserito il seguente: «Il personale di cui al comma 8, lettera a), è inquadrato, a decorrere dal 1° gennaio 2022, nel ruolo di cui all'articolo 12, comma 2, lettera a), secondo le modalità definite dal regolamento di cui all'articolo 12, comma 1»;
al secondo periodo, dopo le parole: «al comma 8,» sono inserite le seguenti: «lettera b),»;
dopo il comma 10 sono aggiunti i seguenti:
«10-bis. In sede di prima applicazione del presente decreto:
a) la prima relazione di cui all'articolo 14, comma 1, è trasmessa entro il 30 novembre 2022;
b) entro il 31 ottobre 2022, il Presidente del Consiglio dei ministri trasmette alle Camere una relazione che dà conto dello stato di attuazione, al 30 settembre 2022, delle disposizioni di cui al presente decreto, anche al fine di formulare eventuali proposte in materia.
10-ter. I pareri delle Commissioni parlamentari competenti per materia e per i profili finanziari e del COPASIR previsti dal presente decreto sono resi entro il termine di trenta giorni dalla trasmissione dei relativi schemi di decreto, decorso il quale il Presidente del Consiglio dei ministri può comunque procedere all'adozione dei relativi provvedimenti».
All'articolo 18:
al comma 2, la parola: «corrispondete» è sostituita dalla seguente: «corrispondente» e le parole: «dell'autorizzazione di spesa» sono sostituite dalle seguenti: «del Fondo»;
al comma 3, le parole: «dall'entrata in servizio» sono sostituite dalle seguenti: «dall'inizio del funzionamento» e le parole: «in spesa» sono sostituite dalle seguenti: «alla spesa»;
al comma 4 sono aggiunte, in fine, le seguenti parole: «del presente articolo»;
al comma 5, le parole: «per l'attuazione del presente decreto» sono soppresse.