§ 81.1.94 - D.P.C.M. 9 dicembre 2021, n. 223.
Regolamento di organizzazione e funzionamento dell'Agenzia per la cybersicurezza nazionale.


Settore:Normativa nazionale
Materia:81. Pubblica sicurezza
Capitolo:81.1 disciplina generale
Data:09/12/2021
Numero:223


Sommario
Art. 1.  Definizioni
Art. 2.  Oggetto
Art. 3.  Principi ispiratori
Art. 4.  Struttura organizzativa
Art. 5.  Direttore generale dell'Agenzia
Art. 6.  Vice Direttore generale dell'Agenzia
Art. 7.  Collegio dei revisori dei conti
Art. 8.  Controlli interni, valutazione e trasparenza
Art. 9.  Comitato di Vertice
Art. 10.  Comitato di coordinamento e programmazione
Art. 11.  Comitato tecnico-scientifico
Art. 12.  Organizzazione
Art. 13.  Codice etico
Art. 14.  Comitati e commissioni
Art. 15.  Sedi principale e secondarie
Art. 16.  Regolamenti e disciplinari
Art. 17.  Attuazione
Art. 18.  Entrata in vigore


§ 81.1.94 - D.P.C.M. 9 dicembre 2021, n. 223.

Regolamento di organizzazione e funzionamento dell'Agenzia per la cybersicurezza nazionale.

(G.U. 27 dicembre 2021, n. 306 - S.O. n. 47)

 

     IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI

 

     Vista la legge 23 agosto 1988, n. 400;

     Visto il decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, recante «Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale» che, in particolare, istituisce l'Agenzia per la cybersicurezza nazionale (nel prosieguo «Agenzia») anche ai fini della tutela della sicurezza nazionale e dell'interesse nazionale nello spazio cibernetico e, in particolare, l'articolo 6;

     Vista la legge 7 agosto 1990, n. 241;

     Visto il decreto legislativo 7 marzo 2005, n. 82, recante il «Codice dell'amministrazione digitale»;

     Visto il decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56;

     Visto il decreto legislativo 18 maggio 2018, n. 65, di attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione;

     Visto il decreto-legge 21 settembre 2019, n. 105, convertito in legge, con modificazioni, dalla legge 18 novembre 2019, n. 133, recante «Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica»;

     Visti gli articoli 2, comma 2, e 5, comma 2, secondo periodo, del decreto-legge n. 82 del 2021, che prevedono, in particolare, rispettivamente, che il Presidente del Consiglio dei ministri, sentito il CIC, impartisce le direttive per la cybersicurezza ed emana ogni disposizione necessaria per l'organizzazione e il funzionamento dell'Agenzia, e che il Presidente del Consiglio dei ministri e l'Autorità delegata, ove istituita, si avvalgano dell'Agenzia per l'esercizio delle competenze di cui allo stesso decreto-legge;

     Visti altresì gli articoli 5, comma 2, primo periodo, e 12, comma 1, del decreto-legge n. 82 del 2021, che prevedono, in particolare, rispettivamente, che l'Agenzia è dotata di autonomia regolamentare, amministrativa e organizzativa e che per il personale del ruolo dell'Agenzia, di cui all'articolo 12, comma 2, lettera a), del richiamato decreto-legge, tenuto conto delle funzioni volte alla tutela della sicurezza nazionale, ne sia dettata la relativa disciplina con apposito regolamento adottato anche in deroga alle vigenti disposizioni di legge, ivi incluso il decreto legislativo 30 marzo 2001, n. 165, nel rispetto dei principi generali dell'ordinamento giuridico, prevedendo, infine, un trattamento economico pari a quello in godimento da parte dei dipendenti della Banca d'Italia, sulla scorta dell'equiparabilità delle funzioni svolte e del livello di responsabilità rivestito;

     Visto il regolamento adottato con decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131;

     Visto il decreto del Presidente del Consiglio dei ministri 13 settembre 2021, recante «Delega di funzioni in materia di cybersicurezza all'Autorità delegata per la sicurezza della Repubblica, prefetto Franco Gabrielli»;

     Ritenuto di dare attuazione all'articolo 6, individuando un assetto organizzativo e funzionale dell'Agenzia efficiente, coerente con la missione istituzionale, raccordato e compatibile con le previsioni di cui al richiamato articolo 12, comma 1, e che consenta di disporre delle necessarie dinamicità, modularità e gradualità nell'attivazione delle strutture e articolazioni dell'Agenzia, al fine di assicurarne un pronto avvio nel rispetto dei principi di efficienza ed economicità;

     Visto l'articolo 6, comma 3, del decreto-legge n. 82 del 2021, che consente l'adozione del presente regolamento in deroga alle disposizioni dell'articolo 17 della legge 23 agosto 1988, n. 400 e, dunque, anche in assenza del parere del Consiglio di Stato;

     Acquisiti i pareri delle Commissioni I (Affari costituzionali) e IX (Trasporti) riunite, IV (Difesa) e V (Bilancio) della Camera dei deputati, delle Commissioni 1ª (Affari costituzionali), 5ª (Bilancio) e 8ª (Lavori pubblici, comunicazione) del Senato della Repubblica e del Comitato parlamentare per la sicurezza della Repubblica;

     Sentito il Comitato interministeriale per la cybersicurezza (CIC);

     Di concerto con il Ministro dell'economia e delle finanze;

 

     Adotta

     il seguente regolamento:

 

Titolo I

DISPOSIZIONI E PRINCIPI GENERALI

 

Art. 1. Definizioni

     1. Ai fini del presente regolamento si intende per:

     a) decreto-legge, il decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, recante disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale;

     b) Autorità delegata, il Sottosegretario di Stato o il Ministro senza portafoglio di cui all'articolo 3 del decreto-legge;

     c) CIC, il Comitato interministeriale per la cybersicurezza di cui all'articolo 4 del decreto-legge;

     d) decreto legislativo NIS, il decreto legislativo 18 maggio 2018, n. 65, di attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione, come modificato dall'articolo 15 del decreto-legge;

     e) decreto-legge perimetro, il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica;

     f) Tavolo Perimetro, il Tavolo interministeriale per l'attuazione del perimetro di sicurezza nazionale cibernetica di cui all'articolo 6, comma 1, del regolamento adottato con decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131;

     g) Comitato tecnico-scientifico, il Comitato di cui all'articolo 7, comma 1-bis, del decreto-legge;

     h) Comitato tecnico di raccordo, il Comitato di cui all'articolo 9, comma 1, del decreto legislativo NIS;

     i) CSIRT Italia, il Computer security incident response team, di cui all'articolo 8 del decreto legislativo NIS;

     l) CVCN, il Centro di valutazione e certificazione nazionale di cui all'articolo 1, comma 6, lettera a), del decreto-legge perimetro;

     m) Centro di coordinamento, il Centro nazionale di coordinamento ai sensi dell'articolo 6 del regolamento (UE) n. 2021/887 del Parlamento europeo e del Consiglio del 20 maggio 2021, che istituisce il Centro europeo di competenza per la cybersicurezza nell'ambito industriale, tecnologico e della ricerca e la rete dei centri nazionali di coordinamento;

     n) articolazioni: le Divisioni di cui all'articolo 4, comma 4, e gli altri gruppi di progetto, di studio e ricerca, settori e altri gruppi di cui all'articolo 4, comma 5, secondo periodo.

 

     Art. 2. Oggetto

     1. Il presente regolamento, adottato ai sensi dell'articolo 6, comma 1, del decreto-legge, disciplina l'organizzazione e il funzionamento dell'Agenzia per la cybersicurezza nazionale (ACN), di seguito «Agenzia», delineando la macrostruttura dell'Agenzia.

 

     Art. 3. Principi ispiratori

     1. L'Agenzia svolge le funzioni stabilite dal decreto-legge e da altre disposizioni di legge, sulla base delle direttive emanate dal Presidente del Consiglio dei ministri o dall'Autorità delegata, ove istituita, nel campo della cybersicurezza, anche ai fini della tutela della sicurezza nazionale.

     2. L'organizzazione e il funzionamento dell'Agenzia si ispirano ai seguenti principi:

     a) autonomia e responsabilizzazione, in relazione al corretto uso delle risorse, al migliore conseguimento dei risultati attesi ed al massimo livello di adesione ai principi, ai valori e alla missione dell'Agenzia stessa;

     b) efficienza e razionale impiego delle risorse disponibili;

     c) imparzialità e trasparenza dell'azione amministrativa, nel rispetto della disciplina sulla sicurezza;

     d) ottimale valorizzazione del capitale umano attraverso la corretta valutazione dei risultati conseguiti, assicurando la formazione e lo sviluppo professionale delle proprie risorse umane e garantendo pari opportunità alle lavoratrici e ai lavoratori;

     e) contrasto alle situazioni di conflitto di interessi ed ai fenomeni di corruzione e infiltrazione ad opera della criminalità organizzata;

     f) flessibilità e innovazione tecnologica poste a supporto dei processi gestionali, al fine di garantire nella misura massima l'efficacia e l'efficienza necessarie per la realizzazione degli obiettivi strategici dell'Agenzia;

     g) semplificazione dei processi di lavoro ed essenzialità dei percorsi amministrativi, chiarezza degli obiettivi assegnati a ciascuna figura professionale ed efficacia delle soluzioni organizzative da adottare, che privilegino il lavoro per processi e di gruppo e la gestione per progetti, specie per le attività a termine di carattere innovativo e di particolare rilevanza e complessità;

     h) sviluppo dei sistemi informativi a supporto delle decisioni e pieno utilizzo nell'organizzazione delle potenzialità offerte dall'utilizzo delle tecnologie digitali e dei sistemi di comunicazione via web, anche in funzione della promozione dell'innovazione digitale e della facilità di accesso alle attività, all'assistenza e all'informazione da parte delle pubbliche amministrazioni, dei cittadini e delle imprese, secondo principi di cybersicurezza.

 

Titolo II

ORGANI, STRUTTURE E FUNZIONI

 

     Art. 4. Struttura organizzativa

     1. Sono organi dell'Agenzia quelli previsti dall'articolo 6, comma 2, del decreto-legge.

     2. L'Agenzia, nei limiti definiti dall'articolo 6, comma 1, del decreto-legge, si articola in Servizi generali (di seguito «Servizi») e Divisioni.

     3. I Servizi sono istituiti, nel numero di sette quali strutture di livello dirigenziale generale nei limiti stabiliti dall'articolo 6, comma 1, del decreto-legge, a presidio di ambiti di notevole ampiezza e complessità, che sono direttamente correlati alle funzioni e alle politiche generali dell'Agenzia. I Servizi sono posti alle dipendenze del direttore generale dell'Agenzia e operano sulla base degli indirizzi dallo stesso forniti.

     4. Le Divisioni sono istituite per la gestione di un insieme omogeneo di tematiche e macro-processi e operano, di norma, all'interno dei Servizi. Nel numero massimo di trenta, sono individuate le Divisioni di maggiore complessità, quali articolazioni di livello dirigenziale non generale. In sede di prima applicazione delle disposizioni del decreto-legge, fino alla rideterminazione della dotazione organica da effettuarsi ai sensi dell'articolo 12, comma 5, del decreto-legge, non possono essere istituite più di ventiquattro Divisioni di maggiore complessità.

     5. Con provvedimento del direttore generale, rispondente a principi di efficacia ed efficienza organizzativa, sentiti i Capi dei Servizi, sono definiti: il numero delle Divisioni nei limiti di cui al comma 4 per quelle di maggiore complessità, le funzioni e le rispettive competenze, le dotazioni di risorse umane e strumentali, nonchè la loro eventuale riorganizzazione. Con analogo provvedimento può essere prevista anche la costituzione:

     a) di gruppi di progetto, di studio e ricerca, settori e altri gruppi con compiti, risorse e processi operativi assegnati;

     b) nell'ambito della dotazione organica dell'Agenzia, di strutture di missione temporanea di livello dirigenziale o unità di progetto non aventi natura dirigenziale, dedicate all'attuazione di un progetto di durata definita.

     6. Nell'ambito di un Servizio, il direttore generale può costituire, su proposta del relativo Capo Servizio, le posizioni di Vice Capo Servizio e Vice Capo Divisione, laddove la complessità delle tematiche trattate richieda la previsione di una specifica figura manageriale, nonchè posizioni di coordinamento, in relazione a progetti o processi aventi carattere di trasversalità tra più articolazioni dello stesso o di altri Servizi. A tali posizioni, secondo i criteri di cui al regolamento adottato ai sensi dell'articolo 12, comma 1, del decreto-legge, è preposto personale dell'Agenzia nei limiti di cui agli articoli 12 e 18 del decreto-legge.

     7. Con provvedimento del direttore generale, sono disciplinati i casi di sostituzione, in caso di assenza o impedimento, da parte dei titolari dei Servizi o delle Divisioni.

 

     Art. 5. Direttore generale dell'Agenzia

     1. Il direttore generale è il diretto referente del Presidente del Consiglio dei ministri e dell'Autorità delegata, ove istituita, nella materia della cybersicurezza.

     2. Il direttore generale, in particolare:

     a) è il legale rappresentante dell'Agenzia e ne ha la rappresentanza esterna;

     b) cura i rapporti con le pubbliche amministrazioni nazionali e con i soggetti pubblici e privati, con le istituzioni, gli organismi e le agenzie dell'Unione europea, nonchè con le organizzazioni estere ed internazionali;

     c) svolge le funzioni di segretario del CIC, supportandone le funzioni di consulenza, proposta e vigilanza in materia di politiche di cybersicurezza;

     d) partecipa alle riunioni del Comitato interministeriale per la sicurezza della Repubblica (CISR), di cui all'articolo 5 della legge 3 agosto 2007, n. 124 in materia di gestione delle situazioni di crisi di cui all'articolo 10, comma 1, del decreto-legge;

     e) presiede il Nucleo per la cybersicurezza, il Tavolo Perimetro, il Comitato tecnico di raccordo (CTR) e il Comitato tecnico-scientifico (CTS), istituiti presso l'Agenzia;

     f) sottoscrive i contratti, ove non siano espressamente delegati i Capi dei Servizi competenti, ovvero altro personale dell'Agenzia;

     g) svolge le altre funzioni espressamente attribuite dalla legge e dai regolamenti o dal Presidente del Consiglio dei ministri.

     3. Il direttore generale, sentito il Vice direttore generale:

     a) adotta i provvedimenti necessari per il funzionamento dell'Agenzia. A tal fine, ne definisce gli indirizzi e ne coordina le attività, adottando ogni iniziativa idonea al miglior espletamento delle funzioni dell'Agenzia;

     b) adotta la pianificazione strategica dell'Agenzia, individuando gli obiettivi da conseguire, assegnandoli ai Capi dei Servizi;

     c) dispone le nomine, le promozioni, le assegnazioni, i trasferimenti e gli incarichi del personale;

     d) adotta i provvedimenti necessari per l'impiego delle risorse strumentali. A tal fine, impartisce indirizzi e direttive per il loro migliore impiego;

     e) adotta il bilancio preventivo e il bilancio consuntivo dell'Agenzia;

     f) assicura, sulla base delle determinazioni del Presidente del Consiglio dei ministri, l'attuazione degli indirizzi del CIC e l'esecuzione delle deliberazioni assunte dagli organismi che presiede.

     4. Nello svolgimento delle funzioni attribuitegli, il Direttore generale si avvale del Gabinetto a fini di diretto supporto, nonchè dei competenti servizi e articolazioni dell'Agenzia.

     5. Con apposito provvedimento, adottato ai sensi dell'articolo 4, comma 5, il Direttore generale istituisce una o più articolazioni a diretto supporto per lo svolgimento delle proprie funzioni istituzionali. Tali articolazioni possono essere, in particolare:

     a) la segreteria particolare, con funzioni di supporto dell'attività istituzionale del Direttore generale, di segreteria e contatto con i referenti delle altre istituzioni, con gli altri organi dell'Agenzia, per la trattazione delle questioni e degli approfondimenti che lo stesso intende gestire direttamente, per l'organizzazione delle cerimonie e degli eventi istituzionali;

     b) le relazioni esterne e comunicazione, con funzioni di gestione dei rapporti con le redazioni giornalistiche e con la stampa nazionale ed estera, redazione e diffusione dei comunicati e organizzazione di conferenze stampa, attuazione delle attività di comunicazione istituzionale, compresa la gestione del sito web e dei canali social dell'Agenzia, curando la presenza, l'immagine e la visibilità dell'Agenzia e promuovendone le attività allo scopo di garantire una comunicazione coerente e trasparente.

     6. Il trattamento economico del direttore generale è disciplinato nell'ambito del regolamento di cui all'articolo 12, comma 1, del decreto-legge.

 

     Art. 6. Vice Direttore generale dell'Agenzia

     1. Il Vice Direttore generale di cui all'articolo 5, comma 3, del decreto-legge coadiuva il direttore generale nella direzione dell'Agenzia. Sulla base di apposito provvedimento del direttore generale, svolge le funzioni attribuitegli, sovrintende e coordina i Servizi e le altre articolazioni dell'Agenzia, indicate nel medesimo provvedimento.

     2. Il Vice Direttore generale svolge altresì le funzioni vicarie per i casi di assenza o impedimento del direttore generale.

     3. Sulla base di specifica delega del direttore generale, il Vice Direttore generale può presiedere il Nucleo per la cybersicurezza (NCS), il Tavolo Perimetro, il Comitato tecnico di raccordo (CTR) e il Comitato tecnico-scientifico (CTS), istituiti presso l'Agenzia.

     4. Con apposito provvedimento, adottato ai sensi dell'articolo 4, comma 5, il Direttore generale istituisce una o più articolazioni a diretto supporto del Vice Direttore generale per supportarlo nello svolgimento delle proprie funzioni istituzionali.

     5. Il Direttore generale, con proprio provvedimento, individua un Capo Servizio al quale, in caso di assenza o impedimento del Vice Direttore generale, sono attribuite le funzioni vicarie.

     6. Il trattamento economico del Vice direttore generale è disciplinato nell'ambito del regolamento di cui all'articolo 12, comma 1, del decreto-legge.

 

     Art. 7. Collegio dei revisori dei conti

     1. Il Collegio dei revisori dei conti è composto da:

     a) un magistrato della Corte dei conti, in servizio o in quiescenza, che lo presiede;

     b) un componente effettivo, designato dal Ministero dell'economia e delle finanze ai sensi dell'articolo 16 della legge 31 dicembre 2009, n. 196;

     c) un ulteriore componente effettivo e un componente supplente, scelti entrambi tra soggetti, in servizio o in quiescenza, appartenenti ai ruoli della magistratura amministrativa, contabile o dell'Avvocatura dello Stato, ovvero tra professori universitari ordinari di contabilità pubblica o discipline similari, ovvero tra alti dirigenti dello Stato.

     2. Il presidente e i componenti del Collegio sono nominati con provvedimento del direttore generale su deliberazione del Comitato di Vertice, durano in carica quattro anni e possono essere confermati una sola volta.

     3. I compensi del presidente e dei componenti sono stabiliti con successivo decreto del Presidente del Consiglio dei ministri, su proposta del direttore generale, in conformità ai criteri stabiliti per gli enti e organismi pubblici.

     4. Il presidente e i componenti sono tenuti, ai sensi della normativa vigente, al rispetto del segreto sui fatti e sui documenti di cui hanno conoscenza in ragione del loro ufficio.

     5. Il Collegio:

     a) effettua il riscontro degli atti della gestione finanziaria e formula le proprie osservazioni;

     b) svolge, almeno una volta ogni tre mesi, verifiche di cassa e di bilancio;

     c) esprime, in apposita relazione, parere sul progetto di bilancio preventivo, nonchè sul rendiconto annuale;

     d) esercita ogni altra funzione ad esso attribuita dalla normativa vigente.

 

     Art. 8. Controlli interni, valutazione e trasparenza

     1. L'organismo indipendente di valutazione, di seguito OIV, costituito in forma collegiale o monocratica, è nominato con provvedimento del direttore generale, sentito il Vice direttore generale, ed esercita le attribuzioni di cui all'articolo 14, del decreto legislativo 27 ottobre 2009, n. 150.

     2. L'OIV si avvale del supporto di una struttura tecnica permanente appositamente costituita con provvedimento del direttore generale.

     3. L'OIV, nello svolgimento delle funzioni attribuitegli dalla legge, si raccorda con il Vice direttore generale, anche in ottica di coordinamento con le articolazioni interessate dell'Agenzia.

     4. Il diritto di accesso di cui all'articolo 14, comma 4-ter, del decreto legislativo 27 ottobre 2009, n. 150, si esercita nei ristretti limiti previsti dall'articolo 24 della legge 7 agosto 1990, n. 241, dalla legge n. 124 del 2007 e delle altre leggi a tutela della sicurezza nazionale, con particolare riguardo allo spazio cibernetico, e nel pieno rispetto della normativa vigente in materia di classifiche di segretezza.

 

     Art. 9. Comitato di Vertice

     1. Con riferimento a decisioni strategiche concernenti, tra l'altro, l'organizzazione e il funzionamento dell'Agenzia, anche in relazione a quanto stabilito dai regolamenti di attuazione del decreto-legge, il Direttore generale può richiedere la convocazione del Comitato di Vertice al quale presentare proposte o sottoporre questioni di particolare delicatezza.

     2. Il Comitato di Vertice è presieduto dal Presidente del Consiglio dei ministri, ovvero dall'Autorità delegata di cui all'articolo 3 del decreto-legge, ove istituita, che ne dispone la convocazione, ove ritenuta opportuna, ed è composto dal Direttore generale e dal Vice Direttore generale. Il Capo di Gabinetto dell'Agenzia ne svolge le funzioni di segretario.

     3. Per la partecipazione al Comitato non sono previsti gettoni di presenza, compensi o rimborsi di spese.

 

     Art. 10. Comitato di coordinamento e programmazione

     1. Per assicurare l'unitarietà di azione e l'allineamento informativo dei Servizi sugli indirizzi e le decisioni strategiche in merito all'organizzazione, al funzionamento e alle attività dell'Agenzia, il direttore generale può convocare il Comitato di coordinamento e programmazione.

     2. Il Comitato è presieduto dal Direttore generale ed è composto dal Vice Direttore generale e dai Capi dei Servizi o da loro delegati.

     3. Il Comitato si riunisce su convocazione del Direttore generale, che ne definisce l'ordine del giorno.

     4. Alle riunioni del Comitato può essere invitato a partecipare, in funzione degli argomenti da trattare, anche altro personale dell'Agenzia.

 

     Art. 11. Comitato tecnico-scientifico

     1. Ai sensi dell'articolo 7, comma 1-bis, del decreto-legge, è istituito presso l'Agenzia un Comitato tecnico-scientifico, di seguito Comitato, con funzioni di consulenza e proposta, volto a promuovere la collaborazione con il sistema dell'università e della ricerca e con il sistema produttivo nazionale, nonchè a supportare le iniziative pubblico-private in materia di cybersicurezza. Al Comitato possono essere sottoposte, oltre alle questioni in materia di sviluppo di competenze, innovazione, partecipazione a programmi e progetti di cybersicurezza nazionali ed internazionali, comunicazione e promozione della consapevolezza in materia di cybersicurezza, formazione e qualificazione delle risorse umane, nonchè alle questioni afferenti al Centro nazionale di coordinamento, ogni altra tematica individuata dal direttore generale.

     2. Il Comitato è presieduto dal direttore generale, ovvero dal Vice direttore generale o da un dirigente dell'Agenzia ove delegati e, tenuto conto del principio di pari opportunità tra uomini e donne, è composto da:

     a) personale dell'Agenzia in numero non superiore a quattro;

     b) quattro dirigenti, preferibilmente individuati tra quelli chiamati a riferire in via immediata e diretta al vertice gerarchico, in rappresentanza dell'industria operativa negli ambiti di attività dell'Agenzia, comprese le piccole e medie imprese;

     c) quattro professori universitari ordinari o equivalenti, in rappresentanza del sistema dell'università e della ricerca;

     d) un esponente di associazioni del settore della sicurezza delle aziende strategiche del Paese.

     3. I componenti del Comitato:

     a) devono possedere indiscussa competenza, tanto a livello nazionale quanto internazionale, negli ambiti di attività dell'Agenzia, in particolare nel contesto della definizione e dell'attuazione di progetti di ricerca e sviluppo tecnologico, industriale e scientifico, nei campi, tra gli altri, del quantum computing, dell'intelligenza artificiale, della crittografia, dell'Internet of things, delle reti e del software, nonchè negli ambiti della formazione e qualificazione delle risorse umane, della promozione e diffusione della cultura della cybersicurezza;

     b) devono possedere riscontrabili requisiti di onorabilità.

     4. I componenti del Comitato sono designati con decreto del Presidente del Consiglio dei ministri, sentito il Comitato di Vertice, su proposta del direttore generale, restano in carica per due anni e possono essere rinnovati, con la medesima procedura, per un ulteriore anno.

     5. Per la partecipazione al Comitato non sono previsti gettoni di presenza, compensi o rimborsi di spese.

     6. Il Comitato si riunisce, almeno due volte l'anno, su convocazione del presidente o anche su richiesta di almeno tre componenti esterni all'Agenzia.

     7. Il presidente ne definisce l'ordine del giorno, anche sulla base delle proposte dei componenti del Comitato.

 

     Art. 12. Organizzazione

     1. L'Agenzia, nei limiti stabiliti dall'articolo 6, comma 1, del decreto-legge, e fatto salvo quanto previsto dall'articolo 17, si articola nei seguenti servizi:

     a) Gabinetto;

     b) Autorità e sanzioni;

     c) Certificazione e vigilanza;

     d) Operazioni;

     e) Programmi industriali, tecnologici, di ricerca e formazione;

     f) Risorse umane e strumentali;

     g) Strategie e cooperazione.

     2. Nell'ambito delle competenze e delle funzioni che sono attribuite per legge all'Agenzia e tenuto conto degli indirizzi che saranno progressivamente definiti dal Direttore generale:

     a) il Gabinetto assicura, a supporto del Direttore generale, il coordinamento tra i diversi Servizi e articolazioni dell'Agenzia e il raccordo tra le relative attività, e svolge funzioni a valenza generale. In particolare, per tali ultime funzioni, operando in stretto raccordo con i Servizi e avvalendosi del relativo supporto:

     1) assicura le funzioni di gestione dei flussi documentali, raccolta e canalizzazione di notizie, conoscenze ed esperienze, gestione del protocollo informatico e degli archivi dati, nonchè di eventi suscettibili di immediato superiore apprezzamento;

     2) assicura il supporto necessario ai fini della tutela della riservatezza dei dati personali;

     3) assolve agli obblighi di informazione e comunicazione al Parlamento e al Comitato parlamentare per la sicurezza della Repubblica (COPASIR) di cui all'articolo 30 della legge 3 agosto 2007, n. 124;

     4) cura e promuove, anche attraverso il costante monitoraggio dell'attività parlamentare e di Governo, l'espressione di pareri non vincolanti su rilevanti iniziative legislative o regolamentari, ovvero ne propone l'adozione, al fine della definizione e del mantenimento di un quadro giuridico nazionale aggiornato e coerente nel dominio della cybersicurezza, tenendo anche conto degli orientamenti e degli sviluppi in ambito internazionale;

     5) sulla base delle attività di competenza del Nucleo per la cybersicurezza, cura le attività di cui all'articolo 7, comma 1, lettera l), del decreto-legge;

     6) supporta il Nucleo per la cybersicurezza, fermo restando quanto previsto dalla lettera d), numero 5);

     7) cura le collaborazioni istituzionali con altri organi dello Stato e in generale con le altre amministrazioni, ivi compreso il Garante per la protezione dei dati personali e le altre Autorità indipendenti, le Forze armate e di polizia e gli altri enti pubblici;

     8) svolge studi e analisi su rilevanti iniziative, politiche e strategie in materia di cybersicurezza, laddove necessari per informare e supportare i processi decisionali dell'Agenzia;

     b) il Servizio autorità e sanzioni assicura lo svolgimento della funzione di regolamentazione e la connessa attività sanzionatoria attribuite all'Agenzia dalla normativa vigente. A tal fine, in particolare:

     1) cura gli adempimenti delle disposizioni del decreto legislativo NIS, con particolare riferimento a quanto previsto in materia di identificazione degli operatori di servizi essenziali e fornitori di servizi digitali e gestione dei rispettivi elenchi, determinazione delle soglie di incidenti, definizione delle misure di sicurezza, raccordo con le autorità di settore, presidenza del Comitato tecnico di raccordo;

     2) cura gli adempimenti delle disposizioni del decreto-legge perimetro;

     3) cura la definizione delle misure di sicurezza e delle soglie di significatività degli incidenti riguardanti le reti pubbliche di comunicazione o servizi di comunicazione elettronica accessibili al pubblico, ai sensi del Codice delle comunicazioni elettroniche;

     4) cura l'attuazione degli articoli 51 e 71 del Codice dell'amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, con particolare riferimento alla previsione di linee guida contenenti regole tecniche di cybersicurezza della pubblica amministrazione;

     5) stabilisce i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la pubblica amministrazione;

     6) provvede all'irrogazione delle sanzioni in caso di inadempimento degli obblighi stabiliti dalle normative vigenti in materia di cybersicurezza di competenza dell'Agenzia, garantendo la necessaria partecipazione procedimentale degli interessati ed una adeguata terzietà rispetto all'articolazione a cui spettano compiti ispettivi;

     7) cura il contenzioso dell'Agenzia, con particolare riguardo a quello connesso ai procedimenti sanzionatori, assicurando il supporto all'Avvocatura dello Stato;

     c) il Servizio Certificazione e vigilanza sovrintende ai processi di certificazione, qualificazione e valutazione, nonchè cura l'attività ispettiva e di verifica attribuiti all'Agenzia dalla normativa vigente. A tal fine, in particolare:

     1) cura le attività svolte dall'Agenzia in materia di certificazione di sicurezza cibernetica;

     2) cura le attività dell'Agenzia quale CVCN, anche ai sensi del decreto-legge perimetro e del decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56;

     3) cura e svolge l'attività ispettiva e di verifica di competenza dell'Agenzia concernente gli adempimenti di cybersicurezza nei confronti dei soggetti pubblici e privati;

     4) cura le attività dell'Agenzia volte and assicurare l'attuazione del regolamento (UE) n. 2019/881 e, in particolare, garantisce che l'Agenzia assolva al ruolo di autorità nazionale di certificazione in materia di cybersicurezza, ai sensi dell'articolo 58 del regolamento (UE) n. 2019/881, e partecipi ai lavori del Gruppo europeo per la certificazione della cybersicurezza, ai sensi dell'articolo 62 del regolamento (UE) n. 2019/881;

     5) è responsabile della promozione e dello svolgimento delle attività volte alla qualificazione dei servizi cloud per la pubblica amministrazione;

     6) cura e promuove le attività volte allo sviluppo di algoritmi proprietari e alla valorizzazione della crittografia come strumento di cybersicurezza;

     d) il Servizio Operazioni contribuisce alla preparazione, prevenzione, gestione e risposta a eventi cibernetici. Nell'ambito del Servizio Operazioni è collocato il CSIRT Italia. Il Servizio Operazioni, a tal fine, in particolare:

     1) assicura il funzionamento del CSIRT Italia sulla base dei compiti che sono ad esso attribuiti per legge, tra i quali il monitoraggio e l'analisi dei rischi e delle minacce cyber a livello nazionale, l'emissione di preallarmi, allerte, annunci e la divulgazione di rilevanti informazioni agli operatori interessati, la ricezione di notifiche obbligatorie e volontarie di incidenti cyber, l'analisi degli incidenti e la definizione di modalità di intervento e risposta;

     2) cura lo sviluppo e il mantenimento di capacità nazionali di prevenzione, monitoraggio, rilevamento, analisi e risposta, per prevenire e gestire gli incidenti di sicurezza informatica e gli attacchi informatici, anche attraverso il CSIRT Italia;

     3) è responsabile per le attività inerenti alla preparazione, prevenzione, gestione e risposta a eventi cibernetici di natura critica, supportando le attività volte al più celere ripristino della situazione ante-evento da parte dei soggetti interessati;

     4) coordina e partecipa a esercitazioni nazionali e internazionali che riguardano aspetti tecnici e operativi di gestione di eventi o crisi con profili di cybersicurezza;

     5) supporta il Nucleo per la cybersicurezza nella programmazione e pianificazione operativa della risposta a situazioni di crisi cibernetica da parte delle amministrazioni e degli operatori privati interessati, nonchè nelle attività cui all'articolo 10, comma 4, del decreto-legge, curando gli opportuni raccordi con il Gabinetto;

     6) valuta e promuove, in raccordo con le amministrazioni competenti per specifici profili della cybersicurezza, procedure di condivisione delle informazioni, anche con gli operatori privati interessati, ai fini della diffusione di allarmi relativi ad eventi cibernetici e per la gestione delle crisi;

     e) il Servizio Programmi industriali, tecnologici, di ricerca e formazione svolge funzioni di indirizzo e gestione delle attività svolte dall'Agenzia per promuovere l'autonomia strategica e la sovranità tecnologica nazionale. A tal fine, in particolare:

     1) cura le attività dell'Agenzia volte alla promozione, allo sviluppo e al finanziamento di specifici progetti e iniziative nazionali e internazionali in materia di cybersicurezza, volti anche a favorire il trasferimento tecnologico dei risultati della ricerca; cura la partecipazione dell'Agenzia a progetti europei e internazionali, nonchè l'utilizzazione dei fondi europei;

     2) si occupa dello sviluppo di competenze e capacità industriali, tecnologiche e scientifiche, mediante il coinvolgimento del sistema dell'università e della ricerca, nonchè del sistema produttivo nazionale;

     3) è responsabile per la promozione e la costituzione di aree dedicate allo sviluppo di capacità e competenze nei settori avanzati della cybersicurezza, nonchè alla realizzazione di studi di fattibilità e di analisi valutative finalizzati a tale scopo;

     4) svolge i compiti necessari ad assicurare il funzionamento del Centro nazionale di coordinamento in materia di cybersicurezza nell'ambito industriale, tecnologico e della ricerca;

     5) cura le attività necessarie alla costituzione ed alla partecipazione a partenariati pubblico-privato sul territorio nazionale, nonchè - previa autorizzazione del Presidente del Consiglio dei ministri, resa anche in seno al Comitato di Vertice - a consorzi, fondazioni o società con soggetti pubblici e privati, italiani e stranieri;

     6) promuove iniziative di formazione, tra le quali quelle riservate ai giovani che aderiscono al servizio civile, nonchè di crescita tecnico-professionale e qualificazione delle risorse umane in materia di cybersicurezza, anche sulla base di convenzioni con soggetti pubblici e privati;

     f) il Servizio risorse umane e strumentali svolge funzioni di indirizzo e gestione dell'attività amministrativa dell'Agenzia. A tal fine, in particolare:

     1) assicura la corretta ed efficace gestione del personale dell'Agenzia, svolgendo funzioni di carattere ordinamentale e procedurale in materia di reclutamento, incarichi, mobilità, formazione, sviluppo professionale, valutazione del personale, gestione dello stato giuridico, trattamento economico e di fine rapporto, trattamento pensionistico;

     2) cura e coordina l'acquisizione, la gestione, la crescita e lo sviluppo professionale del personale dell'Agenzia, nonchè la promozione delle pari opportunità;

     3) provvede alle ispezioni, inchieste e controlli interni su richiesta del direttore generale o del Vice direttore generale;

     4) definisce il sistema di valutazione del personale, i piani di assunzione e formazione, al fine di garantirne lo sviluppo professionale e di assicurare la presenza delle competenze necessarie ai fabbisogni dell'Agenzia, nonchè di migliorare le prestazioni nell'ambito delle posizioni organizzative di appartenenza e sviluppare le potenzialità dei singoli dipendenti, secondo un processo di adeguamento delle competenze funzionale all'evoluzione dell'Agenzia;

     5) assicura l'applicazione del decreto legislativo 9 aprile 2008, n. 81, in materia di tutela della salute e della sicurezza nei luoghi di lavoro;

     6) sovrintende alle politiche di bilancio, agli obblighi contabili, agli adempimenti fiscali e alla gestione degli aspetti finanziari e di tesoreria, curandone i relativi processi e procedure, anche con l'eventuale supporto degli altri Servizi interessati;

     7) cura e coordina le politiche di approvvigionamento e i relativi processi sulla base delle esigenze manifestate dai Servizi interessati;

     8) gestisce le attività relative alla logistica e alla manutenzione degli immobili e delle dotazioni dell'Agenzia;

     9) cura i processi di pianificazione, sviluppo, ottimizzazione, elaborazione delle future esigenze e manutenzione delle infrastrutture, dei sistemi tecnologici e di telecomunicazione in dotazione all'Agenzia, assicurandone la gestione tecnica ed il funzionamento, anche in relazione al rispetto delle norme e dei requisiti in materia di sicurezza informatica e di tutela dei dati personali;

     10) cura il contenzioso in materia di personale e di attività negoziale, assicurando il supporto all'Avvocatura dello Stato;

     g) il Servizio Strategie e cooperazione definisce gli indirizzi strategici e gli strumenti di policy nazionali in materia di cybersicurezza, ne monitora l'attuazione, nonchè mantiene e sviluppa le relazioni e la cooperazione internazionale dell'Agenzia. A tal fine, in particolare:

     1) elabora le politiche nazionali in materia di cybersicurezza e, in particolare, predispone ed aggiorna la strategia nazionale di cybersicurezza, monitorandone la concreta attuazione;

     2) contribuisce all'organizzazione di esercitazioni nazionali e internazionali in materia di cybersicurezza, definendo gli scenari di riferimento;

     3) promuove, gestisce e supporta le relazioni internazionali dell'Agenzia, sia a livello bilaterale sia multilaterale, anche attraverso l'individuazione o la proposizione di rilevanti iniziative;

     4) coordina e svolge attività di cooperazione internazionale in materia di cybersicurezza in cui è coinvolta l'Agenzia, in particolare, curando i rapporti con i competenti organismi, istituzioni ed enti dell'Unione europea e di altre organizzazioni internazionali, seguendo nelle competenti sedi istituzionali internazionali le tematiche di cybersicurezza, nonchè assicurando, attraverso il raccordo con le altre amministrazioni nazionali, la definizione e il mantenimento di posizioni nazionali unitarie e coerenti in materia di cybersicurezza;

     5) promuove, nei confronti delle altre amministrazioni, delle organizzazioni private, incluse le piccole e le medie imprese, e della società civile nel pertinente insieme, la consapevolezza in materia di cybersicurezza, al fine di contribuire allo sviluppo di una cultura nazionale in materia.

 

     Art. 13. Codice etico

     1. Con provvedimento del Direttore generale è adottato il codice etico dell'Agenzia che individua i principi guida del comportamento dei dipendenti di ruolo e di tutti coloro che operino a qualsiasi titolo presso l'Agenzia ed è istituito un garante del codice etico ai fini del controllo della sua osservanza, individuato nell'ambito del personale di ruolo dell'Agenzia. Al garante medesimo non sono attribuiti compensi, gettoni di presenza, rimborsi spese indennità o emolumenti comunque denominati.

 

     Art. 14. Comitati e commissioni

     1. Al fine di assicurare l'efficace svolgimento di attività che possano richiedere temporaneamente l'apporto di conoscenze, competenze e professionalità diversificate, il Direttore generale può costituire, anche al di fuori delle strutture di cui all'articolo 4, comma 5, specifici comitati e commissioni, con la possibilità di prevedere anche la partecipazione di soggetti estranei alla pubblica amministrazione.

     2. Per la partecipazione ai comitati e alle commissioni di cui al comma 1 non sono previsti gettoni di presenza, compensi o rimborsi di spese.

 

     Art. 15. Sedi principale e secondarie

     1. Ai sensi dell'articolo 5, comma 1, del decreto-legge, l'Agenzia ha sede principale in Roma.

     2. Per motivate esigenze istituzionali e nel rispetto dei vincoli di bilancio e tenuto conto della dotazione organica dell'Agenzia, su proposta del Direttore generale, il Comitato di Vertice può stabilire la costituzione di una o più sedi secondarie in Italia.

     3. Lo svolgimento delle funzioni dell'Agenzia di natura internazionale possono essere assicurate anche mediante apposite unità distaccate presso enti e istituzioni dell'Unione europea ovvero, d'intesa con il Ministero degli affari esteri e della cooperazione internazionale, presso le Ambasciate e le Rappresentanze italiane operanti nel contesto dell'Unione europea e delle organizzazioni internazionali.

 

Titolo III

DISPOSIZIONI TRANSITORIE E FINALI

 

     Art. 16. Regolamenti e disciplinari

     1. Il Direttore generale adotta ogni provvedimento, tra cui regolamenti e disciplinari, necessario all'attuazione delle funzioni dell'Agenzia, anche in attuazione della normativa vigente.

 

     Art. 17. Attuazione

     1. In sede di prima applicazione, sino al raggiungimento della dotazione organica complessiva prevista dall'articolo 12, comma 4, del decreto-legge, l'organizzazione dell'Agenzia definita dal presente regolamento, con particolare riferimento alle modalità di attivazione delle articolazioni di cui agli articoli 4 e 12, viene progressivamente disposta, con provvedimento del direttore generale, secondo criteri di economicità, efficienza ed efficacia dell'azione amministrativa.

 

     Art. 18. Entrata in vigore

     1. Il presente regolamento entra in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.

 

Registrato alla Corte dei conti il 22 dicembre 2021  Ufficio di controllo sugli atti della Presidenza del Consiglio, del Ministero della giustizia e del Ministero degli affari esteri, registrazione n. 3022