§ 81.4.53 - D.P.C.M. 6 novembre 2015, n. 5.
Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate e a diffusione esclusiva.


Settore:Normativa nazionale
Materia:81. Pubblica sicurezza
Capitolo:81.4 servizi segreti e segreto di Stato
Data:06/11/2015
Numero:5


Sommario
Art. 1.  Definizioni
Art. 2.  Ambito di applicazione
Art. 3.  Obiettivi
Art. 4.  Autorità nazionale per la sicurezza
Art. 5.  Organizzazione nazionale per la sicurezza
Art. 6.  Organo nazionale di sicurezza
Art. 7.  Ufficio centrale per la segretezza
Art. 8.  Organi centrali di sicurezza
Art. 9.  Segreterie principali di sicurezza
Art. 10.  Organi periferici di sicurezza
Art. 11.  Segreterie di sicurezza e Punti di Controllo
Art. 12.  Organizzazione di sicurezza nell'ambito degli operatori economici
Art. 13.  Responsabilità della protezione e della tutela delle informazioni classificate e a diffusione esclusiva nell'ambito degli operatori economici
Art. 14.  Compiti del legale rappresentante o del Funzionario alla sicurezza dell'operatore economico
Art. 15.  Compiti del "Funzionario alla sicurezza designato" dell'operatore economico
Art. 16.  Incarichi relativi a sicurezza fisica e COMSEC e per la sicurezza dei CIS presso gli operatori economici
Art. 17.  Strutture di sicurezza presso gli operatori economici
Art. 18.  Attività ispettiva
Art. 19.  Classifiche di segretezza
Art. 20.  Classifiche di segretezza internazionali e dell'Unione europea
Art. 21.  Qualifiche di sicurezza
Art. 22.  Sicurezza delle lavorazioni classificate e deroghe al divieto di divulgazione
Art. 23.  Classifiche di segretezza e funzione del NOS
Art. 24.  Autorità competente al rilascio del NOS
Art. 25.  Procedimento per il rilascio del NOS
Art. 26.  Richiesta di rilascio
Art. 27.  Istruttoria
Art. 28.  Modalità di acquisizione delle informazioni
Art. 29.  Decisione
Art. 30.  Notifiche e custodia
Art. 31.  Termini di validità del NOS
Art. 32.  Abilitazione temporanea
Art. 33.  Rinnovo del NOS
Art. 34.  Istruzione sulla sicurezza
Art. 35.  Comunicazione di elementi rilevanti per il possesso del NOS
Art. 36.  Verifiche
Art. 37.  Criteri per il diniego, la revoca, la sospensione, la limitazione la riduzione di classifica o la dequalifica delle abilitazioni di sicurezza per le persone fisiche
Art. 38.  Norme per la trattazione delle informazioni classificate RISERVATO
Art. 39.  Trattazione delle informazioni classificate RISERVATO mediante sistemi informatici nel settore industriale
Art. 40.  Attività industriali di rilievo strategico (NOSIS)
Art. 41.  Informazioni a diffusione esclusiva
Art. 42.  Abilitazioni di sicurezza per gli operatori economici
Art. 43.  Abilitazione Preventiva
Art. 44.  Nulla Osta di Sicurezza Industriale
Art. 44 bis.  Subappalto classificato
Art. 45.  Istruttoria per il rilascio del NOSI
Art. 46.  Termini di validità del NOSI
Art. 47.  Criteri per il diniego e la revoca o la limitazione delle abilitazioni industriali
Art. 48.  Criteri per la sospensione delle abilitazioni industriali
Art. 49.  Appendice riservata
Art. 50.  Motivazione dei provvedimenti in tema di abilitazioni di sicurezza industriali
Art. 51.  Efficacia dei NOSC
Art. 52.  Conservazione della documentazione relativa alle abilitazioni di sicurezza
Art. 53.  Materiali e documentazione COMSEC - Generalità
Art. 54.  Funzionario COMSEC e Custode del materiale CIFRA
Art. 55.  Autorizzazione all'accesso CIFRA
Art. 56.  Protezione, conservazione e trasporto di materiali e documentazione COMSEC
Art. 57.  Omologazione dei centri COMSEC
Art. 58.  Omologazione dei Laboratori TEMPEST
Art. 59.  Omologazione di sistemi COMSEC e TEMPEST
Art. 60.  Generalità
Art. 61.  Funzionario o Ufficiale alla sicurezza CIS
Art. 62.  Analisi del rischio - Regolamento interno di sicurezza dei CIS
Art. 63.  Approvazione e omologazione dei CIS
Art. 64.  Trattazione delle informazioni classificate RISERVATO mediante sistemi informatici
Art. 65.  Valutazione di sicurezza informatica
Art. 66.  Requisiti di sicurezza dei CIS
Art. 67.  Sicurezza dell'interconnessione dei CIS
Art. 68.  Sicurezza cibernetica dei CIS
Art. 69.  Generalità
Art. 70.  Funzionario o Ufficiale alla sicurezza fisica
Art. 71.  Aree riservate
Art. 72.  Aree controllate
Art. 73.  Misure minime di protezione
Art. 74.  Contenitori di sicurezza camere blindate - attrezzatura di sicurezza
Art. 75.  Protezione contro la visione o l'ascolto non autorizzati di informazioni sensibili
Art. 76.  Annotazione
Art. 77.  Modalità di trattazione e di conservazione delle informazioni coperte da segreto di Stato
Art. 78.  Atti riguardanti il segreto di Stato
Art. 79.  Accesso agli atti relativi alle abilitazioni di sicurezza
Art. 80.  Obbligo di non divulgazione
Art. 81.  Misure di efficienza
Art. 82.  Disposizioni transitorie
Art. 83.  Abrogazioni
Art. 84.  Disposizioni finali ed entrata in vigore


§ 81.4.53 - D.P.C.M. 6 novembre 2015, n. 5. [1]

Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate e a diffusione esclusiva.

(G.U. 5 dicembre 2015, n. 284 - S.O. n. 65)

 

     IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI

 

     Vista la legge 3 agosto 2007, n. 124, recante «Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto», come integrata e modificata dalla legge 7 agosto 2012, n. 133;

     Visti il decreto legislativo 18 aprile 2016, n. 50, recante "Codice dei contratti pubblici" e la legge 20 maggio 2016, n. 76, recante "Regolamento delle unioni civili tra persone dello stesso sesso e disciplina delle convivenze";

     Visti il Trattato del Nord Atlantico (NATO) ratificato con legge 1° agosto 1949, n. 465, e i seguenti atti: Accordo tra gli Stati membri per la tutela della sicurezza delle informazioni, approvato dal Consiglio del Nord Atlantico in data 21 giugno 1996; Documento C-M(2002)49 «La sicurezza in seno all'Organizzazione del Trattato del Nord Atlantico», approvato dal Consiglio del Nord Atlantico in data 26 marzo 2002;

     Visto il decreto del Presidente del Consiglio dei ministri 11 aprile 2002, recante «Schema nazionale per la valutazione e la certificazione della sicurezza delle tecnologie dell'informazione, ai fini della tutela delle informazioni classificate, concernenti la sicurezza interna ed esterna dello Stato», pubblicato nella Gazzetta Ufficiale n. 131 del 6 giugno 2002;

     Vista la decisione del Consiglio dell'Unione europea, n. 2013/488/UE del 23 settembre 2013 sulle norme di sicurezza per proteggere le informazioni classificate UE;

     Vista la decisione della Commissione europea 2015/444/UE, Euratom del 13 marzo 2015 sulle norme di sicurezza per proteggere le informazioni classificate UE;

     Visto il regolamento n. 1049/2001 del Parlamento europeo e del Consiglio del 30 maggio 2001, relativo all'accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione;

     Visto l'accordo interistituzionale del 20 novembre 2002 tra il Parlamento europeo e il Consiglio relativo all'accesso da parte del Parlamento europeo alle informazioni sensibili del Consiglio nel settore della politica di sicurezza e di difesa;

     Visto il decreto del Presidente del Consiglio dei ministri 8 aprile 2008, recante «Criteri per l'individuazione delle notizie, delle informazioni, dei documenti, degli atti, delle attività, delle cose e dei luoghi suscettibili di essere oggetto di segreto di Stato», pubblicato nella Gazzetta Ufficiale n. 90 del 16 aprile 2008;

     Visto il decreto del Presidente del Consiglio dei ministri 12 giugno 2009, n. 7, recante «Determinazione dell'ambito dei singoli livelli di segretezza, dei soggetti con potere di classifica, dei criteri d'individuazione delle materie oggetto di classifica nonchè dei modi di accesso nei luoghi militari o definiti di interesse per la sicurezza della Repubblica», pubblicato nella Gazzetta Ufficiale n. 154 del 6 luglio 2009;

     Visto il decreto del Presidente del Consiglio dei ministri 22 luglio 2011, recante «Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate», pubblicato nella Gazzetta Ufficiale n. 203 del 1° settembre 2011;

     Visto il decreto del Presidente del Consiglio dei ministri 20 luglio 2012, n. 1, e ss.mm.ii., recante «Regolamento disciplinante l'organizzazione ed il funzionamento degli archivi del DIS, AISE e AISI», pubblicato, per comunicato, nella Gazzetta Ufficiale n. 178 del 1° agosto 2012;

     Visto il decreto del Presidente del Consiglio dei ministri 26 ottobre 2012, n. 2, recante, nella parte II, «Accertamento preventivo per il rilascio del Nulla Osta di Sicurezza», pubblicato, per comunicato, nella Gazzetta Ufficiale n. 273 del 22 novembre 2012;

     Visto l'accordo interistituzionale del 12 marzo 2014 tra il Parlamento europeo e il Consiglio relativo alla trasmissione al Parlamento europeo e al trattamento da parte di quest'ultimo delle informazioni classificate detenute dal Consiglio su materie che non rientrano nel settore della politica estera e di sicurezza comune;

     Visto l'art. 3, della legge 3 agosto 2007, n. 124, che consente al Presidente del Consiglio dei ministri di delegare le funzioni che non sono ad esso attribuite in via esclusiva ad un Ministro senza portafoglio o a un Sottosegretario di Stato, denominati «Autorità delegata»;

     Visto l'art. 43, della legge 3 agosto 2007, n. 124, che consente l'adozione di regolamenti in deroga alle disposizioni dell'art. 17 della legge 23 agosto 1988, n. 400, e ss.mm.ii. e, dunque, in assenza del parere del Consiglio di Stato;

     Visto l'art. 4, comma 3, lettera l), della legge 3 agosto 2007, n. 124, così come modificato con decreto-legge 1° luglio 2009, n. 78, convertito con legge 3 agosto 2009, n. 102, il quale prevede che il Dipartimento delle informazioni per la sicurezza assicura l'attuazione delle disposizioni impartite dal Presidente del Consiglio dei ministri con apposito regolamento adottato ai sensi dell'art. 1, comma 2 della medesima legge 3 agosto 2007, n. 124, ai fini della tutela amministrativa del segreto di Stato e delle classifiche di segretezza, vigilando altresì sulla loro corretta applicazione;

     Visti il decreto del Ministro dell'Interno 9 gennaio 2008, recante "Individuazione delle infrastrutture critiche informatiche di interesse nazionale", il decreto legislativo 11 aprile 2011, n. 61, recante "Attuazione della Direttiva 2008/114/CE recante l'individuazione e la designazione delle infrastrutture critiche europee e la valutazione della necessità di migliorarne la protezione" ed il decreto del Presidente del Consiglio dei ministri del 17 febbraio 2017, "Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali";

     Ravvisata l'esigenza di armonizzare ed integrare le vigenti disposizioni che disciplinano la protezione e la tutela amministrativa delle informazioni coperte da segreto di Stato e quelle classificate con le disposizioni normative in materia di contratti pubblici, antimafia, prevenzione alla corruzione e di tutela delle attività strategiche di rilevanza nazionale intervenute successivamente all'entrata in vigore del decreto del Presidente del Consiglio dei ministri 22 luglio 2011, n. 4;

     Acquisito il parere del Comitato parlamentare per la sicurezza della Repubblica;

     Sentito il Comitato interministeriale per la sicurezza della Repubblica;

 

     Adotta

     il seguente regolamento:

 

Capo I

PRINCIPI DI SICUREZZA DELLE INFORMAZIONI

 

Art. 1. Definizioni

     1. Ai fini del presente regolamento si intende per:

     a) "legge", la legge 3 agosto 2007, n. 124, e successive modificazioni ed integrazioni;

     b) "Sicurezza delle informazioni", la salvaguardia e la continua e completa protezione delle informazioni classificate, a diffusione esclusiva o coperte da segreto di Stato, attraverso l'adozione di norme e procedure, organizzative ed esecutive, nei settori delle abilitazioni di sicurezza, della sicurezza fisica, della tecnologia delle informazioni e delle comunicazioni;

     c) "Autorità nazionale per la sicurezza" (ANS), il Presidente del Consiglio dei Ministri nell'esercizio delle funzioni di tutela amministrativa del segreto di Stato e delle informazioni classificate o a diffusione esclusiva;

     d) "Autorità delegata", il Ministro senza portafoglio o il Sottosegretario di Stato delegato dal Presidente del Consiglio dei Ministri ai sensi dell'art. 3 della legge;

     e) "Organizzazione nazionale di sicurezza", il complesso di Organi, Uffici, unità amministrative, organizzative, produttive o di servizio della Pubblica amministrazione e di ogni altra persona giuridica, ente, associazione od operatore economico legittimati alla trattazione di informazioni classificate, a diffusione esclusiva o coperte da segreto di Stato, le cui finalità consistono nell'assicurare modalità di gestione e trattazione uniformi e sicure, nonchè protezione ininterrotta alle informazioni classificate, a diffusione esclusiva o coperte da segreto di Stato;

     f) "Segreto di Stato", il segreto come definito dall'art. 39, comma 1, della legge;

     g) "Informazione coperta da segreto di Stato", l'informazione, la notizia, il documento, l'atto, l'attività, la cosa o il luogo sui quali il vincolo del segreto di Stato sia stato apposto o opposto e confermato e, ove possibile, annotato;

     h) "Classifica di segretezza", il livello di segretezza attribuito ad un'informazione ai sensi dell'art. 42 della legge e dell'art. 4 del decreto del Presidente del Consiglio dei ministri n. 7 del 12 giugno 2009;

     i) "Necessità di conoscere", il principio in base al quale l'accesso alle informazioni classificate, a diffusione esclusiva o coperte da segreto di Stato è consentito esclusivamente alle persone che ne hanno necessità per lo svolgimento del proprio incarico;

     l) "Necessità di condividere", il principio in base al quale l'informazione classificata o a diffusione esclusiva può esser diffusa nel limitato e controllato circuito di coloro che ne hanno necessità per lo svolgimento del proprio incarico;

     m) "Originatore", il soggetto pubblico o privato che ha apposto la classifica di segretezza all'informazione ai sensi dell'art. 42, comma 2, della legge e dell'art. 4, comma 7, del decreto del Presidente del Consiglio dei ministri n. 7 del 12 giugno 2009;

     n) "Qualifica di sicurezza" o "qualifica", la sigla o altro termine convenzionale (es. NATO, UE, altre) che, attribuita ad un'informazione, classificata e non, indica l'organizzazione internazionale o dell'Unione europea o il programma intergovernativo di appartenenza della stessa e il relativo ambito di circolazione;

     o) "Informazione classificata", ogni informazione, atto, attività, documento, materiale o cosa, cui sia stata attribuita una delle classifiche di segretezza previste dall'art. 42, comma 3, della legge;

     p) "Documento classificato", l'informazione classificata rappresentata in forma grafica, fotocinematografica, elettromagnetica, informatica o in ogni altra forma;

     q) "Materiale classificato", qualsiasi oggetto, cosa o componente di macchinario, prototipo, equipaggiamento, arma, sistema elementare o dispositivo o parte di esso, compreso il software operativo, prodotto a mano o meccanicamente, automaticamente o elettronicamente, finito o in corso di lavorazione, compresi i materiali per la sicurezza delle comunicazioni (COMSEC), i Communication and Information System (CIS), nonchè i prodotti della Tecnologia dell'Informazione (Information and Communication Technology - ICT) coperti da una classifica di segretezza;

     r) "Declassifica", la riduzione ad un livello inferiore o l'eliminazione della classifica di segretezza già attribuita ad un'informazione;

     s) "Informazioni non classificate controllate", le informazioni non classificate che, in ragione della loro sensibilità, richiedono misure di protezione minime, individuate nelle disposizioni applicative del presente decreto;

     t) "Trattazione delle informazioni classificate, a diffusione esclusiva o coperte da segreto di Stato", la gestione, l'accesso, la conoscenza, la consultazione, l'elaborazione, la selezione, l'estrazione, il raffronto, l'utilizzo, la comunicazione delle informazioni classificate o coperte da segreto di Stato o a diffusione esclusiva;

     u) "Gestione dei documenti classificati, a diffusione esclusiva o coperti da segreto di Stato", la protezione fisica, logica e tecnica, l'originazione, la spedizione, la contabilizzazione, la diramazione, la ricezione, la registrazione, la riproduzione, la conservazione, la custodia, l'archiviazione, il trasporto e la distruzione legittima dei documenti classificati, nonchè la preparazione dei relativi plichi;

     v) "Informazioni a diffusione esclusiva", informazioni la cui diffusione è limitata al solo ambito nazionale italiano, unitamente o meno ad uno o più ambiti nazionali stranieri, per motivi di protezione di interessi strategici nazionali e delle relazioni con Paesi stranieri negli ambiti di cui all'art. 40, attraverso la limitazione della conoscibilità di informazioni a persone in possesso della sola cittadinanza italiana, unitamente o meno a persone che posseggono la sola cittadinanza di uno o più Paesi stranieri, mediante l'indicazione "ESCLUSIVO ITALIA" ovvero "ESCLUSIVO ITALIA e (denominazione del o dei Paesi stranieri)";

     z) "Nulla osta di sicurezza" per le persone fisiche - in seguito NOS - il provvedimento che legittima alla trattazione di informazioni classificate SEGRETISSIMO, SEGRETO o RISERVATISSIMO coloro che hanno la necessità di conoscerle;

     aa) "Violazione della sicurezza", azioni od omissioni contrarie ad una disposizione in materia di protezione e tutela delle informazioni classificate o coperte da segreto di Stato, che potrebbero mettere a repentaglio o compromettere le informazioni stesse;

     bb) "Compromissione di informazioni classificate", la conseguenza negativa di violazione della sicurezza che deriva dalla conoscenza di informazioni classificate o coperte da segreto di Stato da parte di persona non autorizzata ovvero non adeguatamente abilitata ai fini della sicurezza o che non abbia la necessità di conoscerle;

     cc) "Operatore economico", l'imprenditore, il fornitore e il prestatore di servizi o il raggruppamento o il consorzio di essi, come definiti all'art. 3, comma 1, lettera p), del decreto legislativo 18 aprile 2016, n. 50;

     dd) "Nulla Osta di Sicurezza Industriale Strategico" (NOSIS), il provvedimento che abilita l'operatore economico, la cui attività assume rilevanza strategica per gli interessi nazionali, alla trattazione di informazioni classificate e alla partecipazione a gare d'appalto e procedure finalizzate all'affidamento di contratti classificati e qualificati NATO e UE e alla relativa esecuzione;

     ee) "Abilitazione Preventiva" (AP), il provvedimento che consente all'operatore economico la partecipazione a gare d'appalto o a procedure classificate finalizzate all'affidamento di contratti classificati RISERVATISSIMO e SEGRETO ovvero qualificati;

     ff) "Nulla Osta di Sicurezza Industriale" (NOSI), il provvedimento che abilita l'operatore economico alla trattazione e gestione di informazioni classificate e consente di partecipare a gare d'appalto o a procedure classificate finalizzate all'affidamento di contratti con classifica superiore a SEGRETO, anche qualificati, nonchè, in caso di aggiudicazione, di eseguire lavori, fornire beni e servizi, realizzare opere, studi e progettazioni ai quali sia stata attribuita una classifica di segretezza RISERVATISSIMO o superiore ovvero qualificati;

     gg) "Sicurezza fisica", il complesso delle misure di sicurezza destinate alla protezione fisica delle strutture, delle aree, degli edifici, degli uffici, dei sistemi di comunicazione e di informazione e di qualunque altro luogo dove sono trattate o custodite informazioni classificate o coperte da segreto di Stato;

     hh) "INFOSEC" (sicurezza delle informazioni), le misure di sicurezza atte a tutelare le informazioni classificate o coperte da segreto di Stato, elaborate e memorizzate con sistemi informatici e trasmesse con sistemi di comunicazione ed altri sistemi elettronici;

     ii) "COMSEC" (sicurezza delle comunicazioni), le misure di sicurezza crittografica, delle trasmissioni, fisica e del personale, finalizzate a garantire la protezione delle informazioni classificate o coperte da segreto di Stato, trattate attraverso sistemi di comunicazione, nonchè ad impedirne la conoscenza da parte di soggetti non autorizzati. I materiali COMSEC comprendono i materiali crittografici in senso stretto (CIFRA) ed i materiali a controllo COMSEC (CCI - COMSEC Controlled Item), come disciplinato dall'art. 53;

     ll) "Communication and Information System" (o "CIS") è il complesso di apparati, aree ad accesso riservato, personale abilitato, hardware, software e procedure operative, finalizzato all'elaborazione, memorizzazione e trasmissione di informazioni classificate o coperte da segreto di Stato, attraverso sistemi informatici;

     mm) "Sicurezza CIS" (Communication and Information System), le misure di sicurezza volte ad assicurare la protezione dei CIS;

     nn) "TEMPEST", le tecnologie atte ad eliminare, o ridurre entro valori non pericolosi ai fini della sicurezza, le emissioni prodotte dalle apparecchiature elettroniche che elaborano e trattano informazioni classificate o coperte da segreto di Stato;

     oo) "Sicurezza cibernetica", l'insieme delle misure di sicurezza da attuare per limitare le vulnerabilità e contrastare gli attacchi informatici che, anche attraverso le connessioni di rete, possono causare danni alle infrastrutture o sistemi informatici che trattano informazioni classificate, a diffusione esclusiva o coperte da segreto di Stato;

     pp) "omologazione dei laboratori TEMPEST, dei CIS, dei centri e dei sistemi COMSEC", processo strutturato di verifica della conformità del sistema ad un insieme di requisiti tecnici di sicurezza predeterminati;

     qq) "autorizzazione CIS" l'abilitazione temporanea dei CIS all'esercizio, subordinata a condizioni e limiti di utilizzo;

     rr) "criteri di valutazione", i criteri applicati per la valutazione di soluzioni tecnologiche sotto il profilo della sicurezza definiti da standard riconosciuti a livello internazionale NATO e UE che, consentono il mutuo riconoscimento di un prodotto o di un sistema ICT;

     ss) "Schema nazionale di certificazione", l'insieme delle regole e delle procedure nazionali per la valutazione e certificazione di prodotti e sistemi ICT;

     tt) "Ente di certificazione", l'organismo pubblico responsabile della certificazione dei prodotti e dei sistemi informatici, dell'accreditamento dei centri di valutazione nonchè della definizione, dell'applicazione e dell'aggiornamento dello schema nazionale;

     uu) "Centro di valutazione (CE.VA.)", un organismo accreditato dall'UCSe, per le valutazioni di sicurezza di un prodotto o di un sistema ICT.

 

     Art. 2. Ambito di applicazione

     1. Il presente decreto si applica alle informazioni coperte da segreto di Stato o da classifica di segretezza nazionale, ovvero da classifica attribuita nel quadro del Trattato del Nord Atlantico, dell'Unione europea o di qualunque altro accordo o organizzazione internazionale di cui l'Italia è parte, o a diffusione esclusiva, che soggetti pubblici e privati abbiano necessità di trattare per motivi istituzionali, d'impresa o contrattuali.

     2. Fermo restando quanto previsto dalla legge in materia di esercizio della funzione giurisdizionale e di diritto di difesa, le disposizioni di cui al presente regolamento, fatta eccezione per quelle in materia di NOS nei confronti degli appartenenti ad ogni magistratura nell'esercizio delle funzioni giurisdizionali, si applicano agli uffici di cui all'art. 3 del regio decreto 30 gennaio 1941, n. 12, e successive modificazioni e integrazioni, nonchè agli analoghi uffici presso altri organi giurisdizionali, anche ai fini di quanto previsto dall'art. 42, comma 8, della legge.

 

     Art. 3. Obiettivi

     1. Le disposizioni in materia di sicurezza delle informazioni perseguono i seguenti obiettivi:

     a) tutelare le informazioni classificate, o coperte da segreto di Stato o a diffusione esclusiva, dalla sottrazione, manomissione, distruzione, manipolazione, spionaggio o rivelazione non autorizzata;

     b) salvaguardare le informazioni classificate, o coperte da segreto di Stato, o a diffusione esclusiva, trattate con reti e sistemi informatici e con prodotti delle tecnologie dell'informazione da minacce che possano pregiudicare confidenzialità, integrità, disponibilità, autenticità e non ripudio o non disconoscimento dell'informazione;

     c) preservare le installazioni, gli edifici e i locali all'interno dei quali vengono trattate informazioni classificate, o coperte da segreto di Stato, o a diffusione esclusiva, da atti di sabotaggio e da qualsiasi altra azione finalizzata ad arrecare danni alle stesse.

     2. L'accesso alle informazioni classificate è consentito soltanto alle persone che, fermo restando il possesso del NOS quando richiesto, hanno necessità di conoscerle in funzione del proprio incarico. La conoscenza delle informazioni coperte da segreto di Stato è regolata ai sensi dell'art. 39, comma 2, della legge.

     3. L'accesso alle informazioni contrassegnate come ESCLUSIVO ITALIA è consentito soltanto alle persone che hanno necessità di conoscerle in funzione del proprio incarico ed in possesso della sola cittadinanza italiana. L'accesso alle informazioni contrassegnate come ESCLUSIVO ITALIA e (denominazione di uno o più Paesi), fermo restando il principio della necessità di conoscere, è consentito soltanto alle persone in possesso della sola cittadinanza italiana e della sola cittadinanza dei Paesi individuati.

 

Capo II

AUTORITÀ NAZIONALE PER LA SICUREZZA. ORGANIZZAZIONE NAZIONALE PER LA SICUREZZA

 

     Art. 4. Autorità nazionale per la sicurezza

     1. L'Autorità nazionale per la sicurezza:

     a) ha l'alta direzione delle attività concernenti la protezione e la tutela delle informazioni classificate a diffusione esclusiva o coperte da segreto di Stato trattate da qualunque soggetto, pubblico o privato, sottoposto alla sovranità nazionale, anche in attuazione di accordi internazionali e della normativa dell'Unione europea;

     b) adotta ogni disposizione ritenuta necessaria ai fini di cui alla lettera a), assicurando altresì l'armonizzazione delle disposizioni di tutela delle informazioni classificate a carattere settoriale con le disposizioni previste dal presente regolamento e dai provvedimenti attuativi o collegati;

     c) provvede ai sensi di legge, in caso di mancata conferma del segreto di Stato all'autorità giudiziaria, a declassificare gli atti, i documenti, le cose o i luoghi oggetto di classifica di segretezza, prima che siano messi a disposizione dell'autorità giudiziaria competente;

     d) adotta le deliberazioni di competenza conseguenti alle comunicazioni dell'autorità giudiziaria riguardanti l'opposizione in giudizio del segreto di Stato;

     e) dispone la proroga, nei casi previsti dalla legge, dell'efficacia delle classifiche di segretezza oltre il termine di quindici anni;

     f) determina gli indirizzi per la negoziazione e per l'attuazione degli accordi con gli altri Stati e con gli Organismi internazionali finalizzati alla tutela delle informazioni classificate coperte da segreto di Stato o a diffusione esclusiva. Ai medesimi fini, ferme restando le vigenti disposizioni in tema di diritto dei trattati, può autorizzare l'Organo nazionale di sicurezza di cui all'art. 6 alla stipula dei relativi atti negoziali;

     g) promuove l'adozione, nel quadro delle normative in materia di sicurezza delle informazioni vigenti in ambito parlamentare e presso altri organi costituzionali e di rilievo costituzionale, di misure finalizzate a garantire livelli di protezione delle informazioni classificate e a diffusione esclusiva analoghi a quelli previsti dal presente regolamento e da organizzazioni internazionali di cui l'Italia è parte.

     2. Per l'esercizio delle sue funzioni, l'Autorità nazionale per la sicurezza si avvale dell'Organizzazione nazionale per la sicurezza.

 

     Art. 5. Organizzazione nazionale per la sicurezza

     1. L'Organizzazione nazionale per la sicurezza si articola in:

     a) Organo nazionale di sicurezza;

     b) Ufficio centrale per la segretezza;

     c) Organi centrali di sicurezza;

     d) Organi periferici di sicurezza;

     e) Organizzazioni di sicurezza presso gli operatori economici.

     2. Presso gli Organi centrali di sicurezza sono costituite Segreterie principali di sicurezza per l'assolvimento dei compiti di cui all'art. 9.

     3. Possono essere, altresì, costituiti Segreterie di sicurezza e Punti di controllo, alle dipendenze funzionali di Organi centrali di sicurezza o di Organi periferici di sicurezza, secondo quanto previsto dall'art. 11.

     4. L'esercizio di funzioni dell'Organo nazionale di sicurezza e dell'Ufficio Centrale per la Segretezza può essere delegato agli Organi centrali di sicurezza ed agli Organi periferici di sicurezza.

 

     Art. 6. Organo nazionale di sicurezza

     1. Il Direttore generale del Dipartimento delle informazioni per la sicurezza di cui all'art. 4 della legge, quale Organo nazionale di sicurezza esercita le funzioni di direzione e coordinamento dell'Organizzazione nazionale per la sicurezza e, secondo le direttive impartite dall'Autorità nazionale per la sicurezza:

     a) assicura, nell'ambito dell'organizzazione della sicurezza, l'attuazione delle disposizioni regolamentari e di ogni altra disposizione emanata dall'Autorità nazionale per la sicurezza in materia di tutela amministrativa del segreto di Stato, delle classifiche di segretezza e della diffusione esclusiva, vigilando altresì sulla loro corretta applicazione;

     b) emana le direttive e le disposizioni attuative in materia di tutela delle informazioni classificate o coperte da segreto di Stato o a diffusione esclusiva; in particolare, emana le disposizioni sui requisiti per l'istituzione delle articolazioni e delle altre strutture dell'Organizzazione nazionale di sicurezza, la gestione e trattazione dei documenti classificati o coperti da segreto di Stato o di diffusione esclusiva, la sicurezza delle reti e dei sistemi informatici per la trattazione delle informazioni classificate o coperte da segreto di Stato o di diffusione esclusiva, nonchè le procedure per il servizio cifra;

     c) adotta i provvedimenti concernenti l'Organizzazione nazionale per la sicurezza. A tal fine autorizza, secondo i principi determinati a norma della lettera b) e anche mediante delega, l'istituzione, il cambio di denominazione e l'estinzione:

     1) delle Segreterie speciali COSMIC-ATOMAL-UE/SS e COSMIC-UE/SS, dei Punti di Controllo COSMIC-ATOMAL-UE/SS e COSMIC-UE/SS;

     2) delle Segreterie principali di sicurezza;

     3) degli organi periferici di sicurezza;

     d) è l'autorità responsabile in ambito nazionale della sicurezza delle informazioni classificate della NATO e dell'Unione Europea, secondo le disposizioni di tali organizzazioni;

     e) negozia e stipula, previa autorizzazione dell'Autorità nazionale per la sicurezza e sulla base degli indirizzi dalla stessa emanati, accordi generali di sicurezza per la protezione e tutela delle informazioni classificate e a diffusione esclusiva con altri Paesi, con organizzazioni internazionali, con l'Unione europea e con altri organismi istituiti ai sensi del diritto dell'Unione medesima ovvero con soggetti dotati di personalità giuridica internazionale;

     f) assicura i rapporti con le autorità di sicurezza degli altri Paesi o di altri Organismi internazionali per la protezione e tutela amministrativa delle informazioni classificate e a diffusione esclusiva;

     g) sovrintende e vigila sul corretto funzionamento dell'Organizzazione nazionale per la sicurezza.

 

     Art. 7. Ufficio centrale per la segretezza

     1. Secondo le direttive impartite dall'Organo nazionale di sicurezza, l'Ufficio centrale per la segretezza (UCSe) svolge funzioni di direzione e di coordinamento, di consulenza e di controllo sull'applicazione della normativa in materia di protezione e tutela delle informazioni classificate, a diffusione esclusiva e del segreto di Stato. A tal fine l'UCSe:

     a) cura gli adempimenti istruttori relativi all'esercizio delle funzioni dell'Autorità nazionale per la sicurezza a tutela del segreto di Stato;

     b) predispone le disposizioni esplicative volte a garantire la sicurezza delle informazioni classificate, a diffusione esclusiva o coperte da segreto di Stato, con riferimento sia ad atti, documenti e materiali, sia alla produzione industriale;

     c) autorizza, in deroga alle disposizioni di cui all'art. 9, comma 1, ed all'art. 11, commi 6 e 7, l'istituzione di Segreterie principali di sicurezza, Segreterie di sicurezza e Punti di controllo, secondo quanto previsto dagli art. 9, comma 4, e 11, comma 8;

     d) cura l'attività preparatoria e la predisposizione per la stipula di schemi di accordi generali di sicurezza per la protezione e tutela delle informazioni classificate e a diffusione esclusiva con altri Paesi, con organizzazioni internazionali, con l'Unione europea e con altri organismi istituiti ai sensi del diritto dell'Unione medesima ovvero con soggetti dotati di personalità giuridica internazionale;

     e) esprime il parere sui progetti di accordi di cooperazione e sui memorandum d'intesa delle Pubbliche Amministrazioni che contengono clausole concernenti la protezione e tutela delle informazioni classificate e a diffusione esclusiva;

     f) definisce le misure di sicurezza cibernetica che devono essere adottate a protezione dei sistemi e delle infrastrutture informatiche che trattano informazioni classificate, a diffusione esclusiva o coperte da segreto di Stato; fornisce consulenza ai fini della realizzazione di reti di comunicazione telematica protette ai fini dell'attuazione del Decreto del Presidente del Consiglio dei Ministri 17 febbraio 2017, "Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali"; promuove la realizzazione di reti di comunicazione telematica protetta con le organizzazioni di sicurezza pubbliche e private;

     g) assicura l'attuazione degli adempimenti previsti dalle disposizioni in materia di trattazione e gestione dei documenti informatici classificati firmati digitalmente ed assume in tale settore la funzione di autorità di certificazione;

     h) rilascia e revoca le abilitazioni di sicurezza e, anche mediante delega, i NOS;

     i) rilascia, ai sensi dell'accordo interistituzionale del 20 novembre 2002 tra il Parlamento europeo e il Consiglio, le abilitazioni di sicurezza ai parlamentari europei di nazionalità italiana;

     l) rilascia e revoca, anche mediante delega ad organi centrali di sicurezza di pubbliche amministrazioni le omologazioni dei centri COMSEC di cui all'art. 57 e le autorizzazioni personali per l'accesso CIFRA di cui all'art. 55;

     m) rilascia e revoca anche mediante delega ad organi centrali di sicurezza di pubbliche amministrazioni le autorizzazioni e omologazioni dei CIS di cui all'art. 63;

     n) rilascia e revoca, anche avvalendosi di idonee strutture pubbliche o private abilitate, le omologazioni per l'impiego dei dispositivi COMSEC e le certificazioni TEMPEST di cui all'art. 59;

     o) conserva ed aggiorna l'elenco completo di tutti i soggetti muniti di NOS;

     p) aggiorna e dirama l'elenco delle Segreterie principali di sicurezza;

     q) sottopone al Presidente del Consiglio dei Ministri le richieste di autorizzazione alla segretazione presentate ai sensi dell'art. 9, comma 10, della legge;

     r) provvede agli adempimenti istruttori per l'apposizione e la conferma dell'opposizione del segreto di Stato, sottoponendo alle determinazioni del Presidente del Consiglio dei ministri, per il tramite dell'Autorità delegata, la documentazione di interesse;

     s) effettua, direttamente o delegandone l'esecuzione ad articolazioni dell'Organizzazione nazionale per la sicurezza, gli accertamenti e le ispezioni di sicurezza ordinarie o straordinarie nei confronti dei soggetti pubblici e privati legittimati alla trattazione delle informazioni classificate, a diffusione esclusiva o coperte da segreto di Stato, al fine di vigilare sulla corretta applicazione delle norme, delle direttive e delle altre disposizioni adottate in materia;

     t) predispone ed aggiorna, anche in relazione all'osservanza di accordi internazionali e della normativa dell'Unione europea, le procedure per le ispezioni di sicurezza nei confronti di soggetti pubblici e privati che trattano informazioni classificate, a diffusione esclusiva o coperte da segreto di Stato;

     u) provvede anche mediante delega all'istruttoria ed al rilascio delle autorizzazioni alle visite presso soggetti pubblici, enti e operatori economici nazionali che trattano informazioni classificate o a diffusione esclusiva;

     v) richiede, anche mediante delega, alle Autorità straniere l'autorizzazione per le visite a operatori economici, enti e uffici esteri, che trattano e gestiscono informazioni, atti e documenti classificati o a diffusione esclusiva;

     z) esprime parere vincolante in ordine alla cessione di informazioni classificate a Paesi esteri ed organismi internazionali anche nei casi di controllo sulle esportazioni di materiali di armamento previsti dalla legge 9 luglio 1990, n. 185; autorizza il trasporto internazionale e, secondo le disposizioni applicative del presente decreto, il trasporto nazionale dei materiali classificati;

     aa) rilascia le autorizzazioni per la movimentazione, in ambito nazionale ed internazionale, di documentazione e materiale COMSEC, approvato o autorizzato dall'UCSe, per la protezione di informazioni classificate o coperte da segreto di Stato;

     bb) partecipa presso organizzazioni internazionali e istituzioni ed organismi dell'Unione europea, a comitati, gruppi di lavoro e riunioni per l'elaborazione di normative e di progetti di accordi di sicurezza e di altri atti aventi ad oggetto la protezione e la tutela delle informazioni classificate di mutuo interesse;

     cc) fornisce supporto all'Organo nazionale di sicurezza quale autorità responsabile in ambito nazionale della sicurezza delle informazioni classificate della NATO e dell'Unione europea, secondo le disposizioni di tali organizzazioni;

     dd) valuta le violazioni della sicurezza e le compromissioni di informazioni classificate, delle quali viene a conoscenza in sede di attività ispettiva o a seguito di segnalazione da parte delle strutture di sicurezza competenti, ai fini dell'adozione dei conseguenti provvedimenti;

     dd)1 dispone, d'intesa con gli Organi centrali di sicurezza, l'esecuzione di verifiche tecniche ambientali di cui al successivo art. 75;

     ee) tiene ed aggiorna gli elenchi dei materiali e dei dispositivi COMSEC e TEMPEST di cui all'art. 59;

     ff) definisce i criteri di sicurezza per le attrezzature e dispositivi per la sicurezza fisica ai fini dell'impiego per la protezione delle informazioni classificate o coperte da segreto di Stato;

     gg) tiene ed aggiorna gli elenchi dei laboratori TEMPEST omologati e dei Centri di Valutazione abilitati di cui al decreto del Presidente del Consiglio dei ministri 11 aprile 2002;

     hh) nell'ambito dei programmi di cooperazione internazionale svolge le funzioni di autorità nazionale competente in materia di tutela amministrativa delle informazioni classificate o a diffusione esclusiva e, in tale ambito, può delegare l'esercizio di attività ad altre pubbliche amministrazioni.

     2. Presso l'UCSe sono istituiti:

     a) l'"Ufficio Inventario", che cura la registrazione dei provvedimenti di apposizione, conferma e proroga del segreto di Stato e dei documenti coperti da segreto di Stato, aggiornandone periodicamente la situazione;

     b) l'"Archivio degli atti riguardanti il segreto di Stato" ove sono custoditi gli atti concernenti le istruttorie per l'apposizione o la conferma dell'opposizione, la revoca e la proroga del segreto di Stato, le istanze di accesso formulate ai sensi dell'art. 39, comma 7 della legge, nonchè i registri inventari di cui alla lettera a);

     c) l'"Elenco nazionale dei soggetti muniti di NOS" conservato e consultato in via esclusiva dall'UCSe ed aggiornato dallo stesso UCSe anche sulla base degli elementi forniti dalle altre autorità di cui all'art. 24.

     3. Operano altresì nell'ambito dell'UCSe:

     a) il "Registro centrale", che cura la distribuzione alle Segreterie principali di sicurezza dei documenti COSMIC-SEGRETISSIMO e ATOMAL pervenuti dalla NATO e dai Paesi membri; aggiorna la situazione nazionale dei documenti COSMIC-SEGRETISSIMO e ATOMAL distribuiti alle Segreterie principali di sicurezza, nonchè di quelli pervenuti alle Segreterie principali di sicurezza e alle Segreterie di sicurezza e ai Punti di controllo direttamente dalla NATO e dai suoi Paesi membri; aggiorna la situazione relativa ai documenti SEGRETISSIMO nazionali in possesso delle Segreterie principali di sicurezza, delle Segreterie di sicurezza e dei Punti di controllo;

     b) l'"Ufficio centrale di registrazione UE SEGRETISSIMO", che cura la distribuzione alle Segreterie principali di sicurezza dei documenti UE-SEGRETISSIMO che ad esso pervengono da istituzioni dell'Unione europea, la registrazione di quelli eventualmente pervenuti alle Segreterie principali di sicurezza, alle Segreterie di sicurezza e ai Punti di controllo direttamente da istituzioni dell'Unione europea, nonchè l'aggiornamento della situazione nazionale di tali documenti;

     c) l'Agenzia nazionale di distribuzione per l'espletamento delle attività di cui all'art. 3, comma 1, lett. q) del decreto del Presidente del Consiglio dei ministri 12 giugno 2009, n. 7.

     4. L'UCSe è:

     a) depositario e responsabile dell'uso del sigillo NATO, assegnato all'Italia dal Consiglio del Nord Atlantico per il trasporto dei documenti e materiali con classifica NATO-RISERVATISSIMO o superiore verso altri Paesi dell'Alleanza atlantica, nonchè del rilascio dell'apposito "Certificato di corriere" all'amministrazione che dispone il trasporto;

     b) competente al rilascio della "Autorizzazione per le scorte di sicurezza" per il trasporto di documenti e materiali classificati prodotti dagli operatori economici nell'interesse della NATO, nonchè del "Certificato di corriere per il trasporto internazionale a mano di documenti e materiali classificati", riferito a documenti e materiali classificati prodotti dagli operatori economici e destinati all'estero nell'ambito di programmi internazionali;

     c) ente di certificazione per la sicurezza informatica ai sensi del decreto del Presidente del Consiglio dei ministri 11 aprile 2002.

 

     Art. 8. Organi centrali di sicurezza

     1. Presso i Ministeri, le strutture governative, lo Stato Maggiore della Difesa, le Forze armate, il Segretariato Generale della Difesa - Direzione Nazionale degli Armamenti, il Comando Generale dell'Arma dei Carabinieri, il Comando Generale della Guardia di Finanza o gli altri enti che, per ragioni istituzionali, hanno la necessità di trattare informazioni classificate, a diffusione esclusiva o coperte da segreto di Stato la responsabilità relativa alla protezione e alla tutela delle medesime, a livello centrale e periferico, fa capo rispettivamente al Ministro, all'organo previsto dal relativo ordinamento o all'organo di vertice dell'ente. Le predette autorità adottano il Regolamento interno di sicurezza (RIS), che descrive le misure di sicurezza fisica, documentale e personale predisposte per la protezione e tutela delle informazioni classificate, e lo inviano all'UCSe, per la relativa approvazione.

     2. Le autorità di cui al comma 1 possono delegare l'esercizio dei compiti e delle funzioni in materia di protezione e tutela delle informazioni classificate, a diffusione esclusiva o coperte da segreto di Stato ad un funzionario o ufficiale, di elevato livello gerarchico, munito di adeguata abilitazione di sicurezza, che assume la denominazione di "Funzionario alla sicurezza" o "Ufficiale alla sicurezza". Il "Funzionario alla sicurezza" o "Ufficiale alla sicurezza" svolge compiti di direzione, coordinamento, controllo, nonchè attività ispettiva e di inchiesta in materia di protezione e tutela delle informazioni classificate, a diffusione esclusiva o coperte da segreto di Stato, nell'ambito del Ministero, della struttura governativa, dello Stato Maggiore della Difesa, della Forza armata, del Segretariato Generale della Difesa - Direzione Nazionale degli Armamenti, del Comando Generale dell'Arma dei Carabinieri, del Comando Generale della Guardia di Finanza o dell'ente di appartenenza. In mancanza di delega, i predetti compiti sono esercitati direttamente dalle autorità di cui al comma 1.

     3. Al fine di assicurare continuità all'esercizio delle funzioni e dei compiti di protezione e tutela delle informazioni classificate, a diffusione esclusiva o coperte da segreto di Stato le autorità di cui al comma 1 possono nominare anche un "sostituto Funzionario alla sicurezza" o un "sostituto Ufficiale alla sicurezza", con il compito di sostituire il titolare dell'incarico in tutti i casi di assenza o impedimento.

     4. Per l'esercizio delle funzioni, il "Funzionario alla sicurezza" o "Ufficiale alla sicurezza" si avvale del Capo della Segreteria principale di sicurezza di cui all'art. 9, denominato "Funzionario di controllo" o "Ufficiale di controllo", coadiuvato da personale esperto nella trattazione e gestione dei documenti classificati. Nell'ambito dello Stato Maggiore della Difesa, delle Forze armate, del Segretariato Generale della Difesa - Direzione Nazionale degli Armamenti, del Comando Generale dell'Arma dei Carabinieri, l'"Ufficiale alla sicurezza" si avvale del Capo Ufficio Sicurezza.

     5. Gli incarichi di "Funzionario alla sicurezza" o "Ufficiale alla sicurezza" di cui al comma 2 e quello di "Funzionario di controllo" o "Ufficiale di controllo" di cui al comma 4 non possono essere assolti dalla stessa persona, salvo casi eccezionali connessi ad esigenze organiche o funzionali.

     6. Per l'esercizio delle sue funzioni, il "Funzionario alla sicurezza" o "Ufficiale alla sicurezza" si avvale di un "Funzionario alla sicurezza fisica" o "Ufficiale alla sicurezza fisica", come definito all'art. 70 e, qualora la trattazione di informazioni classificate o coperte da segreto di Stato comporti l'utilizzo di sistemi COMSEC o CIS di:

     a) un "Funzionario COMSEC" o "Ufficiale COMSEC", come definito all'art. 54;

     b) un "Funzionario alla sicurezza CIS" o "Ufficiale alla sicurezza CIS", come definito all'art. 61;

     c) un "Centro" come definito all'art. 3, comma 1, lett. r) del decreto del Presidente del Consiglio dei ministri del 12 giugno 2009, n. 7;

     d) un "Custode del materiale CIFRA", come definito all'art. 54.

     7. Il complesso rappresentato dal "Funzionario alla sicurezza" o "Ufficiale alla sicurezza", dal "Capo Ufficio Sicurezza", dal "Capo della Segreteria principale di sicurezza - Funzionario/Ufficiale di controllo ", dal "Funzionario COMSEC" o "Ufficiale COMSEC", dal "Funzionario alla sicurezza CIS " o "Ufficiale alla sicurezza CIS ", dal "Funzionario alla sicurezza fisica" o "Ufficiale alla sicurezza fisica", dalla stessa Segreteria principale di sicurezza, dal "Centro" di cui al comma 6, lett. c) e dal "Custode del materiale CIFRA" di cui al comma 6, lett. d), costituisce l'Organo centrale di sicurezza.

     8. L'Organo centrale di sicurezza è diretto e coordinato dal "Funzionario alla sicurezza" o "Ufficiale alla sicurezza".

     9. Gli incarichi di cui ai commi 4 e 6 sono assegnati dall'Autorità di cui al comma 1, su proposta del "Funzionario alla sicurezza" o "Ufficiale alla sicurezza". Nel caso in cui esigenze organiche o funzionali lo richiedano, la predetta autorità può attribuire gli incarichi di cui sopra, o alcuni di essi, alla stessa persona ovvero al "Funzionario di controllo" o "Ufficiale di controllo".

     10. Il "Funzionario alla sicurezza" o "Ufficiale alla sicurezza", per assicurare la continuità dell'esercizio delle funzioni nell'ambito dell'Organo centrale di sicurezza, nomina due sostituti del Capo della Segreteria principale, nonchè un sostituto dei Funzionari o Ufficiali e del Custode del materiale Cifra di cui al comma 6.

     11. Gli Organi centrali di sicurezza hanno il compito di:

     a) coordinare e controllare, presso tutte le articolazioni e le altre strutture di sicurezza funzionalmente dipendenti, sia a livello centrale che periferico, l'applicazione di tutte le disposizioni inerenti alla protezione e alla tutela delle informazioni classificate, a diffusione esclusiva o coperte da segreto di Stato;

     b) emanare direttive interne per l'applicazione delle disposizioni in materia di sicurezza e tutela delle informazioni classificate, a diffusione esclusiva o coperte da segreto di Stato;

     c) comunicare all'UCSe i nominativi del "Funzionario di controllo" o "Ufficiale di controllo", e dei suoi sostituti, dei Funzionari o Ufficiali e del Custode del materiale Cifra di cui al comma 6, e dei loro sostituti, nonchè i nominativi dei Funzionari o Ufficiali di controllo designati, presso gli Organi periferici;

     d) inoltrare all'UCSe le proposte finalizzate al miglioramento della sicurezza delle informazioni classificate, a diffusione esclusiva o coperte da segreto di Stato nell'ambito della propria amministrazione o ente, sia a livello centrale che periferico;

     e) tenere aggiornato l'elenco dei NOS ed il relativo scadenzario;

     f) proporre all'Organo nazionale di sicurezza, per il tramite dell'UCSe, l'istituzione, il cambio di denominazione e l'estinzione della Segreteria Principale di Sicurezza, degli Organi periferici, delle Segreterie di sicurezza e dei Punti di controllo di cui all'art. 11, comma 6;

     g) istituire, nell'ambito della propria amministrazione, centrale e periferica, le Segreterie di sicurezza e i Punti di controllo la cui istituzione non sia riservata all'Organo nazionale di sicurezza;

     h) comunicare all'UCSe l'avvenuta istituzione, modifica o estinzione delle Segreterie di sicurezza e dei Punti di controllo di cui alla lettera g);

     i) curare gli adempimenti in materia di violazione della sicurezza e di compromissione di informazioni classificate o coperte da segreto di Stato.

     12. Gli Organi centrali di sicurezza delle Forze armate hanno, inoltre, il compito di effettuare, secondo le modalità e i termini indicati dalle vigenti disposizioni, le verifiche per l'accertamento della sussistenza e del mantenimento dei requisiti di sicurezza per il possesso delle abilitazioni di sicurezza da parte degli operatori economici. Tali Organi ricevono il RIS dagli operatori economici e lo trasmettono all'UCSe per l'approvazione, corredato del proprio parere.

 

     Art. 9. Segreterie principali di sicurezza

     1. Presso i Ministeri, le strutture governative, lo Stato Maggiore della Difesa, le Forze armate, Segretariato Generale della Difesa - Direzione Nazionale degli Armamenti, il Comando Generale dell'Arma dei Carabinieri, il Comando Generale della Guardia di Finanza o ente è istituita, su autorizzazione dell'Organo nazionale di sicurezza, nell'ambito dell'Organo centrale di sicurezza, una Segreteria principale di sicurezza, rispondente ai requisiti fissati ai sensi dell'art. 6, comma 1, lett. b), responsabile della trattazione delle informazioni classificate. Presso lo Stato Maggiore della Difesa, le Forze armate, il Segretariato Generale della Difesa - Direzione Nazionale degli Armamenti e il Comando Generale dell'Arma dei Carabinieri, la Segreteria principale di sicurezza costituisce un'articolazione dell'Ufficio Sicurezza.

     2. La Segreteria principale di sicurezza, in relazione al livello di segretezza e all'ente originatore della documentazione che è legittimata a trattare e gestire, assume la denominazione di:

     a) "Segreteria speciale principale COSMIC-ATOMAL-UE/SS", legittimata a trattare e gestire documenti della NATO, qualificati COSMIC, ATOMAL, dell'UE, nazionali e documenti originati nell'ambito di altre organizzazioni internazionali di cui l'Italia è parte o relativi alla partecipazione dell'Italia in attività internazionali di cooperazione militare, fino al livello di classifica SEGRETISSIMO;

     b) "Segreteria speciale principale COSMIC-UE/SS", legittimata a trattare e gestire documenti della NATO, con l'esclusione di quelli qualificati ATOMAL, dell'UE, nazionali, e documenti originati nell'ambito di altre organizzazioni internazionali di cui l'Italia è parte o relativi alla partecipazione dell'Italia in attività internazionali di cooperazione militare, fino al livello di classifica SEGRETISSIMO;

     c) "Segreteria principale di sicurezza NATO-UE/S", legittimata a trattare e gestire documenti della NATO, con l'esclusione di quelli qualificati COSMIC e ATOMAL, dell'UE e documenti originati nell'ambito di altre organizzazioni internazionali di cui l'Italia è parte o relativi alla partecipazione dell'Italia in attività internazionali di cooperazione militare, fino al livello di classifica SEGRETO, e nazionali fino al livello di classifica SEGRETISSIMO;

     d) "Segreteria principale di sicurezza UE/S", legittimata a trattare e gestire documenti dell'UE e documenti originati nell'ambito di altre organizzazioni internazionali di cui l'Italia è parte o relativi alla partecipazione dell'Italia in attività internazionali di cooperazione militare, fino al livello di SEGRETO, nonchè documenti nazionali fino al livello di classifica SEGRETISSIMO;

     e) "Segreteria principale di sicurezza", legittimata a trattare e gestire soltanto documenti nazionali fino al livello di classifica di SEGRETISSIMO.

     3. Tutte le Segreterie principali di sicurezza sono altresì legittimate a trattare informazioni, classificate e non, sulle quali sia stato apposto o confermato il segreto di Stato.

     4. L'UCSe, per limitati periodi di tempo ed a fronte di indifferibili esigenze operative, può in via eccezionale autorizzare, anche in assenza dei requisiti fissati ai sensi dell'art. 6, comma 1, lett. b), l'istituzione di Segreterie principali di sicurezza legittimate a trattare informazioni classificate nazionali ad un livello massimo di SEGRETO. In tali ipotesi, particolari prescrizioni di sicurezza saranno stabilite caso per caso, ferma restando l'inapplicabilità del comma 3.

     5. Le Segreterie principali di sicurezza sono dirette dal Funzionario di controllo o Ufficiale di controllo di cui all'art. 8, comma 4, che assume la denominazione di "Capo della Segreteria principale di sicurezza", coadiuvato da personale esperto nella trattazione e gestione dei documenti classificati, individuato dal Funzionario o Ufficiale alla sicurezza.

     6. Le Segreterie principali di sicurezza hanno il compito di:

     a) coadiuvare il Funzionario o Ufficiale alla sicurezza nella sua azione di direzione, coordinamento, controllo, ispettiva, di inchiesta, e di quanto altro concerne la trattazione delle informazioni classificate, a diffusione esclusiva o coperte dal segreto di Stato nell'ambito dell'intera organizzazione di sicurezza sia a livello centrale che periferico;

     b) promuovere, nell'ambito della propria organizzazione, la conoscenza delle norme legislative e delle disposizioni amministrative concernenti la tutela delle informazioni classificate, a diffusione esclusiva o coperte da segreto di Stato;

     c) istruire, con periodicità semestrale, il personale abilitato in ordine alle responsabilità connesse alla conoscenza e trattazione delle informazioni classificate, a diffusione esclusiva o coperte da segreto di Stato;

     d) tenere aggiornate le "liste di accesso", distinte per livello di classifica e qualifica, con le quali il Funzionario o Ufficiale alla sicurezza, sulla base del principio della necessità di conoscere di cui all'art. 3, comma 2, determina i soggetti autorizzati a trattare informazioni classificate SEGRETISSIMO e SEGRETO anche qualificate;

     e) tenere aggiornato l'inventario dei documenti coperti da segreto di Stato in carico alle altre strutture di sicurezza dipendenti e trasmetterne all'UCSe il registro per la parifica annuale;

     f) tenere aggiornati i registri di contabilizzazione dei documenti classificati;

     g) tenere aggiornato l'elenco dei NOS, con il relativo scadenzario;

     h) segnalare all'UCSe i nominativi delle persone designate dal Funzionario o Ufficiale alla sicurezza ad attribuire alle informazioni, ai documenti e ai materiali la classifica SEGRETISSIMO;

     i) ricevere, registrare, custodire e, ove previsto, inoltrare alle Segreterie di sicurezza e ai Punti di controllo funzionalmente dipendenti, i documenti classificati a loro pervenuti per la relativa trattazione;

     l) comunicare all'UCSe gli estremi dei documenti SEGRETISSIMO nazionali, COSMIC-SEGRETISSIMO, ATOMAL e UE-SEGRETISSIMO ricevuti non per il suo tramite;

     m) comunicare all'UCSe i nominativi dei Funzionari o Ufficiali di cui all'art. 11, comma 9, e dei loro sostituti, preposti alle Segreterie di sicurezza ed ai Punti di controllo istituiti nell'ambito dell'amministrazione o ente di appartenenza;

     n) segnalare con tempestività all'Organo centrale di sicurezza interessato o all'organismo internazionale o dell'Unione europea competente, il livello del NOS del personale dell'amministrazione o ente di appartenenza designato a partecipare a conferenze o riunioni classificate in Italia o all'estero;

     o) effettuare annualmente l'inventario e il controllo dei documenti nazionali classificati SEGRETISSIMO e di quelli COSMIC-SEGRETISSIMO, UE-SEGRETISSIMO e ATOMAL in carico anche alle strutture di sicurezza funzionalmente dipendenti e trasmettere all'UCSe i verbali di distruzione relativi a tali documenti, unitamente al registro d'inventario per la parifica;

     p) curare gli adempimenti di competenza previsti da direttive dell'Organo nazionale di sicurezza in materia di violazione della sicurezza e di compromissione di informazioni classificate o coperte da segreto di Stato;

     q) comunicare all'UCSe e all'originatore delle informazioni classificate, con immediatezza e con un rapporto dettagliato, tutti i casi di violazione della sicurezza e di compromissione delle predette informazioni verificatisi nell'ambito della propria sfera di competenza.

 

     Art. 10. Organi periferici di sicurezza

     1. Presso le articolazioni dei Ministeri, delle strutture governative, dello Stato Maggiore della Difesa, delle Forze armate, del Segretariato Generale della Difesa/Direzione Nazionale degli Armamenti, del Comando Generale dell'Arma dei Carabinieri, del Comando Generale della Guardia di Finanza o degli enti pubblici legittimati alla trattazione di informazioni classificate, a diffusione esclusiva o coperte da segreto di Stato possono essere istituiti, sia in sede centrale che decentrata, su autorizzazione dell'Organo nazionale di sicurezza, Organi periferici di sicurezza laddove, anche in ragione della collocazione fisica, lo richiedano comprovate ragioni di sicurezza e di correntezza della trattazione e gestione della documentazione classificata. Fatto salvo quanto previsto dall'art. 8, comma 1, presso le articolazioni ove è costituito un Organo periferico la responsabilità relativa alla sicurezza delle informazioni fa capo alla massima autorità preposta all'articolazione stessa, che adotta il Regolamento interno di sicurezza (RIS) di cui all'art. 8, comma 1, e lo invia all'Organo centrale di sicurezza ovvero all'organo gerarchicamente sovraordinato, per la relativa approvazione.

     2. All'Organo periferico di sicurezza è preposto un "Funzionario o Ufficiale alla sicurezza designato".

     3. In caso di costituzione di un Organo periferico di sicurezza il Funzionario o Ufficiale alla sicurezza dell'Organo centrale di sicurezza, sulla base delle esigenze connesse alla trattazione di informazioni classificate, a diffusione esclusiva o coperte da segreto di Stato, può, in alternativa:

     a) rimettere al titolare dell'articolazione amministrativa interessata (Capo dipartimento, Direttore generale, Ispettore generale, Capo di Rappresentanza Diplomatica, Prefetto, Questore, Comandante militare) o dell'ente la nomina del "Funzionario o Ufficiale alla sicurezza designato" e di un suo sostituto. Spetta in tal caso al predetto titolare il compito di nominare, su proposta del "Funzionario o Ufficiale alla sicurezza designato", gli altri responsabili della sicurezza di cui alla lettera b), e relativi sostituti;

     b) nominare il "Funzionario o Ufficiale alla sicurezza designato", ed un suo sostituto e, su proposta del predetto "Funzionario o Ufficiale alla sicurezza designato", il "Capo della Segreteria di sicurezza" che assume la denominazione di Funzionario o Ufficiale di controllo designato e due suoi sostituti e, quando necessario, il "Funzionario o Ufficiale COMSEC designato", il "Funzionario o Ufficiale CIS designato", il "Funzionario o Ufficiale alla sicurezza fisica designato", il "Custode del materiale CIFRA", e un sostituto di ciascuno di essi;

     c) nominare il "Funzionario o Ufficiale alla sicurezza designato" ed un suo sostituto, e disporre che il "Funzionario o Ufficiale alla sicurezza designato" nomini tutti gli altri responsabili della sicurezza di cui alla lettera b), e relativi sostituti.

     4. Per l'effettivo esercizio delle funzioni il "Funzionario o Ufficiale alla sicurezza designato" si avvale del capo della Segreteria di sicurezza istituita presso l'Organo periferico, denominato "Funzionario/Ufficiale di controllo designato", coadiuvato da personale esperto nella trattazione e gestione dei documenti classificati.

     5. L'Organo periferico di sicurezza è il complesso costituito dal "Funzionario alla sicurezza designato" o "Ufficiale alla sicurezza designato", dal "Funzionario COMSEC designato" o "Ufficiale COMSEC designato", dal "Funzionario CIS designato" o "Ufficiale CIS designato", dal "Funzionario alla sicurezza fisica designato" o "Ufficiale alla sicurezza fisica designato", dal "Capo della Segreteria di sicurezza", dal "Centro CIFRA", dal "Custode del materiale CIFRA" e dalla stessa Segreteria di sicurezza.

     6. Il "Funzionario o Ufficiale alla sicurezza designato" munito di adeguata abilitazione di sicurezza, dirige, coordina e controlla tutte le attività che riguardano la protezione e la tutela delle informazioni classificate o coperte da segreto di Stato.

     7. Gli incarichi di "Funzionario o Ufficiale alla sicurezza designato" e gli altri incarichi previsti al comma 5 non possono essere assolti dalla stessa persona, salvo casi eccezionali connessi ad esigenze organiche o funzionali.

     8. Dall'Organo periferico di sicurezza, ove istituito, possono dipendere le Segreterie di sicurezza e i Punti di controllo costituiti ai sensi dell'art. 11 presso più sedi decentrate della stessa amministrazione o ente sul territorio nazionale o in un'area territoriale omogenea.

     9. L'Organo periferico di sicurezza provvede a segnalare al Funzionario o Ufficiale alla sicurezza i nominativi delle persone, adeguatamente abilitate, che, nell'ambito dell'Organo periferico stesso e delle Segreterie di sicurezza e dei Punti di controllo dipendenti, sono autorizzate dal Funzionario o Ufficiale alla sicurezza designato ad attribuire alle informazioni, ai documenti e ai materiali la classifica di segretezza SEGRETISSIMO, con o senza qualifica di sicurezza, ai sensi dell'art. 4 del decreto del Presidente del Consiglio dei ministri 12 giugno 2009, n. 7.

 

     Art. 11. Segreterie di sicurezza e Punti di Controllo

     1. Presso ogni articolazione di Ministero, di struttura governativa, dello Stato Maggiore della Difesa, di Forza armata, del Segretariato Generale della Difesa - Direzione Nazionale degli Armamenti, del Comando Generale dell'Arma dei Carabinieri, del Comando Generale della Guardia di Finanza o ente, dotata di Organo centrale di sicurezza, possono essere istituiti, nella misura strettamente necessaria, Segreterie di sicurezza e Punti di controllo, rispondenti ai requisiti fissati ai sensi dell'art. 6, comma 1, lett. b). Alle Segreterie di sicurezza e ai Punti di controllo è affidato l'esercizio delle competenze relative alla trattazione e alla gestione di documentazione classificata o a diffusione esclusiva fissate con direttive applicative dell'Organo nazionale di sicurezza, secondo criteri che tengano conto delle esigenze di sicurezza e correntezza della trattazione, anche in ragione della ubicazione logistica delle strutture, nonchè della quantità della documentazione da trattare.

     2. Le Segreterie di sicurezza e i Punti di controllo possono essere posti alle dipendenze di un Organo centrale, ovvero di Organi periferici, ove istituiti.

     3. Le Segreterie di sicurezza, in relazione al livello di segretezza e all'ente originatore della documentazione che sono legittimate a trattare e gestire, assumono la denominazione di:

     a) "Segreteria speciale COSMIC-ATOMAL-UE/SS", legittimata a trattare e gestire documenti nazionali, della NATO, qualificati COSMIC e ATOMAL, dell'UE e documenti originati nell'ambito di altre organizzazioni internazionali di cui l'Italia è parte o relativi alla partecipazione dell'Italia in attività internazionali di cooperazione militare fino al livello di classifica SEGRETISSIMO;

     b) "Segreteria speciale COSMIC-UE/SS", legittimata a trattare e gestire documenti della NATO, con l'esclusione di quelli qualificati ATOMAL, dell'UE e documenti originati nell'ambito di altre organizzazioni internazionali di cui l'Italia è parte o relativi alla partecipazione dell'Italia in attività internazionali di cooperazione militare, nonchè documenti nazionali fino al livello di classifica SEGRETISSIMO;

     c) "Segreteria di sicurezza NATO-UE/S", legittimata a trattare e gestire, documenti della NATO, con l'esclusione di quelli qualificati COSMIC e ATOMAL, dell'UE e documenti originati nell'ambito di altre organizzazioni internazionali di cui l'Italia è parte o relativi alla partecipazione dell'Italia in attività internazionali di cooperazione militare, fino al livello di segretezza SEGRETO, nonchè documenti nazionali fino al livello di classifica SEGRETISSIMO;

     d) "Segreteria di sicurezza UE/S", legittimata a trattare e gestire documenti nazionali fino al livello di classifica SEGRETISSIMO, nonchè dell'UE e documenti originati nell'ambito di altre organizzazioni internazionali di cui l'Italia è parte, relativi alla partecipazione dell'Italia in attività internazionali di cooperazione militare fino al livello di classifica SEGRETO;

     e) "Segreteria di sicurezza", legittimata a gestire documenti nazionali fino al livello di classifica SEGRETISSIMO.

     4. I Punti di controllo, in relazione al livello di segretezza e all'ente originatore della documentazione che sono legittimati a trattare e gestire assumono la denominazione di:

     a) "Punto di controllo COSMIC-ATOMAL-UE/SS", collocato in posizione di dipendenza funzionale rispetto ad una Segreteria speciale "COSMIC-ATOMAL-UE/SS", principale o non, legittimato a trattare e gestire documenti nazionali, della NATO, qualificati COSMIC e ATOMAL, dell'UE e documenti originati nell'ambito di altre organizzazioni internazionali di cui l'Italia è parte o relativi alla partecipazione dell'Italia in attività internazionali di cooperazione, fino al livello di classifica SEGRETISSIMO;

     b) "Punto di controllo COSMIC-UE/SS", collocato in posizione di dipendenza funzionale rispetto ad una Segreteria speciale "COSMIC-ATOMAL-UE/SS" o "COSMIC-UE/SS", principale o non, legittimato a trattare e gestire documenti nazionali, della NATO, con l'esclusione di quelli qualificati ATOMAL, dell'UE e documenti originati nell'ambito di altre organizzazioni internazionali di cui l'Italia è parte o relativi alla partecipazione dell'Italia in attività internazionali, fino al livello SEGRETISSIMO;

     c) "Punto di controllo NATO-UE/S", collocato in posizione di dipendenza funzionale rispetto ad una Segreteria speciale "COSMIC-ATOMAL-UE/SS" o "COSMIC-UE/SS", principale o non, oppure ad una Segreteria "NATO-UE/S", principale o non, legittimato a trattare e gestire documenti della NATO, con l'esclusione di quelli qualificati COSMIC e ATOMAL, dell'UE e documenti originati nell'ambito di altre organizzazioni internazionali di cui l'Italia è parte o relativi alla partecipazione dell'Italia in attività internazionali, fino al livello di classifica SEGRETO, nonchè documenti nazionali fino al livello SEGRETISSIMO.

     5. Le Segreterie di sicurezza e i Punti di controllo sono altresì legittimati a trattare informazioni a diffusione esclusiva nonchè informazioni, classificate e non, sulle quali sia stato apposto o confermato il segreto di Stato.

     6. L'istituzione, la soppressione e il cambio di denominazione delle Segreterie di sicurezza di cui al comma 3, lettere a) e b), e dei Punti di controllo di cui al comma 4, lettere a) e b), è autorizzata dall'Organo nazionale di sicurezza, su richiesta dell'Organo centrale di sicurezza inoltrata per il tramite dell'UCSe.

     7. L'istituzione, la soppressione e il cambio di denominazione delle Segreterie di sicurezza di cui al comma 3, lettere c), d), e), e dei Punti di controllo di cui al comma 4, lettera c) è disposta dall'Organo centrale di sicurezza competente, qualora delegato dall'Organo nazionale di sicurezza, ai sensi dell'art. 6, comma 1, lett. c), che ne dà comunicazione all'UCSe.

     8. L'UCSe, per limitati periodi di tempo ed a fronte di indifferibili esigenze operative, può in via eccezionale autorizzare, anche in assenza dei requisiti fissati ai sensi dell'art. 6, comma 1, lett. b), l'istituzione di Segreterie di sicurezza e Punti di controllo per la trattazione e gestione di informazioni classificate nazionali ad un livello massimo di RISERVATISSIMO. In tali ipotesi, particolari prescrizioni di sicurezza saranno stabilite caso per caso, ferma restando l'inapplicabilità del comma 5.

     9. Le Segreterie di sicurezza e i Punti di controllo sono diretti da un Funzionario o Ufficiale, che assume la denominazione di "Capo della Segreteria di sicurezza" o di "Capo del Punto di controllo", coadiuvato da personale esperto nella trattazione e gestione dei documenti classificati. Ove la Segreteria di sicurezza sia costituita presso un Organo periferico, il "Capo della Segreteria di sicurezza" assume la denominazione di "Funzionario o Ufficiale di controllo designato".

     10. Le Segreterie di sicurezza e i Punti di controllo hanno il compito di:

     a) promuovere la conoscenza delle norme legislative e delle disposizioni amministrative concernenti la tutela delle informazioni classificate, a diffusione esclusiva o coperte da segreto di Stato;

     b) istruire, con periodicità almeno semestrale, il personale titolare di NOS sulle responsabilità connesse alla conoscenza e trattazione delle informazioni classificate, a diffusione esclusiva o coperte da segreto di Stato;

     c) tenere aggiornate le "liste di accesso" di cui all'art. 9, comma 6, lett. d);

     d) controllare e gestire i documenti classificati originati nell'ambito della propria sfera di competenza;

     e) controllare e gestire i documenti classificati ricevuti;

     f) tenere aggiornati i registri di contabilizzazione dei documenti classificati di cui si è responsabili;

     g) effettuare annualmente l'inventario e il controllo dei documenti nazionali classificati SEGRETISSIMO e di quelli COSMIC-SEGRETISSIMO, UE-SEGRETISSIMO e ATOMAL in carico, e trasmettere all'UCSe, e per conoscenza alla propria Segreteria principale di sicurezza, i verbali di distruzione relativi a tali documenti;

     h) tenere aggiornato l'elenco del personale della propria articolazione per il quale è stato rilasciato il NOS;

     i) attuare le disposizioni di competenza relative alle richieste per il rilascio e il rinnovo dei NOS per il personale della propria articolazione;

     l) comunicare all'Organo di sicurezza da cui dipende i nominativi delle persone abilitate che non hanno più necessità di accedere alle informazioni classificate;

     m) segnalare all'Organo di sicurezza da cui dipende ogni controindicazione sopravvenuta a carico del personale abilitato ritenuta d'interesse ai fini della valutazione dell'affidabilità della persona;

     n) segnalare all'Organo di sicurezza da cui dipende i nominativi delle persone della propria articolazione designate ad attribuire la classifica di SEGRETISSIMO;

     o) [soppressa];

     p) curare gli adempimenti di competenza in materia di violazione della sicurezza e di compromissione di informazioni classificate.

 

     Art. 12. Organizzazione di sicurezza nell'ambito degli operatori economici

     1. L'operatore economico abilitato alla trattazione delle informazioni classificate, fermo restando quanto disposto agli articoli 13, 14, 15 e 16, istituisce, previa autorizzazione dell'Organo nazionale di sicurezza o, se delegato, dell'UCSe, una propria organizzazione di sicurezza, secondo le previsioni di cui agli articoli 8, 9, 10 e 11, in relazione al livello di segretezza e alle qualifiche delle informazioni classificate che ha necessità di trattare, nonchè alle proprie dimensioni o caratteristiche infrastrutturali o gestionali.

 

     Art. 13. Responsabilità della protezione e della tutela delle informazioni classificate e a diffusione esclusiva nell'ambito degli operatori economici

     1. Presso ogni operatore economico abilitato alla loro trattazione, la responsabilità della protezione e della tutela delle informazioni classificate e a diffusione esclusiva, a livello centrale e periferico, fa capo al legale rappresentante in possesso di cittadinanza italiana.

     2. Il legale rappresentante dell'operatore economico può delegare l'esercizio dei compiti e delle funzioni per la protezione e tutela delle informazioni classificate ad un dirigente o funzionario legato da un rapporto professionale esclusivo, fatte salve specifiche esigenze organizzative e funzionali, in possesso di sola cittadinanza italiana, di abilitazione di livello adeguato ed esperto nel settore, che assume la denominazione di "Funzionario alla sicurezza".

     3. Presso le sedi periferiche dell'operatore economico abilitate per la trattazione di informazioni classificate il legale rappresentante di cui al comma 1 nomina un dirigente o funzionario dipendente in via esclusiva dall'operatore economico, quale "Funzionario alla sicurezza designato", in possesso di sola cittadinanza italiana e di abilitazione di livello adeguato. Il "Funzionario alla sicurezza designato" è alle dipendenze del "Funzionario alla sicurezza".

     4. Il legale rappresentante dell'operatore economico nomina, a livello centrale e presso ciascuna sede periferica abilitata alla trattazione di informazioni classificate, un sostituto "Funzionario alla sicurezza" e un sostituto "Funzionario alla sicurezza designato" in possesso dei requisiti indicati ai commi 2 e 3. Essi sostituiscono i titolari dell'incarico nei casi di assenza o impedimento.

     5. La nomina del "Funzionario alla sicurezza", del "Funzionario alla sicurezza designato" e di un sostituto di ciascuno di essi è soggetta alla preventiva approvazione dell'UCSe.

 

     Art. 14. Compiti del legale rappresentante o del Funzionario alla sicurezza dell'operatore economico

     1. Il legale rappresentante, o, se delegato, il Funzionario alla sicurezza dell'operatore economico:

     a) ha l'obbligo di conoscere le disposizioni in materia di protezione e tutela delle informazioni classificate o coperte da segreto di Stato, e di farle puntualmente applicare;

     a)1 adotta il Regolamento interno di sicurezza (RIS), che descrive le misure di sicurezza fisica, documentale, personale e industriale, predisposte per la protezione e tutela delle informazioni classificate, e lo invia all'UCSe, per la relativa approvazione, per il tramite dell'Organo centrale di sicurezza della Forza armata di riferimento;

     b) segnala tempestivamente all'UCSe e all'ente appaltante o al committente ogni elemento suscettibile di valutazione ai fini di cui all'art. 37, 47 e 48, nonchè eventuali casi di sospetta o accertata compromissione delle informazioni classificate;

     c) dirige, coordina e controlla tutte le attività che riguardano la protezione e la tutela delle informazioni, dei documenti e dei materiali classificati o coperti da segreto di Stato, trattati nell'ambito dell'operatore economico, sia a livello centrale che periferico;

     d) assicura il controllo delle lavorazioni classificate o coperte da segreto di Stato e la salvaguardia delle stesse dall'accesso di personale non in possesso di abilitazione di sicurezza di livello adeguato e, comunque, non autorizzato;

     e) comunica semestralmente all'UCSe le lavorazioni classificate in corso di esecuzione secondo le modalità previste dalle direttive di attuazione;

     f) comunica all'UCSe i contratti classificati di cui l'impresa è affidataria;

     g) coordina i servizi di sorveglianza e controllo delle infrastrutture COMSEC e dei CIS;

     h) cura gli adempimenti relativi al rilascio dei NOS al personale dell'operatore economico che ha necessità di trattare informazioni classificate a livello RISERVATISSIMO o superiore;

     i) comunica all'UCSe ogni variazione riguardante la legale rappresentanza, i componenti del Consiglio di amministrazione, il direttore tecnico, l'Organizzazione di sicurezza e le relative preposizioni, nonchè il possesso di quote di partecipazione qualificate in rapporto al capitale sociale ovvero di quote in relazione alle quali il titolare possa esercitare sull'impresa un'influenza notevole, ancorchè non dominante;

     i)1 comunica all'UCSe proposte di delibere di operazioni che comportano il trasferimento di informazioni classificate o a diffusione esclusiva, quali, tra l'altro: fusione, scissione, cessione, a qualsiasi titolo, di azienda o di ramo d'azienda, sottoscrizione di un contratto di rete, acquisizioni di partecipazioni che determinano la concentrazione del capitale sociale in capo ad un medesimo soggetto o il controllo dell'impresa attraverso l'esercizio di una influenza notevole, ancorchè non dominante, ovvero distacco temporaneo di personale abilitato presso altro operatore economico o tra imprese che abbiano sottoscritto un contratto di rete;

     l) istruisce il personale abilitato alla trattazione di informazioni classificate sulle disposizioni che regolano la materia;

     m) comunica all'UCSe ogni evento che possa costituire minaccia alla sicurezza e alla tutela delle informazioni classificate;

     m)1 nel caso di operatori economici di cui all'art. 11 del decreto del Presidente del Consiglio dei ministri del 17 febbraio 2017, "Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali", comunica al Nucleo per la sicurezza cibernetica, ai sensi dell'art. 11, comma 1, lettera a), dello stesso decreto del Presidente del Consiglio dei ministri, ogni significativa violazione della sicurezza o dell'integrità dei propri sistemi informatici, utilizzando canali di trasmissione protetti;

     n) assicura la corretta osservanza delle procedure relative alle visite da parte di persone estranee all'operatore economico nei siti dove sono trattate informazioni classificate;

     o) chiede l'autorizzazione prevista dalle norme vigenti e cura i relativi aspetti di sicurezza inerenti le trattative contrattuali che prevedono la cessione di informazioni classificate.

     2. Per lo svolgimento dei compiti di cui al comma 1 la Scuola di formazione del Dipartimento delle informazioni per la sicurezza, d'intesa con l'Ufficio centrale per la segretezza, organizza appositi corsi in materia di protezione e tutela delle informazioni classificate, a diffusione esclusiva, o coperte da segreto di Stato. A tali corsi possono essere ammessi anche altri dirigenti o dipendenti dell'operatore economico.

 

     Art. 15. Compiti del "Funzionario alla sicurezza designato" dell'operatore economico

     1. Il "Funzionario alla sicurezza designato" esegue, in materia di protezione e tutela delle informazioni classificate, le disposizioni impartite dal legale rappresentante o dal "Funzionario alla sicurezza", ove delegato, e, relativamente all'ambito di propria competenza, svolge i compiti indicati nell'art. 14, salvo quelli di cui al comma 1 alle lettere b), g) e i), che rimangono riservati al "Funzionario alla sicurezza".

 

     Art. 16. Incarichi relativi a sicurezza fisica e COMSEC e per la sicurezza dei CIS presso gli operatori economici

     1. Per l'esercizio delle sue funzioni, il Legale Rappresentante, ovvero il "Funzionario alla sicurezza" ove delegato, si avvale di un "Funzionario alla sicurezza fisica", come definito all'art. 70.

     2. Fermo restando quanto stabilito dall'art. 39, ove l'operatore economico abbia necessità di trattare informazioni classificate con sistemi CIS e COMSEC, il rappresentante legale nomina responsabili delle relative attività, denominati rispettivamente, "Funzionario alla sicurezza CIS", "Funzionario COMSEC", un "Custode del materiale CIFRA" ed i relativi sostituti, in possesso della sola cittadinanza italiana. In ragione delle dimensioni dell'operatore economico, e tenuto conto delle specifiche necessità relative alla trattazione delle informazioni classificate, gli incarichi di "Funzionario alla sicurezza CIS" e di "Funzionario COMSEC" possono essere assegnati alla stessa persona cui è conferito l'incarico di "Funzionario alla sicurezza".

 

     Art. 17. Strutture di sicurezza presso gli operatori economici

     [Soppresso]

 

     Art. 18. Attività ispettiva

     1. Allo scopo di assicurare protezione e tutela alle informazioni classificate, a diffusione esclusiva o coperte dal segreto di Stato, l'UCSe procede, in via diretta o delegata, ai sensi dell'art. 7, comma 1, lett. s), ad attività ispettiva intesa ad accertare l'esatta applicazione, da parte delle articolazioni dell'Organizzazione nazionale di sicurezza presso amministrazioni, enti ed operatori economici, delle disposizioni in materia di trattazione e gestione della documentazione classificata o a diffusione esclusiva, delle disposizioni in materia di rilascio e gestione delle di abilitazioni di sicurezza, di sicurezza fisica, COMSEC e dei CIS.

     2. L'UCSe procede altresì a specifica attività ispettiva in caso di violazione della sicurezza o compromissione di informazioni classificate o coperte da segreto di Stato, quando l'Organo nazionale di sicurezza, nell'esercizio delle funzioni di vigilanza di cui all'art. 6, comma 1, lett. g), lo ritenga necessario in relazione alla rilevanza del caso concreto.

 

Capo III

CLASSIFICHE DI SEGRETEZZA E QUALIFICHE DI SICUREZZA

 

     Art. 19. Classifiche di segretezza

     1. Le classifiche di segretezza SEGRETISSIMO (SS), SEGRETO (S), RISERVATISSIMO (RR) e RISERVATO (R), di cui all'art. 42 della legge, assicurano la tutela prevista dall'ordinamento di informazioni la cui diffusione sia idonea a recare un pregiudizio agli interessi della Repubblica e sono attribuite per le finalità e secondo i criteri stabiliti dall'art. 4 del decreto del Presidente del Consiglio dei ministri n. 7 del 12 giugno 2009.

     2. La declassifica di un'informazione è disposta dall'autorità che ha apposto la classifica ai sensi dell'art. 42, comma 2, della legge, o da altro soggetto che, a richiesta, sia stato dalla stessa a ciò autorizzato. L'Autorità nazionale per la sicurezza nella generalità dei casi e gli organi di sicurezza di un'amministrazione o ente sovraordinati a quello che ha originato l'informazione, possono disporre la variazione o l'eliminazione della classifica di segretezza attribuita alla medesima da un'autorità sottordinata.

     3. L'originatore dell'informazione classificata assoggettata a declassifica, variazione della classifica di segretezza o eliminazione della stessa informa tempestivamente del provvedimento gli altri soggetti detentori della medesima informazione, per le conseguenti variazioni amministrative.

     4. In relazione alle ipotesi di declassifica di cui all'art. 42, commi 5 e 6, della legge, e per assicurare speditezza alle relative procedure, previste al successivo comma 5, la data di classificazione di un'informazione deve essere annotata sull'informazione stessa, contestualmente all'apposizione della classifica, mediante la dicitura "classificato ... dal ..." opportunamente compilata. Se l'indicazione della classifica non è accompagnata dalla data di apposizione, la classifica si intende apposta dalla data del protocollo del documento.

     5. Ai fini dell'attuazione di quanto disposto dall'art. 42, commi 5 e 6, della legge, l'autorità che detiene l'informazione, qualora riceva, anche oltre i termini di cui al predetto art. 42, comma 5, una richiesta di un soggetto pubblico o una istanza motivata di accesso da parte di un privato portatore di un interesse giuridicamente tutelato, ne da comunicazione all'originatore, che, verificata la sussistenza dei presupposti, provvede in via alternativa a:

     a) prorogare i termini di efficacia del vincolo, ovvero richiedere la proroga oltre i quindici anni al Presidente del Consiglio dei Ministri, ai sensi dell'art. 42, comma 6, della legge;

     b) dichiarare l'avvenuta declassifica per decorso del termine, ponendo in essere i conseguenti adempimenti.

     6. L'ente originatore può disporre la proroga della classifica con provvedimento cumulativo, all'esito di una pianificazione dell'Organo centrale di sicurezza, per categorie di documenti per le quali ritenga persistente la necessità di riservatezza.

 

     Art. 20. Classifiche di segretezza internazionali e dell'Unione europea

     1. Le classifiche di segretezza internazionali e dell'Unione europea sono previste da trattati, convenzioni, accordi, regolamenti e decisioni comunque denominati, recepiti o a cui è data attuazione in conformità alle norme previste dall'ordinamento.

 

     Art. 21. Qualifiche di sicurezza

     1. Le informazioni classificate appartenenti ad organizzazioni internazionali e all'Unione europea ed a programmi intergovernativi recano le qualifiche previste dai rispettivi trattati, convenzioni, accordi, regolamenti e decisioni comunque denominati e sono assoggettate al regime giuridico di rispettiva appartenenza.

 

     Art. 22. Sicurezza delle lavorazioni classificate e deroghe al divieto di divulgazione

     1. Le lavorazioni classificate sono soggette al rispetto delle procedure di sicurezza stabilite dal presente regolamento.

     2. Ai fini di cui al comma 1, l'Organo nazionale di sicurezza emana le disposizioni applicative relative alle visite, da parte di persone estranee, alle strutture dove vengono trattate informazioni classificate di carattere industriale, nonchè relative ai trasporti di materiali classificati, sia in ambito nazionale che internazionale, anche connessi con l'esportazione, l'importazione e il transito di materiali classificati.

     3. L'UCSe verifica, mediante attività ispettiva, diretta o delegata ai sensi dell'art. 7, comma 1, lett. s), la corretta applicazione delle norme preordinate alla protezione e alla tutela delle informazioni classificate o a diffusione esclusiva nel settore industriale.

     4. L'UCSe autorizza la cessione di informazioni classificate nei casi previsti dalla legge, da regolamenti, da Accordi internazionali e da programmi intergovernativi industriali assoggettabili a licenza globale di progetto.

 

Capo IV

NULLA OSTA DI SICUREZZA PER LE PERSONE FISICHE

 

     Art. 23. Classifiche di segretezza e funzione del NOS

     1. La trattazione di informazioni classificate RISERVATO è consentita esclusivamente a coloro che hanno necessità di conoscerle per lo svolgimento del proprio incarico, funzione o attività e che siano a conoscenza delle misure poste a tutela delle stesse e delle connesse responsabilità.

     2. La trattazione di informazioni classificate RISERVATISSIMO, SEGRETO o SEGRETISSIMO è consentita esclusivamente a coloro che hanno necessità di conoscerle per lo svolgimento del proprio incarico, funzione o attività, che siano a conoscenza delle misure poste a tutela delle stesse e delle connesse responsabilità e che siano in possesso del NOS di adeguato livello di classifica e qualifica.

     3. Il NOS è richiesto, per una determinata persona fisica, dal soggetto pubblico o privato abilitato che intende impiegarla in attività che comportano la trattazione di informazioni protette con classifica superiore a RISERVATO. Il NOS per le persone fisiche è altresì chiesto dall'amministrazione o ente nell'ambito della procedura per la costituzione di un'organizzazione di sicurezza e dall'operatore economico nell'ambito delle procedure di rilascio dell'abilitazione di sicurezza industriale.

     4. Ai fini del rilascio del NOS, i soggetti pubblici e privati legittimati alla trattazione di informazioni classificate definiscono, sulla base dei rispettivi ordinamenti interni ed esigenze funzionali, gli incarichi che comportano l'effettiva necessità di trattare informazioni protette dalla classifica di SEGRETISSIMO, SEGRETO o RISERVATISSIMO.

     5. Nell'esecuzione di contratti classificati RISERVATO che prevedano l'accesso stabile ad informazioni di tale classifica l'operatore economico tiene un elenco delle persone che autorizza a tale accesso.

 

     Art. 24. Autorità competente al rilascio del NOS

     1. L'UCSe rilascia e revoca i NOS per qualsiasi livello di classifica e qualifica.

     2. Ferme restando le prerogative di direttiva e di coordinamento, di consulenza e di controllo dell'UCSe, le funzioni di cui al comma 1 possono essere delegate ad articolazioni dell'Organizzazione nazionale per la sicurezza con provvedimento del dirigente dell'UCSe, sentito l'Organo nazionale di sicurezza, nei limiti e secondo le modalità di seguito indicate. In particolare, può essere delegato:

     a) il Capo della Segreteria principale di sicurezza del Ministero dell'Interno al rilascio, al diniego, alla revoca ed alla sospensione del NOS ovvero alla sospensione della procedura abilitativa, nei confronti del personale dirigenziale con qualifica fino a Viceprefetto e a dirigente superiore della Polizia di Stato, di dirigente superiore del Corpo Nazionale dei Vigili del fuoco, di dirigente di seconda fascia dell'Amministrazione civile dell'Interno, nonchè del personale non dirigenziale dell'Amministrazione civile dell'Interno, della Polizia di Stato e del Corpo Nazionale dei Vigili del fuoco;

     b) il Vice Capo del III Reparto-Area Sicurezza dello Stato Maggiore dell'Esercito, il Direttore dell'Agenzia di Sicurezza della Marina Militare, il Capo del Reparto Generale Sicurezza dello Stato Maggiore dell'Aeronautica ed il Capo del II Reparto del Comando Generale dell'Arma dei Carabinieri al rilascio, al diniego, alla revoca ed alla sospensione dei NOS, ovvero alla sospensione della procedura abilitativa, nei confronti di:

     1) personale militare della rispettiva Forza Armata o Comando Generale dell'Arma dei Carabinieri con grado fino a Generale di Brigata o corrispondente;

     2) personale civile dipendente con qualifica di dirigente di seconda fascia e con qualifica non dirigenziale;

     c) il Capo Ufficio Generale del Segretario Generale della Difesa al rilascio, al diniego, alla revoca ed alla sospensione dei NOS, ovvero alla sospensione della procedura abilitativa, nei confronti del personale civile dipendente con qualifica di dirigente di seconda fascia e con qualifica non dirigenziale;

     d) il Capo del II Reparto del Comando generale del Corpo della Guardia di finanza al rilascio, al diniego, alla revoca ed alla sospensione dei NOS, ovvero alla sospensione della procedura abilitativa, nei confronti del personale con grado fino a Generale di Brigata.

     3. Con i provvedimenti di cui al comma 2 può altresì essere delegata alle medesime autorità l'attribuzione al NOS di qualifiche di sicurezza internazionali.

     4. Le autorità delegate ai sensi del comma 2 dispongono la revoca o la sospensione del NOS, o gli altri provvedimenti limitativi, nei casi previsti dall'art. 37, previa acquisizione del parere vincolante dell'UCSe, che può a tal fine, ove lo ritenga necessario, chiedere un'integrazione della relativa istruttoria. Il parere dell'UCSe si intende favorevolmente espresso, ove non intervenga nel termine di sessanta giorni.

     5. Ai fini dell'aggiornamento dell'Elenco nazionale dei soggetti muniti di NOS di cui all'art. 7, comma 2, lettera c), dei provvedimenti adottati, con l'indicazione della classifica di segretezza e delle qualifiche di sicurezza internazionali accordate, nonchè delle eventuali limitazioni e proroghe disposte, è data comunicazione all'UCSe.

 

     Art. 25. Procedimento per il rilascio del NOS

     1. Il NOS viene rilasciato a persone fisiche maggiorenni all'esito di un procedimento di accertamento diretto ad escludere dalla possibilità di conoscere informazioni, documenti, atti, attività o cose protette dalle classifiche indicate all'art. 23, comma 2, ogni soggetto che non dia sicuro affidamento di scrupolosa fedeltà alle istituzioni della Repubblica, alla Costituzione ed ai suoi valori, nonchè di rigoroso rispetto del segreto, ai sensi dell'art. 9, comma 4, della legge.

     2. Il procedimento di rilascio del NOS è condotto con modalità e criteri che consentano l'acquisizione ed il vaglio di elementi, pertinenti e non eccedenti lo scopo, necessari ai fini della valutazione dell'affidabilità della persona in relazione a quanto previsto dall'art. 9, comma 4, della legge e dal presente regolamento.

     3. Il soggetto pubblico o privato legittimato a chiedere il rilascio del NOS per l'impiego di una persona in attività che comportano la trattazione di informazioni protette dalle classifiche di cui al comma 1 ha l'obbligo di informare la persona interessata della necessità dell'accertamento, con esclusione del personale per il quale il rilascio del NOS costituisce condizione necessaria per l'espletamento del servizio istituzionale nel territorio nazionale ed all'estero. Il rifiuto dell'accertamento da parte dell'interessato comporta la rinuncia al NOS e all'esercizio delle funzioni per le quali esso è richiesto, secondo quanto previsto dall'art. 9, comma 8, della legge.

 

     Art. 26. Richiesta di rilascio

     1. Il procedimento di accertamento finalizzato al rilascio del NOS per una persona fisica ha inizio con la ricezione, da parte dell'autorità competente al rilascio, della richiesta formulata dal soggetto pubblico o privato interessati. Tale richiesta contiene una puntuale indicazione dei motivi per i quali la persona ha necessità di trattare informazioni classificate, del livello di classifica di segretezza e di eventuali qualifiche di sicurezza da accordare.

     2. La richiesta di cui al comma 1 è corredata da copia di un documento di identità in corso di validità della persona da abilitare che non appartenga ad una Amministrazione pubblica, da un "foglio notizie", conforme al modello approvato dall'UCSe, compilato e sottoscritto dall'interessato nonchè da una dichiarazione con la quale lo stesso, ai sensi e per gli effetti dell'art. 9, comma 8, della legge, attesta di essere stato informato della necessità dell'accertamento e di aver espresso il consenso alla sua effettuazione.

 

     Art. 27. Istruttoria

     1. L'UCSe, per l'acquisizione dei necessari elementi di informazione, si avvale delle banche dati cui ha accesso ai sensi dell'art. 13, comma 2, della legge, nonchè della collaborazione dell'Arma dei Carabinieri che, in virtù della capillare presenza sul territorio, costituisce nella specifica attività il principale referente, della Polizia di Stato, del Corpo della Guardia di Finanza, nonchè delle Forze Armate, delle pubbliche amministrazioni e dei soggetti erogatori di servizi di pubblica utilità.

     2. Fatto salvo quanto previsto dall'art. 24, comma 2, lett. a), b), c) e d) per il rilascio dei NOS relativi al personale dell'amministrazione civile del Ministero dell'interno, della Polizia di Stato e del Corpo nazionale dei vigili del fuoco, con qualifica inferiore a Prefetto o dirigente generale, gli elementi informativi necessari sono forniti all'UCSe dal Capo della Segreteria principale di sicurezza del Ministero dell'interno. Per il rilascio dei NOS relativi al personale militare e civile delle Forze armate e del Comando Generale dell'Arma dei Carabinieri avente grado inferiore a Generale di Corpo d'armata o grado o qualifica corrispondente, gli elementi informativi necessari sono forniti all'UCSe, in relazione alla Forza armata di appartenenza, dall'Organo Centrale di Sicurezza. Per il rilascio dei NOS relativi al personale della Guardia di finanza, con grado inferiore a Generale di Corpo d'Armata, gli elementi informativi necessari sono forniti all'UCSe dal Capo della Segreteria principale di sicurezza del Comando generale della Guardia di Finanza. Per le esigenze abilitative dell'AISE e dell'AISI, gli elementi informativi necessari al primo rilascio del NOS sono forniti all'UCSe dall'Agenzia interessata.

     3. Nei casi diversi da quelli indicati al comma 2, gli adempimenti istruttori per il rilascio dei NOS sono curati dall'UCSe.

     4. Le autorità delegate al rilascio del NOS si avvalgono, per l'acquisizione delle informazioni, delle banche dati e delle strutture delle proprie amministrazioni, nonchè del contributo delle Forze di polizia e delle Forze Armate, secondo quanto previsto al comma 5. Qualora, all'esito di tale ricognizione, sia ritenuto opportuno acquisire elementi da altre amministrazioni o da soggetti erogatori di servizi di pubblica utilità, viene interessato l'UCSe per l'eventuale supplemento di istruttoria.

     5. Nel caso di delega ai sensi dell'art. 24, comma 2, il Capo della Segreteria Principale di sicurezza del Ministero dell'interno si avvale della Polizia di Stato nonchè, a fini di integrazione, dei comandi dell'Arma dei Carabinieri e della Guardia di Finanza e delle Forze Armate. L'Organo Centrale di Sicurezza di ciascuna Forza armata si avvale dei comandi rispettivamente dipendenti e dei comandi dell'Arma dei Carabinieri. L'Organo Centrale di Sicurezza del Segretariato Generale della Difesa si avvale dei comandi delle Forze armate e dei comandi dell'Arma dei Carabinieri. L'Organo Centrale di Sicurezza dell'Arma dei Carabinieri si avvale dei comandi dipendenti nonchè, a fini di integrazione, della Polizia di Stato, dei comandi della Guardia di Finanza e delle altre Forze armate. L'Organo Centrale di Sicurezza del Comando generale del Corpo della Guardia di Finanza si avvale dei comandi del Corpo nonchè, a fini di integrazione, dei comandi dell'Arma dei Carabinieri, della Polizia di Stato e delle Forze Armate.

     6. Le autorità che rilasciano i NOS acquisiscono il parere dei direttori dei servizi di informazione per la sicurezza previsto dall'art. 9, comma 2, lettera c), della legge, formulato sulla base degli elementi in loro possesso, entro centoventi giorni dalla data della richiesta. Fatta eccezione per il rilascio dei NOS a livello SEGRETISSIMO, l'inutile decorso del termine è valutato quale assenza di elementi di controindicazione.

     7. Per i NOS di livello SEGRETISSIMO, qualora nel termine di dodici mesi, sia pervenuto almeno un parere favorevole di cui all'art. 9, comma 2, lettera c), della legge, si procede al rilascio del NOS.

     8. I pareri pervenuti oltre i termini di cui al comma 6 sono comunque valutati ai fini del diniego, revoca, sospensione, riduzione di classifica di segretezza e di qualifica di sicurezza internazionale del NOS. L'acquisizione dei pareri da parte dell'UCSe può essere assicurata mediante apposito collegamento telematico con le Agenzie.

     9. Ove necessario per la delicatezza dell'incarico da attribuire o per i riflessi su profili attinenti all'ordine e alla sicurezza pubblica o alla difesa militare, l'UCSe acquisisce i pareri dei Ministri della difesa e dell'interno di cui all'art. 9, comma 2, lettera c), della legge.

     10. Per l'acquisizione di informazioni in sede estera sul conto di cittadini stranieri, cittadini con doppia cittadinanza o cittadini italiani che hanno soggiornato all'estero, è interessato il Ministero degli affari esteri e della cooperazione internazionale oppure, qualora si tratti di Paesi NATO o UE o con i quali sussistano in materia accordi bilaterali, l'autorità nazionale di sicurezza del Paese. Tali informazioni sono acquisite in ogni caso per soggiorni all'estero dell'abilitando superiori ad un anno. A tale adempimento provvede l'UCSe, anche per conto delle autorità delegate al rilascio del NOS ai sensi dell'art. 24. In ogni caso l'UCSe può delegare l'Organo centrale di sicurezza del Ministero degli Affari Esteri e della Cooperazione Internazionale all'acquisizione delle informazioni per il rilascio del NOS ai dipendenti di quel Dicastero, sulla base di apposite intese.

     11. Qualora le informazioni di cui al comma 10, richieste sul conto dell'abilitando e/o dei soggetti ad essi collegati, non pervengano entro centoventi giorni dalla richiesta, si procede al rilascio del NOS all'esito di una complessiva valutazione in ordine all'insussistenza di motivi ostativi. Le informazioni pervenute oltre il termine di centoventi giorni sono comunque valutate ai fini del diniego, revoca, sospensione, riduzione di classifica di segretezza, di qualifica di sicurezza internazionale del NOS. Per il rilascio di NOS di livello SEGRETISSIMO il termine per acquisire le informazioni è di dodici mesi dalla richiesta.

     12. Ferma restando l'acquisizione del modello informativo conforme al modulo approvato dall'UCSe, il complesso degli elementi informativi deve essere comunque fornito entro il termine di centoventi giorni dalla data della richiesta. Fatta eccezione per il rilascio dei NOS a livello SEGRETISSIMO, e fermo restando quanto previsto dal comma 7, l'inutile decorso del termine è valutato quale assenza di elementi di controindicazione. Le informazioni pervenute oltre il termine di centoventi giorni sono comunque valutate ai fini del diniego, revoca, sospensione, riduzione di classifica di segretezza, di qualifica di sicurezza internazionale del NOS.

     13. L'istruttoria per il rilascio del NOS si conclude entro il termine di dodici mesi dal ricevimento della richiesta, prorogabile fino ad un massimo di ulteriori sei mesi nel caso risulti particolarmente complessa.

     14. Qualora vengano a cessare i motivi che avevano determinato la richiesta di rilascio del NOS, il soggetto pubblico o privato richiedente ne dà tempestiva comunicazione all'autorità competente, che interrompe l'istruttoria.

     15. Ai fini del rilascio del NOS si applicano, quando ritenuto necessario ed alle condizioni in esso descritte, le disposizioni di cui all'art. 118-bis del codice di procedura penale.

     16. A decorrere dal dodicesimo mese dall'entrata in vigore del presente Regolamento, l'Organo Nazionale di Sicurezza può rideterminare, riducendoli, i termini relativi al procedimento istruttorio preordinato al rilascio delle abilitazioni personali. A tal fine l'UCSe effettua un monitoraggio dei procedimenti istruiti anche dalle Autorità eventualmente delegate. Del provvedimento di rideterminazione è data comunicazione al Comitato parlamentare per la sicurezza della Repubblica nella relazione semestrale di cui all'art. 33, comma 1, della legge.

 

     Art. 28. Modalità di acquisizione delle informazioni

     1. Ai fini dell'attuazione delle disposizioni contenute nell'art. 27 le informazioni sono acquisite, in funzione del luogo di residenza della persona per la quale è richiesto il rilascio del NOS:

     a) dalla questura competente per territorio;

     b) dal comando provinciale dell'Arma dei Carabinieri ovvero dal Gruppo eventualmente istituito nel suo ambito, competente per territorio;

     c) dal comando provinciale della Guardia di finanza competente per territorio.

     2. La questura, il comando provinciale dell'Arma dei Carabinieri ovvero il Gruppo eventualmente istituito nel suo ambito o il comando provinciale della Guardia di finanza cui è rivolta la richiesta di informazioni, provvede a:

     a) svolgere gli accertamenti sulla base delle notizie esistenti agli atti, o comunque disponibili;

     b) effettuare le interrogazioni delle banche dati disponibili, acquisendo aggiornati elementi conoscitivi in relazione alle segnalazioni rilevate;

     c) acquisire, in relazione alle persone oggetto dell'indagine conoscitiva che abbiano risieduto o domiciliato anche in altre località italiane per periodi superiori a 1 anno, le informazioni d'interesse presso le articolazioni competenti per territorio;

     d) acquisire presso gli uffici giudiziari le informazioni d'interesse riferite a procedimenti definiti o in corso nonchè presso le prefetture le notizie concernenti condotte depenalizzate, che abbiano comunque attinenza con la valutazione di affidabilità del soggetto da abilitare;

     e) verificare l'eventuale sussistenza di fallimenti, pignoramenti ed altre situazioni patrimoniali pertinenti;

     f) verificare l'esistenza di ulteriori notizie utili presso la questura o i corrispondenti comandi delle altre due Forze di polizia;

     g) compilare un "Modello informativo", riepilogativo degli elementi informativi acquisiti, conforme al modello approvato dall'UCSe.

     3. Per l'acquisizione delle informazioni riferite ad un cittadino italiano:

     a) residente all'estero, fatto salvo quanto indicato alla lettera b), è interessata, in relazione all'ultima residenza avuta in Italia, la questura o il comando provinciale dell'Arma dei Carabinieri ovvero il Gruppo territoriale eventualmente istituito nel suo ambito, o il comando provinciale della Guardia di finanza, competente per territorio;

     b) che non abbia mai risieduto in Italia, è competente la questura o il comando provinciale dell'Arma dei Carabinieri di Roma.

     4. All'acquisizione delle informazioni presso i competenti organi di Paesi esteri, di organizzazioni internazionali e dell'Unione europea provvede l'UCSe anche per i procedimenti di rilascio dei NOS da parte dell'autorità delegata ai sensi dell'art. 24. L'UCSe assolve, inoltre, agli obblighi di collaborazione assunti, a condizione di reciprocità, in ambito internazionale e dell'Unione europea.

 

     Art. 29. Decisione

     1. Acquisite le informazioni, l'autorità competente al rilascio:

     a) verifica la completezza ed esaustività degli elementi di conoscenza disponibili;

     b) effettua ulteriori approfondimenti, laddove necessari;

     c) valuta l'affidabilità della persona sulla base delle informazioni assunte e del quadro normativo che regola la materia, anche richiedendo, in casi dubbi, elementi di valutazione al responsabile dell'impiego della persona per la quale è stato richiesto il rilascio del NOS, che, se dirigente e già abilitato almeno per i livelli di classifica di segretezza e qualifica di sicurezza richiesti, compila e sottoscrive una "dichiarazione di affidabilità", conforme al modello approvato dall'UCSe, avente efficacia annuale. Qualora il responsabile dell'impiego non sia dirigente, la "dichiarazione di affidabilità" viene prodotta dal dirigente sovraordinato, già abilitato almeno per i livelli di classifica di segretezza e qualifica di sicurezza richiesti. Per gli operatori economici tale dichiarazione può essere rilasciata soltanto dal legale rappresentante o dal Funzionario alla sicurezza. Allo scadere dell'anno l'autorità competente adotta la definitiva determinazione in merito al rilascio del NOS. In presenza della "dichiarazione di affidabilità", l'autorità competente rilascia un'abilitazione temporanea di durata annuale, con eventuali limitazioni. Per i provvedimenti concernenti il rilascio di NOS qualificati sono osservate, altresì, le disposizioni contenute nei trattati internazionali ratificati dall'Italia, nonchè negli altri atti regolamentari internazionali approvati dall'Italia e nella normativa dell'Unione europea che trattano la specifica materia.

     2. Effettuate le valutazioni di cui al comma 1, l'autorità competente dispone alternativamente:

     a) il rilascio del NOS. Per motivi di cautela possono essere attribuite al NOS limitazioni territoriali, di elevabilità e temporali;

     b) il diniego del NOS;

     c) la sospensione della procedura abilitativa quando sia necessario attendere la definizione di procedimenti in corso.

 

     Art. 30. Notifiche e custodia

     1. Dell'avvenuto rilascio, diniego, sospensione o revoca del NOS, dell'abilitazione temporanea, dei livelli di classifica di segretezza, delle qualifiche di sicurezza internazionali accordati e delle eventuali limitazioni disposte, ovvero della sospensione della procedura abilitativa, è data tempestiva comunicazione al soggetto pubblico o privato richiedente e, nei casi in cui il provvedimento sia stato adottato su delega, anche all'UCSe.

     2. Il NOS è custodito presso l'autorità che ha provveduto al rilascio. Quando al rilascio provvede l'UCSe ne da comunicazione al soggetto pubblico o privato che lo ha richiesto.

     3. I soggetti pubblici e privati tengono un elenco aggiornato dei NOS e delle abilitazioni temporanee concessi al personale dipendente.

 

     Art. 31. Termini di validità del NOS

     1. Il NOS ha la durata di cinque anni per la classifica di segretezza SEGRETISSIMO e di dieci anni per le classifiche di segretezza SEGRETO e RISERVATISSIMO. Sono fatte salve diverse disposizioni contenute nei trattati internazionali ratificati dall'Italia nonchè negli altri atti regolamentari internazionali approvati dall'Italia e nella normativa dell'Unione europea che trattano la specifica materia. Ai fini del calcolo della relativa scadenza si tiene conto della data del "Modello informativo" di cui all'art. 28, comma 2, lettera g).

 

     Art. 32. Abilitazione temporanea

     1. Contestualmente all'avvio della procedura di rilascio del NOS, ove sussistano urgenti e comprovate esigenze di servizio, l'UCSe e le altre autorità competenti previa comunicazione all'UCSe possono rilasciare abilitazioni temporanee della validità massima di sei mesi, prorogabile una sola volta.

     2. La richiesta di rilascio dell'abilitazione temporanea specifica i motivi, la classifica di segretezza ed eventualmente la qualifica di sicurezza necessari ed è corredata di una "dichiarazione di affidabilità" rilasciata dal responsabile dell'impiego e, ove questi non sia dirigente, successivamente convalidata dal dirigente sovraordinato, già abilitato almeno per i livelli di classifica di segretezza e qualifica di sicurezza richiesti per l'abilitazione temporanea.

     3. L'abilitazione temporanea è altresì rilasciata ai soggetti indicati all'art. 43 , comma 1, su richiesta dell'operatore economico. A tali fini, l'operatore economico produce:

     a) dichiarazione dei soggetti interessati su modello approvato dall'UCSe circa le condizioni previste per il diniego, la sospensione o la revoca del NOS;

     b) "dichiarazione di affidabilità" del rappresentante legale o del Funzionario alla sicurezza in favore dei soggetti per i quali si chiede il rilascio dell'abilitazione temporanea.

     4. Per il rilascio dell'abilitazione temporanea le autorità competenti acquisiscono le informazioni necessarie tra quelle rinvenibili agli atti in proprio possesso e consultando le banche dati d'interesse, in primo luogo la banca dati di cui all'art. 8, della legge 1° aprile 1981, n. 121.

 

     Art. 33. Rinnovo del NOS

     1. La richiesta di rinnovo del NOS deve pervenire all'autorità competente con un anticipo di almeno sei mesi rispetto alla scadenza. Si applicano le stesse disposizioni ed è osservata la stessa procedura istruttoria previste per il rilascio.

     2. Nei casi in cui per il NOS scaduto sia stato tempestivamente chiesto il rinnovo, il documento resta valido, sempre che non emergano elementi di controindicazione, fino al rilascio del nuovo.

     3. Quando la richiesta di rinnovo del NOS è inoltrata oltre il termine indicato al comma 1, l'autorità competente, in via eccezionale, può autorizzare la proroga di validità dello stesso a condizione che dai primi accertamenti non siano emersi elementi di controindicazione e, ove ritenuto necessario, venga fornita idonea dichiarazione di affidabilità.

 

     Art. 34. Istruzione sulla sicurezza

     1. Il rilascio del NOS, dell'abilitazione temporanea e l'accesso ad informazioni classificate "RISERVATO" è accompagnato dall'istruzione alla sicurezza a cura del soggetto pubblico o privato che impiega la persona. Se il NOS o l'abilitazione temporanea riportano anche una o più qualifiche di sicurezza, detta istruzione è estesa alle relative disposizioni internazionali o dell'Unione europea.

     2. In caso di affidamento di contratti classificati RISERVATO si osservano le disposizioni di cui al comma 2 dell'art. 38.

     3. L'istruzione alla sicurezza ha ad oggetto il complesso delle norme relative alla protezione delle informazione classificate, a diffusione esclusiva o coperte da segreto di Stato, con particolare riferimento alle disposizioni connesse all'espletamento dell'incarico affidato al soggetto abilitato e alla sicurezza CIS.

 

     Art. 35. Comunicazione di elementi rilevanti per il possesso del NOS

     1. I Funzionari o Ufficiali alla sicurezza o i Funzionari o Ufficiali alla sicurezza designati dei soggetti pubblici e degli operatori economici, ciascuno nell'ambito della propria sfera di competenza, comunicano tempestivamente all'UCSe ed all'autorità che ha provveduto al rilascio del NOS, se diversa dall'UCSe, eventuali elementi informativi suscettibili di influire negativamente sull'affidabilità delle persone abilitate.

     2. Le questure, i comandi dell'Arma dei carabinieri e della Guardia di finanza, già interessati per l'acquisizione di informazioni finalizzate al rilascio del NOS, informano tempestivamente l'UCSe e l'autorità che ha provveduto al rilascio, se diversa dall'UCSe, della sopravvenuta conoscenza di elementi determinativi dell'inaffidabilità della persona abilitata.

     3. I soggetti titolari di NOS, o per quali è in corso l'istruttoria per il relativo rilascio, sono tenuti a segnalare tempestivamente all'amministrazione o all'ente che ne ha chiesto l'abilitazione ogni mutamento nella propria situazione personale o familiare, nonchè ogni altro elemento che potrebbe assumere rilevanza ai fini del possesso del NOS. L'eventuale accertamento, da parte dell'UCSe o dell'autorità competente al rilascio, di omissioni riguardo agli obblighi di informazione viene valutata ai fini della permanenza del peculiare requisito di affidabilità dell'interessato.

 

     Art. 36. Verifiche

     1. Ai sensi e per gli effetti dell'art. 9, comma 6, della legge, l'autorità che ha rilasciato il NOS può, secondo le procedure previste all'art. 24, comma 4, revocarlo, sospenderne la validità o apporvi limitazioni sulla base di segnalazioni e verifiche a campione, anche nei casi di richiesta di Abilitazione Preventiva di cui all'art. 43, dalle quali emergano motivi di inaffidabilità a carico del soggetto interessato.

     2. Le verifiche di cui al comma 1 sono effettuate prioritariamente con riguardo a persone abilitate:

     a) alla trattazione di informazioni classificate SEGRETISSIMO;

     b) alla trattazione di informazioni classificate SEGRETO, se occupano posizioni per le quali hanno normale accesso ad una considerevole quantità di informazioni recanti tale livello di classifica di segretezza ovvero a sistemi di comunicazione o informatici che trattano o contengono informazioni classificate;

     c) alla trattazione di informazioni classificate RISERVATISSIMO o SEGRETO, se rivestono particolari responsabilità nell'ambito degli operatori economici, quali rappresentanti legali, Funzionari alla sicurezza, direttori tecnici, titolari di quote di partecipazione qualificate;

     d) in presenza di elementi di controindicazione, valutati non ostativi in sede di rilascio del NOS.

 

     Art. 37. Criteri per il diniego, la revoca, la sospensione, la limitazione la riduzione di classifica o la dequalifica delle abilitazioni di sicurezza per le persone fisiche

     1. Al verificarsi di situazioni tali da ingenerare dubbi in ordine all'affidabilità della persona, l'abilitazione è sospesa in via cautelare per il tempo strettamente necessario agli accertamenti del caso.

     2. Quando nei confronti della persona interessata emergono elementi, acquisiti o verificati ai sensi dell'art. 27, che influiscono negativamente sulla sua affidabilità in termini di scrupolosa fedeltà alle Istituzioni della Repubblica, alla Costituzione e ai suoi valori, nonchè di rigoroso rispetto del segreto e delle norme finalizzate alla tutela delle informazioni, dei documenti e dei materiali classificati, l'abilitazione è negata, revocata, sospesa, ridotta di livello di segretezza, di qualifica di sicurezza e dequalificata ovvero limitata territorialmente o temporalmente, secondo quanto previsto nei commi successivi.

     3. In relazione alla valutazione degli elementi di fatto che emergano dai precedenti o procedimenti penali e che possano influire sull'affidabilità della persona, è adottato uno dei provvedimenti seguenti:

     a) diniego o revoca delle abilitazioni di sicurezza personali in presenza di una sentenza definitiva di condanna o di sentenza di condanna di primo grado confermata in appello per reati dolosi, o per reati colposi afferenti alla tutela e salvaguardia delle informazioni, dei documenti e dei materiali classificati;

     b) sospensione delle abilitazioni di sicurezza personali o della procedura in corso per il rilascio delle abilitazioni di sicurezza personali in caso di assunzione della qualità di imputato, sottoposizione a taluna delle misure cautelari personali previste dalla legislazione vigente o sentenza di condanna di primo grado per i reati di cui alla lettera a);

     c) sospensione delle abilitazioni di sicurezza personali o della procedura in corso per il rilascio delle abilitazioni di sicurezza personali sulla base di comunicazioni, anche ai sensi dell'art. 118-bis c.p.p., dell'Autorità giudiziaria, in relazione ad attività di indagine per i reati di cui alla lettera a).

     4. In riferimento ai provvedimenti di cui al comma 3, lettera a), la richiesta di rilascio dell'abilitazione può essere riproposta qualora la persona interessata sia stata riabilitata e la riabilitazione abbia estinto le pene accessorie ed ogni altro effetto penale della condanna. L'estinzione del reato ai sensi dell'art. 445 c.p.p., nonchè ai sensi dell'art. 157 c.p., non preclude la valutazione circa la rilevanza dei fatti oggetto dell'imputazione ai fini del mantenimento o del rilascio dell'abilitazione.

     5. Nei casi di cui al comma 3, lettere b) e c), si dà luogo al ripristino della validità del NOS, o alla ripresa della procedura per il rilascio o di rinnovo, in caso di provvedimento di archiviazione, di sentenza di proscioglimento o di sentenza di assoluzione di primo grado confermata in appello.

     6. Ai fini del comma 2 assume altresì specifica rilevanza l'esistenza di elementi di informazione tali da far ritenere o da mettere in evidenza:

     a) che la persona sia interessata ad attività di spionaggio, sabotaggio, collusione, relazione, collaborazione con elementi che perseguono fini o svolgono attività contrarie alla difesa e alla sicurezza dello Stato italiano o degli Stati membri delle organizzazioni internazionali di cui l'Italia è parte;

     b) che il soggetto sia interessato ad attività eversive o di fiancheggiamento nei confronti di persone appartenute, appartenenti o collegate a movimenti, nuclei o gruppi che perseguono fini contrari alle istituzioni democratiche dello Stato, ovvero svolgono propaganda diretta a sovvertire con la violenza l'ordinamento democratico;

     c) che il soggetto intrattenga o abbia intrattenuto rapporti, a qualsiasi titolo, con organizzazioni di tipo mafioso o con altre organizzazioni che perseguono fini criminosi, ovvero sono dedite ad attività contrarie ai fondamentali interessi economici, finanziari e industriali del Paese;

     d) che il soggetto sia affetto da stati psicopatologici ovvero faccia uso di sostanze stupefacenti, abuso di alcolici o sia dipendente da sostanze psicotrope;

     e) situazioni di fatto, pertinenti e non eccedenti le specifiche finalità di tutela perseguite, che possono verosimilmente rendere il soggetto non adeguato alla gestione di informazioni classificate in quanto influenzabile, vulnerabile o possibile destinatario di atti di condizionamento o pressione, tali da influire sulla libertà di determinazione, quali, in via esemplificativa, rilevanti esposizioni debitorie, fallimenti, pignoramenti, precedenti disciplinari per fatti rilevanti ai fini dell'affidabilità, legami di parentela, coniugio, affinità, unione civile di cui alla legge 20 maggio 2016, n. 76 o frequentazione con persone in relazione alle quali sussistono gli elementi di cui ai commi 3 e 6, lett. a), b), c) e d);

     f) gravi violazioni delle norme di sicurezza per la protezione e la tutela delle informazioni classificate o compromissione delle stesse, inclusa la violazione dell'obbligo di cui all'art. 14, comma 1, lettera m)1.

     7. Nei casi di cui alle lettere a), b), c) e d) del comma 6 viene disposto il diniego o la revoca del NOS; nei casi di cui alla lettera e) del comma 6 il diniego o la revoca del NOS o l'attribuzione al NOS di limitazioni; nei casi di cui alla lettera f) del comma 6 il diniego, la revoca, la sospensione del NOS ovvero la riduzione di classifica o la dequalifica, in relazione alle circostanze ed alla gravità della violazione.

     8. I provvedimenti di diniego, revoca e sospensione concernenti le abilitazioni di sicurezza personali sono motivati con il riferimento alle disposizioni di cui al presente articolo.

 

Capo V

TUTELA DELLE INFORMAZIONI CLASSIFICATE E A DIFFUSIONE ESCLUSIVA NEL SETTORE INDUSTRIALE

 

     Art. 38. Norme per la trattazione delle informazioni classificate RISERVATO

     1. Qualora l'operatore economico debba trattare esclusivamente informazioni classificate RISERVATO, il legale rappresentante - o altro soggetto, socio o dipendente dell'operatore economico, designato dal legale rappresentante - è il responsabile della gestione delle informazioni classificate RISERVATO secondo la legge, il presente regolamento e le relative disposizioni applicative. Ai fini dell'esecuzione del contratto il committente accerta che non sussista a carico del responsabile sentenza di condanna definitiva o sentenza di condanna di primo grado confermata in appello per reati afferenti la tutela e la salvaguardia delle informazioni, dei documenti e dei materiali classificati.

     2. L'Organizzazione di sicurezza individuata dall'amministrazione o dell'impresa che affidano il contratto o il sub-contratto fornisce l'istruzione di sicurezza al responsabile, qualora l'operatore economico affidatario non sia abilitato.

     3. Il responsabile di cui al comma 1 è il referente del committente e dell'UCSe per la trattazione delle informazioni classificate RISERVATO.

     4. Il responsabile di cui al comma 1 assicura che l'accesso alle informazioni RISERVATO sia consentito esclusivamente al personale che abbia necessità di conoscere e sia stato istruito sulle responsabilità e sulle conseguenze penali di una divulgazione non autorizzata delle informazioni classificate.

     5. Per la gestione e la custodia delle informazioni classificate RISERVATO la sede dell'operatore economico è dotata di apposita area controllata, come previsto dall'art. 72, nell'ambito della quale le informazioni classificate sono conservate secondo modalità che non consentano l'accesso non autorizzato.

     6. La trasmissione di informazioni classificate RISERVATO non è consentita con sistemi elettrici o elettronici non autorizzati dall'UCSe; è consentita la trasmissione postale che consenta la tracciabilità, ovvero mediante vettori commerciali o trasporto a mano, secondo le disposizioni applicative del presente regolamento.

     7. In caso di violazione o compromissione delle informazioni classificate RISERVATO, il responsabile di cui al comma 1 procede ai sensi delle vigenti disposizioni, comunicando altresì l'evento al committente ed all'UCSe ai fini degli adempimenti previsti dalle vigenti disposizioni.

     8. Le stazioni appaltanti e i committenti comunicano all'UCSe, per il tramite delle rispettive organizzazioni di sicurezza, gli operatori economici risultati aggiudicatari di contratti recanti classifica RISERVATO. Il sub-appalto o la sub-commessa autorizzati, classificati RISERVATO, sono comunicati all'UCSe, secondo il modello approvato, dal soggetto responsabile ai sensi del comma 1 dell'operatore economico subappaltante.

     9. La corretta gestione e custodia di informazioni classificate RISERVATO è soggetta ai poteri di vigilanza degli organi di sicurezza individuati dalle Amministrazioni che affidano i contratti e delle imprese committenti nonchè ai poteri ispettivi dell'UCSe.

 

     Art. 39. Trattazione delle informazioni classificate RISERVATO mediante sistemi informatici nel settore industriale

     1. Per la trattazione delle informazioni classificate RISERVATO mediante sistemi informatici, l'operatore economico osserva le regole di sicurezza di cui all'art. 66, comma 2 del presente regolamento. L'operatore economico trasmette all'UCSe e all'amministrazione appaltante o all'impresa committente un'autocertificazione attestante la disponibilità di, una postazione informatica non connessa a reti fisse o mobili, ovvero con le caratteristiche stabilite nelle disposizioni applicative del presente regolamento, da utilizzare per la specifica procedura di affidamento o esecuzione contrattuale.

     2. Ai fini dell'esecuzione del contratto il legale rappresentante - o altro soggetto, socio o dipendente dell'operatore economico, designato dal legale rappresentante - assume la funzione di "amministratore di sistema".

     3. L'amministratore di sistema assicura l'attuazione delle regole di sicurezza di cui al comma 1 ed è responsabile degli aspetti tecnici di sicurezza del sistema destinato a trattare informazioni classificate RISERVATO.

 

     Art. 40. Attività industriali di rilievo strategico (NOSIS)

     1. Agli operatori economici la cui attività, per oggetto, tipologia o caratteristiche, assume rilevanza strategica per la protezione degli interessi politici, militari, economici, scientifici e industriali nazionali, è rilasciato, a richiesta dell'operatore economico o d'ufficio, anche sulla base di una istanza formulata dall'Amministrazione pubblica competente per materia, il Nulla Osta di Sicurezza Industriale Strategico (NOSIS), tenuto conto, altresì, di quanto disposto all'art. 3 del D.Lgs. 11 aprile 2011, n. 61. Rientrano in tale ambito, in particolare:

     a) le attività volte ad assicurare la difesa e la sicurezza dello Stato;

     b) le attività volte alla produzione o allo sviluppo di tecnologie suscettibili di impiego civile/militare;

     c) le attività connesse alla gestione delle infrastrutture critiche anche informatiche e di interesse europeo;

     d) la gestione di reti, di infrastrutture e di sistemi di ricetrasmissione ed elaborazione di segnali e/o comunicazioni;

     e) la gestione di reti e infrastrutture stradali, ferroviarie, marittime ed aeree;

     f) la gestione di reti e sistemi di produzione, distribuzione e stoccaggio di energia ed altre infrastrutture critiche;

     g) la gestione di attività finanziarie, creditizie ed assicurative di rilevanza nazionale.

     2. Il NOSIS abilita gli operatori economici di cui al comma 1 alla trattazione di informazioni classificate, anche a diffusione esclusiva, e alla partecipazione a gare d'appalto e procedure finalizzate all'affidamento di contratti classificati e qualificati NATO e UE e alla relativa esecuzione in caso di aggiudicazione.

     3. Il NOSIS è rilasciato all'esito di accertamenti diretti ad escludere dalla conoscibilità di notizie, documenti, atti o cose classificati e a diffusione esclusiva i soggetti che non diano sicuro affidamento di scrupolosa fedeltà alle istituzioni della Repubblica, alla Costituzione e ai suoi valori, nonchè di rigoroso rispetto del segreto. Per il rilascio del NOSIS si applicano le disposizioni dell'art. 44 e dell'art. 45 , per quanto compatibili. Ai fini del rilascio del NOSIS l'operatore economico deve dotarsi di un'area riservata con le caratteristiche di cui al Capo VIII, di omologazione CIS e, ove necessario, COMSEC, nonchè delle certificazioni che saranno, a regime, rilasciate ai sensi dell'art. 11, comma 2, del Decreto del Presidente del Consiglio dei ministri del 17 febbraio 2017, "Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali".

     4. L'istruttoria per il rilascio del NOSIS si conclude nel termine di dodici mesi dalla ricezione della richiesta da parte di UCSe, prorogabile fino ad un massimo di ulteriori sei mesi nel caso di particolare complessità.

     5. Il NOSIS è rilasciato di norma a livello SEGRETO, o qualora ne ricorrano le condizioni, a livello superiore e con qualifica NATO e UE.

     6. La durata del NOSIS è stabilita in relazione al permanere delle attività di rilievo strategico, fatte salve le periodiche verifiche, anche attraverso le attività ispettive, finalizzate ad accertare il mantenimento dei requisiti abilitativi.

     7. Qualora a carico di una società munita di NOSIS ovvero dei soggetti indicati nell'art. 47, commi 1-bis, lett. a) e 3, lett. b), e art. 48, comma 1, lettera c), emerga una o più delle cause di sospensione, revoca, limitazione, previste dagli articoli 37, 47 e 48, l'UCSe avvia un'istruttoria finalizzata ad accertare se l'organizzazione di sicurezza della società mantiene caratteristiche adeguate alla salvaguardia delle informazioni classificate e a diffusione esclusiva, costitutive del patrimonio strategico di interesse nazionale. A tal fine l'UCSe, previo accertamento, anche di carattere ispettivo, e acquisizione di notizie e pareri dalle amministrazioni pubbliche e private competenti e, ove necessario, dall'Autorità Giudiziaria ai sensi dell'art. 118 bis c.p.p., può indicare prescrizioni e condizioni, assegnando un termine per l'adempimento.

     8. Qualora dall'istruttoria condotta emergano, anche per accertata inadempienza delle prescrizioni e condizioni assegnate, elementi di fatto sull'inadeguatezza dell'operatore economico a salvaguardare le informazioni classificate e a diffusione esclusiva, costitutive del patrimonio strategico di interesse nazionale, il Direttore generale del DIS-Organo nazionale di sicurezza formula indirizzi all'UCSe per la limitazione, sospensione e, in casi eccezionali, a tutela degli interessi nazionali, revoca del NOSIS.

     9. Dell'avvio del procedimento di cui ai commi 7 e 8 e dei relativi esiti, il Direttore generale del DIS - Organo nazionale di sicurezza informa l'Autorità nazionale per la sicurezza

 

     Art. 41. Informazioni a diffusione esclusiva

     1. Nell'ambito dei settori di cui all'art. 40, l'autorità competente, individuata ai sensi dell'art. 3 del decreto del Presidente della Repubblica 19 febbraio 2014, n. 35 e dell'art. 3 del decreto del Presidente della Repubblica 25 marzo 2014, n. 86, definisce le informazioni e i documenti, ovvero le categorie di informazioni e documenti, su cui apporre il vincolo di diffusione esclusiva di cui all'art. 1, lettera v), anche per il tramite di apposita delega conferita all'operatore economico.

     2. Qualora alle informazioni coperte dal vincolo di cui al comma 1 sia stata attribuita una classifica, le misure di tutela applicabili, ulteriori rispetto alla limitazione della diffusione, sono quelle corrispondenti al relativo livello di classifica, così come stabilite nelle vigenti disposizioni in materia.

     3. Le disposizioni per la gestione e la definizione delle misure di salvaguardia e di tutela delle informazioni coperte esclusivamente dal vincolo di cui al comma 1 sono fissate con direttive applicative emanate dall'Organo nazionale di sicurezza, secondo criteri che tengano conto delle esigenze di sicurezza, anche in ragione degli ambiti territoriali e degli assetti proprietari nei quali l'operatore economico si trova ad agire.

 

     Art. 42. Abilitazioni di sicurezza per gli operatori economici

     1. Fermo restando quanto previsto dall'art. 40, agli operatori economici è richiesta rispettivamente l'Abilitazione Preventiva (AP), per partecipare a gare d'appalto o procedure classificate per l'affidamento di contratti classificati RISERVATISSIMO o SEGRETO ed il NOSI per partecipare a gare o a procedure classificate per l'affidamento di contratti classificati superiori a SEGRETO e per eseguire lavori, fornire beni e servizi, realizzare opere, studi e progettazioni con classifica superiore a RISERVATO.

     2. Le abilitazioni industriali e le abilitazioni personali sono rilasciate altresì ad operatori economici in relazione alla partecipazione a procedure per l'affidamento di contratti con la NATO, la UE, altre organizzazioni internazionali ovvero con Paesi esteri che, secondo i rispettivi ordinamenti, richiedano il possesso delle abilitazioni di sicurezza industriali e/o personali. A tali fini possono essere rilasciate abilitazioni valide limitatamente alla partecipazione alla specifica procedura di gara o affidamento e all'esecuzione dello specifico contratto, in caso di aggiudicazione o affidamento.

     3. Durante lo svolgimento delle procedure di gara o di affidamento dell'esecuzione di lavori o di fornitura di beni e di servizi, la circolazione di informazioni classificate è limitata a quanto strettamente necessario per l'espletamento delle fasi concorsuali.

     3-bis. Ai fini degli adempimenti connessi al rilascio delle abilitazioni di sicurezza, le stazioni appaltanti, quando indicono una gara o una procedura di affidamento che comporti l'accesso ad informazioni con classifica RISERVATISSIMO o superiore, per il tramite dei rispettivi organi centrali di sicurezza ne danno tempestiva notizia all'UCSe, allegando il provvedimento motivato di segretazione, registrato dalla Corte dei conti, di cui all'art. 162, comma 2, del D.Lgs. 18 aprile 2016, n. 50. Le stazioni appaltanti comunicano altresì, al termine della fase di aggiudicazione, i nominativi degli operatori economici risultati aggiudicatari.

 

     Art. 43. Abilitazione Preventiva

     1. Il rappresentante legale dell'operatore economico, in possesso della cittadinanza italiana, che intenda partecipare a gare o a procedure classificate per l'affidamento di contratti classificati RISERVATISSIMO o SEGRETO, ovvero qualificati, relativi a lavori o a forniture di beni e servizi chiede all'UCSe il rilascio dell'Abilitazione Preventiva (AP), informandone l'ente appaltante. Chiede inoltre, unitamente alla richiesta di rilascio dell'AP, il rilascio del NOS e dell'Abilitazione temporanea per sè e per i soggetti interessati alla trattazione di informazioni classificate nell'ambito della procedura concorsuale, ove già non in possesso.

     2. Per ottenere il rilascio dell'Abilitazione Preventiva (AP), l'operatore economico deve produrre:

     a) richiesta su modello approvato dall'UCSe che include:

     1. dichiarazione circa l'assenza delle condizioni ostative di cui all'art. 47, comma 1, lett. a) e b);

     2. dichiarazione con la quale si impegna, in caso di aggiudicazione o affidamento, a costituire un'area riservata con le caratteristiche indicate al Capo VIII, idonea a soddisfare le esigenze connesse all'esecuzione contrattuale;

     3. dichiarazione con la quale si impegna, in caso di aggiudicazione o affidamento, a chiedere il rilascio delle omologazioni COMSEC e CIS secondo le prescrizioni previste, rispettivamente, ai Capi VI e VII;

     b) copia del bando di gara o di altro atto di indizione della procedura di affidamento per la quale si chiede l'abilitazione, dal quale risulti la classificazione superiore a RISERVATO ed il relativo livello e qualifica;

     c) autocertificazione sostitutiva della comunicazione antimafia di cui all'art. 89 del D.Lgs 159/2011.

     3. Al fine di cui al comma 2 l'UCSe acquisisce secondo le vigenti disposizioni e valuta:

     a) il certificato, in corso di validità, del casellario giudiziale e dei carichi pendenti di tutte le persone legalmente autorizzate a rappresentare ed impegnare l'impresa e di quelle incaricate di trattare le informazioni classificate;

     b) il certificato integrale, in corso di validità, di iscrizione al registro delle imprese, rilasciato dalla competente camera di commercio.

     4. Qualora l'operatore economico non disponga di un'area riservata di II classe, la trattazione di informazioni classificate RISERVATISSIMO o SEGRETO potrà svolgersi esclusivamente presso un'area riservata del committente con le caratteristiche di cui al Capo VIII. Fermo restando che la trattazione di informazioni classificate RISERVATISSIMO o SEGRETO con sistemi informatici è consentita all'operatore economico che disponga in uso esclusivo di un CIS omologato dall'UCSe, l'operatore economico che chiede il rilascio di AP può richiedere di utilizzare un sistema informatico omologato del committente, purchè sia precluso l'accesso alle informazioni classificate del committente diverse da quelle relative alla specifica gara o procedura di affidamento.

     5. L'abilitazione preventiva ha validità di sei mesi dalla data del rilascio, prorogabili, in ragione del protrarsi delle procedure di gara o di affidamento, per un periodo massimo di uguale durata.

     6. [Soppresso].

     7. L'istanza di rilascio dell'abilitazione preventiva priva della documentazione di cui al comma 2, è irricevibile e ne viene data comunicazione all'operatore economico interessato.

     8. L'operatore economico all'atto dell'aggiudicazione dei lavori, della fornitura o del servizio classificati RISERVATISSIMO o SEGRETO, per il tramite della stazione appaltante, chiede tempestivamente il rilascio del NOSI e delle relative omologazioni CIS e, ove necessario, COMSEC.

 

     Art. 44. Nulla Osta di Sicurezza Industriale

     1. Il NOSI è richiesto per la partecipazione alle gare d'appalto e alle altre procedure classificate finalizzate all'affidamento di contratti classificati di livello superiore a SEGRETO, anche qualificati. Il NOSI è richiesto altresì, anche in esito a subappalto, per l'esecuzione di lavori, la fornitura di beni e servizi, la realizzazione di opere, studi e progettazioni con classifica superiore a RISERVATO ovvero qualificati.

     Il NOSI e le abilitazioni personali, inoltre, sono rilasciati ad operatori economici per l'esecuzione di contratti con il DIS, l'AISE e l'AISI, disciplinati dal regolamento di cui all'art. 29, comma 4 della legge per i quali siano state dichiarate dall'organismo competente particolari esigenze di tutela della sicurezza tali da richiedere comunque il possesso delle abilitazioni di sicurezza personali ed industriali. Per tali contratti si applicano altresì le disposizioni di cui all'art. 45, comma 8.

     2. Presupposto per il rilascio del NOSI è che il legale rappresentante, il Funzionario alla sicurezza e, ove necessario, il direttore tecnico e altro personale siano in possesso di NOS.

     3. Per il rilascio del NOSI, ai fini della partecipazione a gare d'appalto o alle altre procedure finalizzate all'affidamento di contratti classificati di livello superiore a SEGRETO, nonchè ai fini dell'esecuzione di contratti relativi a lavori o forniture di beni e servizi classificati RISERVATISSIMO o superiore, l'operatore economico deve dotarsi di un'area riservata con le caratteristiche indicate al Capo VIII, idonea a soddisfare le esigenze connesse all'esecuzione contrattuale.

     4. [Soppresso].

     5. Qualora l'esecuzione del contratto e tutte le attività ad essa connesse implichino la trattazione di informazioni con classifica RISERVATISSIMO o superiore anche con sistemi COMSEC e CIS, l'operatore economico deve dotarsi, per poter dar corso all'esecuzione ed alle predette correlate attività, di omologazioni COMSEC e CIS secondo le prescrizioni previste, rispettivamente, ai Capi VI e VII.

 

     Art. 44 bis. Subappalto classificato

     1. In caso di subappalto che rechi classifica superiore a RISERVATO, il subcommittente comunica all'UCSe, tramite apposito modello, gli operatori economici affidatari della subcommessa classificata e dichiara il rilascio dell'autorizzazione a subcommettere da parte della stazione appaltante, che trasmette all'UCSe la documentazione antimafia di cui all'art. 84 del decreto legislativo 6 settembre 2011, n. 159.

 

     Art. 45. Istruttoria per il rilascio del NOSI

     1. Il NOSI è rilasciato all'esito di accertamenti diretti ad escludere dalla conoscibilità di notizie, documenti, atti o cose classificati gli operatori economici che non diano sicuro affidamento di scrupolosa fedeltà alle istituzioni della Repubblica, alla Costituzione e ai suoi valori, nonchè di rigoroso rispetto del segreto.

     2. Per ottenere il rilascio del NOSI, il legale rappresentante in possesso della cittadinanza italiana deve produrre, qualora non già presentato in sede di richiesta dell'AP:

     a) modello di domanda di rilascio del NOSI e relativo foglio notizie;

     b) copia della lettera d'invito o di altro atto di indizione della procedura di affidamento per la quale viene richiesta l'abilitazione, nonchè prova dell'avvenuta aggiudicazione;

     c) dichiarazione circa l'assenza delle condizioni ostative di cui all'art. 47, comma 1, lett. a) e b);

     d) richiesta contestuale di rilascio del NOS del legale rappresentante e di tutto il personale, qualora non già muniti, da impiegare nella trattazione delle informazioni aventi un livello di classifica superiore a RISERVATO;

     e) documentazione attestante l'identità dei titolari effettivi dell'operatore economico ai sensi del decreto legislativo 21 novembre 2007, n. 231.

     3. Nel caso di partecipazione a gare o procedure per l'affidamento di contratti con classifica di livello superiore a SEGRETO, per ottenere il rilascio del NOSI, l'operatore economico deve produrre all'UCSe, tramite l'amministrazione appaltante copia della lettera di invito, nonchè l'ulteriore documentazione. di cui al comma 2.

     4. Ai fini del rilascio del NOSI, l'UCSe acquisisce, secondo le vigenti disposizioni, e valuta la documentazione di cui al comma 3 dell'art. 43.

     5. Sulla base di verifiche e segnalazioni di cui all'art. 36, l'UCSe può richiedere la documentazione di cui al comma 2, lettera e), anche in relazione ad abilitazioni di sicurezza industriali già rilasciate alla data di entrata in vigore del presente regolamento. L'operatore economico destinatario di tale richiesta fornisce tempestiva comunicazione circa ogni modifica relativa ai titolari effettivi.

     6. Per il rilascio del NOSI, l'UCSe acquisisce elementi informativi presso le articolazioni di Forza armata, le Forze di polizia, le Prefetture-Uffici territoriali del Governo, le pubbliche amministrazioni e, ove necessario, i soggetti erogatori di servizi di pubblica utilità, i Servizi di informazione e sicurezza ed in esito alle interrogazioni delle banche dati di cui all'art. 13 della legge 124/2007.

     6-bis. Per il rilascio del NOSI la stazione appaltante trasmette all'UCSe la documentazione antimafia di cui all'art. 84 del decreto legislativo 6 settembre 2011, n. 159 e successive modificazioni, anche mediante le modalità di cui all'articolo 1, comma 52, della legge 6 novembre 2012, n. 190;

     6-ter. L'UCSe accerta l'esistenza e l'idoneità, presso l'operatore economico che partecipa a procedure per l'affidamento di contratti di livello superiore a SEGRETO o che risulta affidatario di contratti per l'esecuzione di lavori o di forniture di beni e servizi classificati RISERVATISSIMO o SEGRETO, di aree controllate e di aree riservate con le caratteristiche indicate al Capo VIII. I relativi accertamenti sono affidati agli organi di sicurezza presso le Forze armate. Per l'acquisizione dei suddetti elementi la Forza armata si avvale dei dipendenti Nuclei Sicurezza.

     7. Il NOSI è rilasciato entro il termine di sei mesi dalla data in cui la richiesta dell'operatore economico è pervenuta all'UCSe. Qualora per esigenze istruttorie sorga la necessità di acquisire ulteriori informazioni, i termini sono sospesi fino alla ricezione degli elementi richiesti.

     8. Qualora la stazione appaltante lo ritenga necessario, autorizza l'operatore economico in possesso di Abilitazione Preventiva a dare inizio all'esecuzione prima del rilascio del NOSI. In tal caso, qualora necessario, l'operatore economico chiede la proroga dell'AP, ferma restando l'impossibilità di proseguire nell'esecuzione in caso di mancato rilascio del NOSI. Dell'anticipata esecuzione la stazione appaltante informa l'UCSe e l'organo di sicurezza competente.

     9. Qualora l'anticipata esecuzione del contratto implichi la trattazione di informazioni classificate di livello RISERVATISSIMO o superiore mediante sistemi COMSEC e CIS, si applica quanto disposto all'art. 44, comma 5.

 

     Art. 46. Termini di validità del NOSI

     1. Il NOSI ha la durata di cinque anni per la classifica di segretezza SEGRETISSIMO e di dieci anni per le classifiche di segretezza SEGRETO e RISERVATISSIMO.

 

     Art. 47. Criteri per il diniego e la revoca o la limitazione delle abilitazioni industriali

     1. Vengono adottati il diniego o la revoca dell'AP e del NOSI nel caso in cui:

     a) all'operatore economico sono state applicate le sanzioni interdittive di cui all'art. 9, comma 2, del decreto legislativo 8 giugno 2001, n. 231, lettere a), b) limitatamente alla revoca e c), ed iscritte nell'anagrafe delle sanzioni amministrative di cui agli articoli 9 e 12 del decreto del Presidente della Repubblica 14 novembre 2002, n. 313;

     b) l'operatore economico sia incorso in una o più delle cause di esclusione dalla partecipazione alle procedure di affidamento delle concessioni e degli appalti di lavori, forniture e servizi, anche nella qualità di affidatario di subappalti, nonchè dalla stipula dei relativi contratti, previste dall'art. 80 del D.lgs. 18 aprile 2016, n. 50;

     c) sul conto delle persone che rivestono funzione di amministrazione o di direzione o che esercitano, anche di fatto, in ragione di situazioni di carattere personale ivi incluse, tra l'altro, rapporti di affinità o parentela, la gestione o il controllo dell'impresa emerga taluno degli elementi di cui all'art. 94, comma 1, del decreto legislativo 6 settembre 2011, n. 159;

     d) per le società di capitali, sul conto dei titolari, diretti o indiretti, anche stranieri, di quote di partecipazione che, in rapporto al capitale sociale dell'impresa, avuto anche riguardo alle circostanze di fatto e di diritto, conferiscano la possibilità di esercitare sull'impresa stessa un'influenza notevole, ancorchè non dominante, emerga taluno degli elementi di cui all'art. 94, comma 1, del decreto legislativo 6 settembre 2011, n. 159.

     1-bis. Possono essere altresì adottati il diniego o la revoca dell'AP e del NOSI:

     a) nel caso in cui a carico del titolare della ditta individuale, dei soci della società di persone, del legale rappresentante o del direttore tecnico della società di capitali sussista taluna delle cause di diniego o revoca dell'AT o del NOS;

     b) qualora sul conto delle persone che rivestono funzione di amministrazione o di direzione o che esercitano, anche di fatto, in ragione di situazioni di carattere personale ivi incluse, tra l'altro, rapporti di affinità o parentela, la gestione o il controllo dell'impresa emerga taluno degli elementi di cui all'art. 37;

     c) per le società di capitali, quando sul conto dei titolari, diretti o indiretti, anche stranieri, di quote di partecipazione che, in rapporto al capitale sociale dell'impresa, avuto anche riguardo alle circostanze di fatto e di diritto, conferiscano la possibilità di esercitare sull'impresa stessa un'influenza notevole, ancorchè non dominante, emerga taluno degli elementi indicati all'art. 37.

     2. Viene altresì adottato il diniego o la revoca dell'AP qualora sia accertata, in difformità da quanto dichiarato nell'istanza di rilascio e ferme restando le responsabilità civili e penali in caso di dichiarazioni mendaci, la sussistenza di alcuna delle condizioni previste dall'articolo 37 a carico del legale rappresentante.

     3. Il provvedimento di diniego o revoca o di limitazione, con riferimento al livello della classifica di segretezza, dell'AP e del NOSI è altresì adottato quando, esperita la procedura di cui all'art. 48, comma 5 , l'organizzazione di sicurezza dell'operatore economico presenta profili di perdurante inadeguatezza in ordine alla protezione e alla tutela delle informazioni, dei documenti e dei materiali classificati, a causa di:

     a) carenza delle misure fisiche di sicurezza o inadeguata attuazione delle procedure di sicurezza prescritte;

     b) carenza o insufficienza di figure rappresentative e professionali nei confronti delle quali sussistono le condizioni per il rilascio dell'abilitazione personale, in relazione alla necessità di garantire la protezione e la tutela delle attività classificate da espletare o in atto;

     c) carenza delle misure di sicurezza tecnica (CIS e COMSEC) o inadeguata attuazione delle procedure di sicurezza prescritte anche in materia di sicurezza cibernetica.

     4. Il diniego o la revoca ai sensi del comma1, lett. c) e d), non sono disposti qualora nei confronti dell'operatore economico sia adottata la misura dell'amministrazione giudiziaria di cui all'art. 34 del decreto legislativo 159/2011, purchè l'organizzazione di sicurezza sia idonea alla gestione di informazioni e documenti classificati.

     5. Qualora, pur in presenza di procedure concorsuali, l'operatore economico sia in grado, ai sensi della normativa vigente, di proseguire il rapporto contrattuale con la stazione appaltante, l'abilitazione di sicurezza industriale non è sottoposta a misure di revoca o diniego, semprechè l'organizzazione di sicurezza sia idonea alla gestione di informazioni e documenti classificati.

 

     Art. 48. Criteri per la sospensione delle abilitazioni industriali

     1. Viene disposta la sospensione dell'AP e del NOSI ovvero della procedura per il rilascio, nei casi in cui:

     a) all'operatore economico vengano applicate le sanzioni previste dall'art. 9 del decreto legislativo 8 giugno 2001, n. 231, comma 1, lettere a) e c), e comma 2 lettera b) limitatamente alla sospensione ed iscritte nell'anagrafe delle sanzioni amministrative di cui agli articoli 9 e 12 del decreto del Presidente della Repubblica 14 novembre 2002, n. 313;

     b) sopravvenga dopo il rilascio, a carico dei soggetti di cui al comma 1-bis dell'art. 47, taluna delle cause di cui all'art. 37 che evidenzi elementi di fatto tali da far ritenere che l'operatore non dia sicuro affidamento ai fini della protezione e della tutela delle informazioni classificate. Resta fermo in questo caso quanto disposto dall'art. 47, comma 1-bis, nei casi di particolare rilevanza;

     c) la sospensione o la revoca rispettivamente dell'AT o del NOS a persone non appartenenti all'organizzazione di sicurezza sia suscettibile di incidere, per il ruolo ricoperto da dette persone, sull'adeguatezza complessiva dell'operatore economico alla trattazione delle informazioni classificate;

     d) anche a seguito di verifiche di sicurezza, emergano le carenze o insufficienze previste dall'art. 47, comma 3, lett. a), b), c).

     2. La sospensione del NOSI e dell'AP rilasciata ai sensi del decreto del Presidente del Consiglio dei ministri 3 febbraio 2006, nelle ipotesi di cui al comma 1, lett. a) è disposta per la durata di 6 mesi, ad eccezione del caso in cui sia irrogata la sanzione prevista dall'art. 9 del decreto legislativo 8 giugno 2001, n. 231, comma 2, lettera b), per il quale la sospensione opera nei limiti previsti dall'art. 13 comma 2 del decreto legislativo 8 giugno 2001, n. 231.

     3. La sospensione del NOSI e dell'AP, disposta nei casi indicati dal comma 1, lett. b), è efficace per un periodo non superiore a 6 mesi, nell'ambito del quale l'UCSe può impartire prescrizioni, soggette a successive verifiche, cui l'operatore economico dovrà adeguarsi, a pena di revoca dell'abilitazione di sicurezza industriale. Ai fini del presente comma, l'UCSe può prescrivere all'operatore economico:

     a) la sostituzione dei soggetti la cui inidoneità al possesso dell'abilitazione personale ha causato la sospensione dell'abilitazione di sicurezza industriale;

     b) la garanzia che il destinatario di misura restrittiva o revoca del NOS sia soggetto ad idonee misure atte ad estrometterlo dal circuito informativo classificato;

     c) l'adozione di modelli organizzativi e di gestione previsti dal decreto legislativo 8 giugno 2001, n. 231, così come formulati a seguito del vaglio di cui all'art. 6, comma 3, del citato decreto legislativo 8 giugno 2001, n. 231;

     d) di dotarsi di clausola statutaria che consenta ad un legale rappresentante, eventualmente non dotato di rappresentanza generale, di subentrare nelle competenze del legale rappresentante al quale sia stata applicata misura restrittiva o di revoca dell'abilitazione personale, limitatamente alle attività classificate da quest'ultimo gestite;

     e) il ripristino delle condizioni di sicurezza attraverso ulteriori misure.

     4. Nelle ipotesi di cui al comma 1, lett. c), la sospensione del NOSI e dell'AP rilasciata ai sensi del decreto del Presidente del Consiglio dei ministri 3 febbraio 2006 può essere disposta per un periodo massimo di 6 mesi, prorogabile fini ad ulteriori 6 mesi. Decorsi tali termini è disposta la cessazione della sospensione, nel caso siano reintegrate le condizioni di sicurezza, ovvero, ove ciò non avvenga, la revoca dell'abilitazione di sicurezza industriale. Qualora, pur in presenza delle condizioni di cui al comma 1, lett. c), sia verificata da parte dell'UCSe la sussistenza di livelli minimi di sicurezza, il provvedimento di sospensione non viene adottato, purchè l'operatore economico ripristini le condizioni di sicurezza con le modalità ed entro i tempi indicati dall'UCSe.

     5. Nelle ipotesi di cui al comma 1, lett. d), l'UCSe, nel provvedimento di sospensione, indica all'operatore economico le misure da adottare per il ripristino delle condizioni di sicurezza fissando un termine per realizzarle. Qualora tali misure non vengano adottate nei termini stabiliti dall'UCSe, è disposta la revoca ai sensi del comma 3 dell'art. 47. Ove pur in presenza delle condizioni di cui al comma 1, lett. d), sia verificata da parte dell'UCSe la sussistenza di livelli minimi di sicurezza, il provvedimento di sospensione non viene adottato, purchè l'operatore economico ripristini le condizioni di sicurezza con le modalità ed entro i tempi indicati dall'UCSe.

     6. Qualora l'operatore economico sia sottoposto alle misure previste dall'art. 32 del decreto legge 24 giugno 2014, n. 90, convertito, con modificazioni, dalla legge 11 agosto 2014, n. 114, aventi ad oggetto le commesse classificate in corso di esecuzione, la sospensione del NOSI non opera limitatamente a queste ultime, semprechè l'organizzazione di sicurezza sia idonea alla gestione di informazioni e documenti classificati.

     7. Qualora, pur in presenza di procedure concorsuali, l'operatore economico sia in grado, ai sensi della normativa vigente, di proseguire il rapporto contrattuale con la stazione appaltante, l'abilitazione di sicurezza industriale non è sottoposta a misure sospensive, semprechè l'organizzazione di sicurezza sia idonea alla gestione di informazioni e documenti classificati.

     8. In caso di legale rappresentanza plurima, le disposizioni di cui al comma 1, lett. b), non si applicano qualora vi sia altro rappresentante legale dell'operatore economico dotato di NOS. Quest'ultimo subentra, qualora consentito dalle disposizioni statutarie, nelle competenze del legale rappresentante al quale sia stata applicata misura di sospensione o di revoca del NOS, relativamente alle attività classificate.

 

     Art. 49. Appendice riservata

     1. Nell'atto contrattuale che prevede la trattazione di informazioni classificate, le clausole di sicurezza finalizzate alla protezione e alla tutela delle informazioni classificate, nonchè la lista che determina, per ciascuna informazione, il relativo livello di classifica di segretezza e l'eventuale qualifica di sicurezza, sono contenute in un'apposita appendice classificata, non soggetta a pubblicità e divulgazione, denominata "Appendice riservata".

 

     Art. 50. Motivazione dei provvedimenti in tema di abilitazioni di sicurezza industriali

     1. Il diniego, la revoca, la sospensione, le limitazioni delle abilitazioni di sicurezza per gli operatori economici (AP, NOSI e NOSIS) sono motivati con il richiamo alle disposizioni degli articoli 37, 47 e 48.

 

     Art. 51. Efficacia dei NOSC

     1. I NOSC rilasciati ai sensi del decreto del Presidente del Consiglio dei ministri 3 febbraio 2006, in corso di validità alla data di entrata in vigore del decreto del Presidente del Consiglio dei ministri 22 luglio 2011, conservano efficacia sino alla loro scadenza. Qualora, prima della scadenza del NOSC, sia presentata richiesta di NOSIS o di NOSI ai sensi degli articoli, rispettivamente, 40 e 44, e non emergano le controindicazioni di cui all'art. 47 e 48, il NOSC si intende prorogato fino al rilascio dell'abilitazione richiesta.

 

     Art. 52. Conservazione della documentazione relativa alle abilitazioni di sicurezza

     1. La documentazione relativa alle abilitazioni di sicurezza è conservata per un periodo di tempo non superiore a quello necessario agli scopi per i quali essa è stata raccolta e comunque per un periodo non superiore a dieci anni dalla scadenza dell'abilitazione stessa.

 

Capo VI

SICUREZZA DELLE COMUNICAZIONI

 

     Art. 53. Materiali e documentazione COMSEC - Generalità

     1. Per materiali e documentazione COMSEC si intendono gli algoritmi e le logiche crittografiche, le apparecchiature ed i sistemi crittografici, le chiavi di cifratura e le relative liste, nonchè le pubblicazioni, atti a garantire la sicurezza delle informazioni classificate o coperte da segreto di Stato e trasmesse con mezzi elettrici o elettronici.

     2. Sui materiali e sulla documentazione COMSEC, contenenti elementi crittografici atti a consentire la cifratura di informazioni classificate, è apposta l'indicazione "CIFRA" o "SICUREZZA CIFRA".

     3. Sui materiali COMSEC, anche non classificati, assoggettati a speciali controlli finalizzati ad assicurarne la tracciabilità, è apposta l'indicazione "C.C.I.", acronimo di COMSEC CONTROLLED ITEM.

 

     Art. 54. Funzionario COMSEC e Custode del materiale CIFRA

     1. Nell'ambito degli Organi centrali e periferici di sicurezza istituiti presso ogni amministrazione o ente e degli Organi di sicurezza istituiti presso gli operatori economici:

     a) il Funzionario o Ufficiale COMSEC e il Funzionario o Ufficiale COMSEC designato sono incaricati di sovrintendere e controllare la corretta applicazione delle norme in materia di sicurezza delle comunicazioni, nonchè del mantenimento e della verifica dell'efficienza e della sicurezza delle operazioni crittografiche e CCI;

     b) il Custode del materiale CIFRA ed i sostituti sono incaricati della ricezione, gestione, custodia e distruzione del materiale crittografico e CCI in carico.

     2. Il Funzionario o Ufficiale COMSEC, il Funzionario o Ufficiale COMSEC designato, il Custode del materiale CIFRA ed il sostituto Custode del materiale CIFRA devono possedere un Nulla Osta di Sicurezza di livello non inferiore a "SEGRETO".

     3. Per lo svolgimento delle sole attività di movimentazione o installazione di materiale COMSEC che non comportino attività crittografiche, è richiesta l'abilitazione di livello RISERVATISSIMO.

 

     Art. 55. Autorizzazione all'accesso CIFRA

     1. Il personale che ha necessità di accedere ai materiali ed alla documentazione COMSEC, sui quali è apposta l'indicazione "CIFRA", deve possedere un'apposita autorizzazione all'accesso CIFRA.

     2. L'autorizzazione di cui al comma 1 presuppone la necessità di avere costante accesso ai materiali "CIFRA" ed è rilasciata dall'UCSe all'organo di sicurezza dell'amministrazione, ente o operatore economico di appartenenza sulla base del possesso dei seguenti requisiti:

     − esclusiva cittadinanza italiana per gli incarichi di Funzionario o Ufficiale COMSEC, Funzionario o Ufficiale COMSEC designato, custode del materiale CIFRA e relativi sostituti;

     − cittadinanza italiana per gli altri incarichi COMSEC;

     − Nulla Osta di Sicurezza in corso di validità;

     − adeguata conoscenza delle misure di protezione e delle norme di gestione dei materiali crittografici;

     − dichiarazione di accettazione di responsabilità.

     3. L'autorizzazione all'accesso CIFRA ha validità di cinque anni ed è revocata al venir meno di uno dei requisiti previsti per il rilascio, ovvero per motivi di carattere disciplinare o per comprovata negligenza.

     4. Il dirigente dell'UCSe può delegare le articolazioni centrali e periferiche dell'Organizzazione nazionale di sicurezza al rilascio ed alla revoca dell'autorizzazione all'accesso CIFRA su richiesta del Funzionario o Ufficiale COMSEC dell'Organo centrale di sicurezza. In ogni caso, per i Funzionari o Ufficiali COMSEC, i Custodi del materiale CIFRA ed i sostituti custodi del materiale CIFRA delle società e delle amministrazioni, limitatamente agli Organi centrali di sicurezza, le predette autorizzazioni sono rilasciate dall'UCSe.

     5. Dei provvedimenti adottati è data comunicazione all'UCSe che detiene e aggiorna l'elenco delle autorizzazioni all'accesso CIFRA rilasciate.

     6. La cessione di materiali e documentazione COMSEC ad altri Stati è subordinata alla sottoscrizione di specifici accordi tecnici.

 

     Art. 56. Protezione, conservazione e trasporto di materiali e documentazione COMSEC

     1. I materiali e la documentazione COMSEC classificati sono gestiti esclusivamente presso Aree riservate, costituite in strutture fisse o mobili, denominate "Centri COMSEC", allestite secondo le prescrizioni tecniche e di sicurezza stabilite nelle disposizioni applicative del presente regolamento. Il Centro COMSEC presso il quale sono impiegati dispositivi crittografici per attività di telecomunicazione è denominato "Centro Comunicazioni Classificate".

     2. Quando non in uso, tutto il materiale COMSEC sul quale è apposta l'indicazione "CIFRA" deve essere conservato in contenitori di sicurezza, armadi corazzati o camere blindate con caratteristiche tecniche identificate nelle disposizioni di cui al comma 1. Le chiavi crittografiche e i dispositivi crittografici ad esse associate devono essere conservati separatamente.

     3. La spedizione ed il trasporto del materiale di cui al comma 2 è regolato da procedure individuate nelle disposizioni applicative del presente regolamento.

 

     Art. 57. Omologazione dei centri COMSEC

     1. Ogni amministrazione, ente od operatore economico, in possesso di NOSI o NOSIS che intenda costituire un centro COMSEC deve richiedere all'UCSe la relativa omologazione, unitamente all'omologazione di un CIS di adeguato livello.

     2. Il processo di omologazione prevede l'accertamento della rispondenza del Centro a specifici requisiti tecnico-installativi e di sicurezza fisica stabiliti nelle disposizioni applicative del presente regolamento, nonchè la verifica del possesso, da parte del personale addetto, delle necessarie abilitazioni e delle conoscenze tecnico-professionali.

     3. Il Funzionario o Ufficiale COMSEC effettua l'analisi del rischio cui il centro è esposto e all'esito redige un documento di analisi del rischio, secondo le modalità indicate nelle disposizioni applicative del presente regolamento, nel quale sono individuate le potenziali minacce alla sicurezza, le vulnerabilità del sistema predisposto per il controllo della sicurezza ed è valutato il rischio residuo dopo l'implementazione delle contromisure.

     4. Sulla base dei risultati dell'analisi del rischio, il Funzionario o Ufficiale COMSEC redige inoltre un regolamento interno di sicurezza COMSEC nel quale sono individuate le contromisure di tipo fisico, procedurale, personale, logico e tecnico da adottare e sono descritte dettagliatamente le procedure operative a cui gli utenti dovranno attenersi.

     5. L'UCSe valuta ed approva il regolamento interno di sicurezza COMSEC e rilascia un certificato di omologazione a seguito di una verifica di conformità del centro alle predisposizioni descritte nella documentazione di sicurezza approvata.

     6. Il dirigente dell'UCSe può delegare le articolazioni centrali dell'Organizzazione nazionale di sicurezza all'approvazione della documentazione di sicurezza ed alla verifica di conformità, relativamente a predeterminate tipologie di centri COMSEC, secondo le disposizioni applicative del presente regolamento.

     7. Gli esiti delle attività eseguite in regime di delega sono trasmessi all'UCSe che, sulla base della documentazione di sicurezza prodotta e dei relativi pareri tecnici, effettua le valutazioni ai fini del rilascio del certificato di omologazione.

     8. In caso di gravi violazioni alle norme in materia di sicurezza delle comunicazioni o di accertate compromissioni l'omologazione è revocata.

     9. I centri COMSEC per temporanee esigenze operative di durata non superiore a sei mesi non sono soggetti al formale rilascio del certificato di omologazione per la trasmissione di informazioni classificate fino al livello "SEGRETO". L'attivazione dei predetti centri deve essere tempestivamente comunicata all'UCSe ed è effettuata sotto la responsabilità del Funzionario o Ufficiale COMSEC competente.

     10. Per motivate esigenze di impiego, l'UCSe può rilasciare a soggetti pubblici o privati, in possesso di idonee abilitazioni di sicurezza e relative organizzazioni COMSEC, autorizzazioni provvisorie a trattare informazioni classificate mediante Centri Comunicazioni Classificate facenti parte di uno stesso CIS distribuito in rete geografica, con validità massima di dodici mesi, rinnovabili una sola volta per un periodo non superiore a detto termine. In tal caso il rilascio delle autorizzazioni provvisorie è richiesto all'UCSe unitamente al rilascio dell'autorizzazione provvisoria del relativo CIS.

     11. Qualora permangano in un sito per un periodo di tempo inferiore a sei mesi, i Centri COMSEC mobili o trasportabili, realizzati per esigenze operative di amministrazioni pubbliche non necessitano di omologazione.

     12. L'omologazione dei centri COMSEC, ove non diversamente stabilito nell'atto di formale omologazione, ha validità quinquennale. La richiesta di rinnovo dell'omologazione di un centro COMSEC, corredata della documentazione che attesta il mantenimento della configurazione approvata, è presentata all'UCSe sei mesi prima della relativa scadenza. In tale caso il certificato di omologazione COMSEC scaduto resta valido fino al rilascio del nuovo certificato, sempre che non siano state apportate modifiche alle configurazioni approvate.

 

     Art. 58. Omologazione dei Laboratori TEMPEST

     1. L'UCSe provvede all'omologazione dei laboratori TEMPEST, costituiti da soggetti pubblici o operatori economici per l'effettuazione delle verifiche di apparati e dispositivi atti ad eliminare le emissioni prodotte da apparecchiature elettroniche che elaborano o trattano informazioni classificate.

     2. Il processo di omologazione prevede l'accertamento della rispondenza del laboratorio ai requisiti tecnici, di sicurezza fisica e personali, anche con riferimento alle relative omologazioni e abilitazioni, stabiliti nelle disposizioni applicative del presente regolamento.

     3. L'omologazione dei laboratori Tempest, ove non diversamente stabilito nell'atto di formale omologazione, ha validità quinquennale. Il rinnovo dell'omologazione dei laboratori Tempest è richiesto all'UCSe dal competente Organo Centrale di sicurezza o Organizzazione di Sicurezza costituita presso un operatore economico, sei mesi prima della relativa scadenza. Qualora la richiesta sia formulata sei mesi prima della scadenza, il certificato conserva la sua efficacia fino al rinnovo.

 

     Art. 59. Omologazione di sistemi COMSEC e TEMPEST

     1. Gli algoritmi crittografici, gli apparati, dispositivi e sistemi COMSEC, nonchè gli apparati, i sistemi e le piattaforme TEMPEST ed ogni altro dispositivo elettrico o elettronico il cui impiego sia finalizzato alla protezione delle comunicazioni di informazioni classificate o alla protezione dei fenomeni inerenti le emissioni compromettenti devono essere omologati dall'UCSe.

     2. La richiesta di omologazione COMSEC o TEMPEST per i dispositivi o gli apparati di cui al comma 1 deve essere inoltrata all'UCSe da parte dei soggetti pubblici che abbiano interesse ad utilizzare tali apparati. Qualora un dispositivo o un apparato progettato e sviluppato da un'impresa presenti rilevanti aspetti di interesse per la protezione delle informazioni classificate, l'UCSe può avviare direttamente il processo di omologazione.

     3. I sistemi COMSEC e TEMPEST omologati sono soggetti a revisione secondo le disposizioni applicative del presente regolamento.

 

Capo VII

SICUREZZA DEI COMMUNICATION AND INFORMATION SYSTEM - CIS

 

     Art. 60. Generalità

     Ai fini della trattazione di informazioni classificate nazionali, e di informazioni classificate internazionali, NATO e dell'Unione europea, i CIS devono essere organizzati secondo metodologie e procedure che, attraverso la protezione del sistema e dei suoi componenti, risultino idonee ad assicurare la riservatezza, l'integrità, la disponibilità, l'autenticità e il non ripudio delle informazioni classificate (Information Assurance).

 

     Art. 61. Funzionario o Ufficiale alla sicurezza CIS

     1. Nell'ambito degli Organi e delle Organizzazioni di sicurezza istituiti presso le amministrazioni, gli enti e gli operatori economici, i Funzionari o Ufficiali alla sicurezza CIS, i relativi sostituti ed i designati sono responsabili della corretta applicazione e del rispetto delle norme poste a tutela delle informazioni classificate trattate con sistemi e prodotti delle tecnologie dell'informazione.

     2. Ove siano stati costituiti sistemi informatici isolati o distribuiti il Funzionario o Ufficiale alla sicurezza dell'Organo centrale o periferico nomina un Amministratore di sistema, su designazione del Funzionario o Ufficiale alla sicurezza CIS. L'amministratore di sistema è inserito nell'organizzazione di sicurezza e dipende dal Funzionario o Ufficiale alla sicurezza dei CIS.

     3. Il personale di cui ai commi 1 e 2 deve possedere conoscenze tecniche e capacità professionali idonee a garantire l'efficace svolgimento delle relative funzioni.

 

     Art. 62. Analisi del rischio - Regolamento interno di sicurezza dei CIS

     1. Il Funzionario o Ufficiale alla sicurezza CIS effettua l'analisi del rischio cui i sistemi di propria competenza sono esposti ed a tal fine adotta un documento nel quale:

     a) sono individuate le potenziali minacce alla sicurezza dei CIS;

     b) sono indicate le vulnerabilità del sistema adibito alla sicurezza;

     c) è descritto il rischio residuo dopo l'implementazione delle misure di sicurezza identificate;

     d) è individuata l'autorità operativa responsabile per la formale "accettazione" del rischio residuo.

     2. Sulla base del documento di cui al comma 1, il Funzionario o Ufficiale alla sicurezza CIS redige il documento di accettazione del rischio residuo e uno o più regolamenti interni di sicurezza, che sottopone all'autorità competente per la sottoscrizione nei quali sono individuate le contromisure di tipo fisico, procedurale, personale, logico e tecnico da adottare e sono descritte dettagliatamente le procedure operative cui gli utenti dovranno attenersi. Nelle disposizioni applicative del presente regolamento sono individuate le caratteristiche dei documenti di sicurezza.

 

     Art. 63. Approvazione e omologazione dei CIS

     1. I CIS utilizzati per la trattazione di informazioni classificate o coperte da segreto di Stato devono essere approvati ed omologati dall'UCSe.

     2. Previa valutazione della documentazione concernente l'analisi del rischio, del regolamento interno di sicurezza del CIS, nonchè della documentazione tecnica relativa alla descrizione dell'architettura del sistema e degli impianti tecnologici, l'UCSe approva il progetto del CIS e rilascia un certificato di sicurezza che abilita alla realizzazione del sistema medesimo.

     3. Terminata la fase di realizzazione, al fine di accertare la rispondenza del sistema realizzato con quanto previsto nella documentazione di progetto approvata, l'UCSe effettua una verifica di conformità, al cui esito positivo rilascia un certificato di omologazione, valido per cinque anni.

     4. Nel periodo di validità del certificato di omologazione eventuali variazioni al CIS dovranno essere approvate dall'UCSe.

     5. La richiesta di rinnovo dell'omologazione di un CIS, corredata della documentazione che attesta il mantenimento della configurazione approvata, è presentata all'UCSe sei mesi prima della relativa scadenza. In tale caso il certificato di omologazione resta valido fino al rilascio del nuovo certificato, sempre che non siano state apportate modifiche alle configurazioni approvate.

     6. Per motivate esigenze operative o per modifiche a sistemi ed installazioni che non possono subire interruzioni funzionali, l'UCSe rilascia un'autorizzazione provvisoria CIS, della validità massima di dodici mesi, rinnovabile una sola volta per un periodo non superiore a detto termine.

     7. Il dirigente dell'UCSe può delegare, secondo le modalità stabilite nelle disposizioni applicative del presente regolamento, le articolazioni centrali dell'Organizzazione nazionale di sicurezza all'approvazione dei documenti di sicurezza ed alla verifica di conformità, relativamente ai CIS realizzati presso le loro infrastrutture.

     8. Le tipologie di CIS, individuate nelle disposizioni applicative del presente regolamento, da installare per temporanee esigenze operative di amministrazioni pubbliche per un periodo non superiore a sei mesi, non sono soggette al rilascio del certificato di omologazione per la trasmissione di informazioni classificate fino al livello "SEGRETO".

     9. L'installazione dei CIS di cui al comma 8 è tempestivamente comunicata all'UCSe e l'attività è posta sotto la responsabilità del Funzionario o Ufficiale alla sicurezza CIS competente.

 

     Art. 64. Trattazione delle informazioni classificate RISERVATO mediante sistemi informatici

     1. Per la trattazione delle informazioni classificate RISERVATO tramite sistemi informatici, gli organi centrali di sicurezza delle amministrazioni pubbliche inviano all'UCSe una dichiarazione redatta dal Funzionario o Ufficiale CIS competente, attestante la disponibilità di un sistema informatico, non connesso a reti fisse o mobili, o con le caratteristiche stabilite nelle disposizioni applicative del presente regolamento.

     2. Si osservano le regole di sicurezza di cui all'art. 66, comma 2, del presente regolamento.

 

     Art. 65. Valutazione di sicurezza informatica

     1. Le funzioni di sicurezza del sistema informatico e le funzioni di sicurezza proprie del sistema operativo, sono sottoposte, ai sensi e per gli effetti del decreto del Presidente del Consiglio dei ministri 11 aprile 2002, ad un processo di valutazione e certificazione nel quale l'UCSe coordina le attività dei Centri di valutazione e svolge le funzioni di Ente di certificazione.

     2. Le funzioni di sicurezza dei sistemi operativi installati su stazioni di lavoro isolate o su reti locali, operanti in modalità dedicata e prive di connessioni verso l'esterno, possono non essere sottoposte al processo di certificazione previsto dal decreto del Presidente del Consiglio dei ministri 11 aprile 2002 purchè dette funzioni di sicurezza siano certificate da un Ente di certificazione qualificato ai sensi dell'accordo internazionale CCRA (Common Criteria Recognition Arrangement).

     3. Nelle disposizioni applicative del presente regolamento sono previste procedure semplificate che l'ente di certificazione può adottare in presenza di accertate condizioni di sicurezza.

 

     Art. 66. Requisiti di sicurezza dei CIS

     1. Il processo di contenimento del rischio ("difesa in profondità") è articolato secondo i seguenti criteri:

     a) "deterrenza": è l'insieme delle misure volte a limitare le minacce che sfruttino le vulnerabilità del sistema;

     b) "prevenzione": è l'insieme delle misure volte ad impedire od ostacolare di attacchi ai danni del CIS;

     c) "rilevamento": è l'insieme delle misure tecniche ed attività volte ad evidenziare un evento accidentale o intenzionale, potenzialmente dannoso alla sicurezza del sistema;

     d) "resilienza": è l'insieme delle misure volte a limitare l'impatto di un attacco o di altri eventi accidentali alle risorse critiche del CIS, sfruttando capacità di riconfigurazione, evitando ulteriori danni e consentendo un'operatività minima residua;

     e) "ripristino": è l'insieme delle misure tecniche ed attività volte a ristabilire le funzioni operative del sistema, secondo tempistiche prestabilite e garantendo il livello minimo di sicurezza richiesto dall'analisi del rischio.

     2. I CIS destinati alla trattazione di informazioni classificate devono possedere i requisiti stabiliti nelle disposizioni applicative del presente regolamento, nonchè i seguenti requisiti minimi di sicurezza:

     a) software antivirus aggiornato;

     b) meccanismi di sicurezza previsti dal sistema operativo in grado di consentire l'identificazione e l'autenticazione dell'utente, prima di consentirne l'accesso al sistema;

     c) sistema di monitoraggio in grado di fornire, ai fini della tracciabilità, informazioni circa gli accessi e le attività svolte sul sistema CIS da ciascun utente e dall'amministratore di sistema.

     3. I CIS destinati alla trattazione di informazioni con classifica RISERVATISSIMO o superiore devono prevedere predisposizioni idonee alla protezione dagli effetti derivanti dalle emanazioni elettromagnetiche (sicurezza TEMPEST).

 

     Art. 67. Sicurezza dell'interconnessione dei CIS

     1. Per interconnessione si intende la connessione diretta tra CIS, ai fini della condivisione dei dati classificati e delle altre risorse o servizi disponibili. I procedimenti di autorizzazione e di omologazione delle interconnessioni tra i CIS sono disciplinati dalle disposizioni applicative del presente regolamento.

     2. I CIS che elaborano, memorizzano o trasmettono informazioni classificate a livello RISERVATO possono, previa autorizzazione da parte dell'UCSe, utilizzare reti pubbliche, per interconnettersi con analoghi sistemi con pari livello di classifica. Tale collegamento deve realizzarsi per mezzo di dispositivi autorizzati ai fini della protezione di informazioni classificate. Non è possibile interconnettere sistemi che gestiscono dati di diversi livelli di classifica salvo specifica autorizzazione o omologazione del sistema da parte dell'UCSe.

     3. Per la trasmissione di dati con classifica superiore a RISERVATO tramite connessioni pubbliche su reti di sistemi CIS omologati è necessario impiegare soluzioni architetturali e dispositivi cifranti omologati dall' UCSe.

     4. Le informazioni classificate RISERVATO possono essere memorizzate su personal computer portatili opportunamente protetti con dispositivi cifranti autorizzati dall'UCSe.

 

     Art. 68. Sicurezza cibernetica dei CIS

     1. Le organizzazioni di sicurezza che impiegano CIS abilitati alla trattazione di informazioni classificate adottano misure in materia di sicurezza cibernetica in conformità al Quadro strategico nazionale di cui all'art. 3 del decreto del Presidente del Consiglio dei ministri del 17 febbraio 2017, "Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali".

     2. L'UCSe anche ai sensi dell'art. 12, comma 2, del decreto del Presidente del Consiglio dei Ministri 17 febbraio 2017 di cui al comma 1, svolge compiti di supervisione, coordinamento e controllo della gestione degli eventi di sicurezza, violazioni e compromissioni alle informazioni ed ai sistemi classificati, derivanti da attacchi cibernetici ai CIS abilitati alla trattazione di informazioni classificate.

 

Capo VIII

SICUREZZA FISICA

 

     Art. 69. Generalità

     1. Al fine di evitare che persone non autorizzate abbiano accesso alle informazioni classificate ovvero coperte da segreto di Stato, i locali, le aree, gli edifici, gli uffici, i centri COMSEC, i CIS, in cui sono trattati informazioni classificate, sono protetti mediante specifiche misure di sicurezza fisica stabilite nelle disposizioni di cui al presente Capo.

 

     Art. 70. Funzionario o Ufficiale alla sicurezza fisica

     1. Nell'ambito degli Organi centrali e delle Organizzazioni di sicurezza istituiti presso ogni Ministero, struttura governativa, Forza armata, ente, o operatore economico il Funzionario o Ufficiale alla sicurezza fisica supporta il Funzionario o Ufficiale alla sicurezza nella predisposizione delle misure di sicurezza fisica idonee ad assicurare il grado di protezione necessario per ciascuna esigenza.

     2. I requisiti di sicurezza delle misure di protezione sono definiti dal Funzionario o Ufficiale alla sicurezza fisica sulla base di una preliminare analisi del rischio che tenga conto, in particolare, dei seguenti fattori:

     a) vulnerabilità delle aree e dei locali in cui sono trattate informazioni classificate in relazione al livello di minacce ipotizzabili;

     b) livello di classifica di segretezza delle informazioni da proteggere e consistenza numerica della relativa documentazione;

     c) modalità di trattazione e conservazione delle informazioni classificate, quantità e tipologia dei supporti contenenti le informazioni classificate trattate.

 

     Art. 71. Aree riservate

     1. Le aree dove vengono trattate informazioni classificate a livello RISERVATISSIMO e superiore sono organizzate e strutturate in modo da corrispondere ad una delle seguenti tipologie:

     a) "aree riservate di I classe": quelle in cui l'ingresso consente di poter accedere direttamente alle informazioni;

     b) "aree riservate di II classe": quelle che vengono protette, mediante controlli predisposti anche internamente ed in cui le informazioni classificate sono conservate in contenitori di sicurezza.

 

     Art. 72. Aree controllate

     1. In prossimità delle aree riservate di I e II classe, o per accedere ad esse, può essere predisposta un'area controllata in cui possono essere trattate solo informazioni classificate a livello non superiore a RISERVATO. Analoghe Aree controllate possono essere comunque create presso ogni Ministero, struttura governativa, Forza armata, ente, o operatore economico, anche in assenza di aree riservate di I e II classe, sotto la responsabilità dell'organizzazione di sicurezza competente, per la sola custodia e trattazione di informazioni classificate a livello non superiore a RISERVATO.

     2. Le aree di cui al comma 1 sono caratterizzate da un perimetro chiaramente delimitato e dotate di misure di protezione minime tali da consentirne l'accesso alle sole persone autorizzate per motivi attinenti al loro impiego, incarico o professione.

 

     Art. 73. Misure minime di protezione

     1. Le aree riservate di I e II classe devono essere protette con idonei sistemi di allarme e dispositivi elettronici per il rilevamento delle intrusioni.

     2. I sistemi e dispositivi elettronici di cui al comma 1 devono essere dotati di misure antimanomissione ed antisabotaggio e di alimentazione elettrica sussidiaria.

     3. L'ingresso nelle aree riservate di I e II classe è controllato mediante un sistema di "passi" o di riconoscimento individuale per il personale dipendente dell'ente o operatore economico.

     4. I sistemi di riconoscimento individuale, anche di tipo elettronico, utilizzati per l'accesso alle aree riservate e controllate devono essere gestiti dall'organizzazione di sicurezza dell'ente o operatore economico.

     5. Personale di vigilanza espressamente preposto effettua il controllo delle aree riservate di I e II classe durante e al di fuori del normale orario di lavoro, al fine di prevenire rischi di manomissioni, danni o perdite di informazioni classificate.

     6. In relazione a quanto previsto dall'art. 6 del decreto del Presidente del Consiglio dei ministri 12 giugno 2009, n. 7, nel caso in cui personale dipendente o comunque incaricato dagli operatori economici che hanno rapporti contrattuali con il DIS, l'AISE o l'AISI, debba accedere occasionalmente nelle sedi è accompagnato da personale degli organismi incaricato di esercitare la vigilanza, previo accertamento dell'assenza di controindicazioni sulla base di informazioni in atti ovvero acquisite ai sensi dell'art. 8 della legge 1° aprile 1981, n. 121.

 

     Art. 74. Contenitori di sicurezza camere blindate - attrezzatura di sicurezza

     1. Per la custodia di informazioni e materiali classificati devono essere utilizzati contenitori di sicurezza con caratteristiche tecniche conformi alle disposizioni applicative del presente regolamento.

     2. Per le camere blindate costruite all'interno di un'area riservata di I o di II classe e per tutte le aree riservate di I classe nel caso di soggetti pubblici è necessario acquisire l'approvazione del progetto da parte dell'Organo centrale di sicurezza. Per gli operatori economici il progetto della camera blindata è approvato dall'UCSe.

     3. Le caratteristiche delle attrezzature di sicurezza per la protezione delle informazioni classificate rispondono a criteri individuati nelle disposizioni applicative del presente decreto.

 

     Art. 75. Protezione contro la visione o l'ascolto non autorizzati di informazioni sensibili

     1. Gli ambienti ove vengono trattate informazioni classificate a livello RISERVATISSIMO e superiore ovvero comunque attinenti alla sicurezza e agli interessi nazionali sono sottoposti a periodiche verifiche ambientali atte ad impedire ogni visione o ascolto clandestino. Tali verifiche sono disposte dall'UCSe sulla base di intese con gli Organi Centrali di sicurezza.

     2. Le verifiche di cui al comma 1 sono, altresì, disposte qualora il Funzionario o Ufficiale alla sicurezza competente ritenga, sulla base di motivate valutazioni, che sussista un rischio di compromissione di informazioni classificate.

     3. Le verifiche di cui ai commi 1 e 2 sono effettuate esclusivamente da personale abilitato.

     4. L'esigenza di verifiche ambientali è comunicata all'UCSe, che può procedere anche con delega.

 

Capo IX

TUTELA AMMINISTRATIVA DELLE INFORMAZIONI COPERTE DA SEGRETO DI STATO E DEGLI ATTI RELATIVI AL SEGRETO DI STATO

 

     Art. 76. Annotazione

     1. In attuazione di quanto previsto dall'art. 39, comma 4, della legge, il vincolo derivante dal segreto di Stato è, ove possibile, annotato mediante l'apposizione della dicitura, ben visibile: «SEGRETO DI STATO - Provv. N. ... del ...», completa del numero di protocollo e della data del relativo provvedimento, lasciando invariata e leggibile la classifica di segretezza eventualmente esistente.

     2. Quando viene a cessare il vincolo derivante dal segreto di Stato la dicitura di cui al comma 1 è barrata con un tratto di colore rosso e, nel medesimo colore rosso, è apportata l'annotazione degli estremi del relativo provvedimento. Quest'ultimo è conservato, in originale o copia conforme, agli atti dell'amministrazione procedente.

 

     Art. 77. Modalità di trattazione e di conservazione delle informazioni coperte da segreto di Stato

     1. In relazione a quanto disposto dall'art. 39, comma 2, della legge, i vertici delle amministrazioni originatrici ovvero detentrici e, per il DIS, l'AISE e l'AISI i rispettivi direttori, pongono le informazioni coperte da segreto di Stato a conoscenza esclusivamente dei soggetti e delle autorità chiamati a svolgere, rispetto ad essi, funzioni essenziali, nei limiti e nelle parti indispensabili per l'assolvimento dei rispettivi compiti ed il raggiungimento dei fini rispettivamente fissati.

     2. In relazione a quanto disposto dall'art. 7 del decreto del Presidente del Consiglio dei ministri 8 aprile 2008, le informazioni coperte da segreto di Stato sono conservate nell'esclusiva disponibilità dei vertici delle amministrazioni originatrici ovvero detentrici e, per quanto concerne il DIS, l'AISE e l'AISI, dei rispettivi direttori.

     3. Per la protezione e la tutela delle informazioni coperte da segreto di Stato si applicano, in quanto compatibili, le misure di sicurezza complessive previste a protezione e tutela delle informazioni classificate SEGRETISSIMO.

     4. Per assicurare il monitoraggio della situazione relativa ai segreti di Stato le amministrazioni che detengono informazioni coperte da segreto di Stato comunicano annualmente all'"Ufficio Inventario" di cui all'art. 7, comma 2, lettera a) per la parifica, gli estremi identificativi dei documenti in loro possesso, annotati con numero progressivo in apposito registro. A tal fine le amministrazioni provvedono all'istituzione del predetto registro, trasmettendone copia conforme all'"Ufficio Inventario".

     5. L'elenco aggiornato dei segreti di Stato è comunicato al Comitato parlamentare per la sicurezza della Repubblica nell'ambito della relazione semestrale di cui all'art. 33, comma 1, della legge.

 

     Art. 78. Atti riguardanti il segreto di Stato

     1. L'UCSe, competente agli adempimenti istruttori relativi all'esercizio delle funzioni del Presidente del Consiglio dei Ministri quale Autorità nazionale per la sicurezza a tutela del segreto di Stato ai sensi dell'art. 9, comma 2, lett. a), della legge, conserva in un apposito archivio istituito ai sensi del decreto del Presidente del Consiglio dei ministri n. 2 del 12 giugno 2009 e con modalità atte ad impedirne la manipolazione, la sottrazione o la distruzione, gli atti concernenti:

     a) le istruttorie per l'apposizione o la conferma dell'opposizione, definite o in corso, indipendentemente dal loro esito;

     b) le istanze di accesso ai sensi dell'art. 39, comma 7, della legge;

     c) i registri inventario di cui all'art. 77, comma 4.

 

Capo X

ACCESSO AGLI ATTI E OBBLIGO DI NON DIVULGAZIONE

 

     Art. 79. Accesso agli atti relativi alle abilitazioni di sicurezza

     1. Il diritto di accesso agli atti relativi ai procedimenti di rilascio, proroga, diniego, sospensione limitazione o revoca delle abilitazioni di sicurezza è escluso nei casi previsti dalla legge 7 agosto 1990, n. 241, e successive modifiche e integrazioni, nei casi di sottrazione all'accesso previsti dai regolamenti vigenti in materia e comunque ove sussistano motivi di tutela della riservatezza del modus operandi o degli interna corporis degli organismi di informazione per la sicurezza o di protezione delle fonti o di difesa della sicurezza nazionale o qualora si tratti di notizie acquisite dall'Autorità Giudiziaria o dalle Forze di polizia nell'ambito di attività di indagine.

 

     Art. 80. Obbligo di non divulgazione

     1. Agli appartenenti ai Servizi di informazione per la sicurezza ed alle Forze di polizia è fatto obbligo di non divulgare informazioni che abbiano formato oggetto di scambio informativo ai sensi dell'art. 4, comma 3, lett. e), della legge, attinenti agli assetti organizzativi, alle modalità operative degli stessi Servizi e all'identità dei loro appartenenti.

 

Capo XI

DISPOSIZIONI FINALI

 

     Art. 81. Misure di efficienza

     1. Entro centottanta giorni dalla data di entrata in vigore del presente regolamento sono adottati sistemi di comunicazione telematica fra il DIS e le Agenzie per lo scambio delle informazioni relative alle abilitazioni.

     2. Il DIS promuove la realizzazione di reti telematiche sicure per lo scambio di informazioni con il Ministero dell'Interno, l'Arma dei Carabinieri, la Guardia di Finanza e le altre amministrazioni interessate al fine della più efficiente comunicazione delle informazioni nell'ambito delle procedure finalizzate al rilascio delle abilitazioni.

     3. Nell'ambito delle iniziative di diffusione della cultura della sicurezza, il DIS promuove, anche attraverso il sito web del comparto, la conoscenza delle misure e procedure di tutela delle informazioni oggetto di disciplina del presente regolamento, sviluppando modalità interattive per i rapporti con le amministrazioni e le imprese in materia di abilitazioni di sicurezza industriale.

 

     Art. 82. Disposizioni transitorie

     1. L'efficacia dei NOS fino a SEGRETO e quella delle relative qualifiche, la cui validità sia scaduta alla data di entrata in vigore del presente regolamento, per i quali siano pervenute le richieste di rinnovo fino a dodici mesi prima della medesima data e non siano state completate le procedure di rinnovo, è prorogata al 31 dicembre del sesto anno successivo alla scadenza.

     2. Per il rilascio dei NOS fino a livello SEGRETISSIMO, la cui istruttoria non sia stata completata alla data di entrata in vigore del presente regolamento, si applicano le disposizioni di cui ai commi 6, 7 e 8 dell'art. 27.

     3. I certificati dei NOS e delle AT rilasciati prima dell'entrata in vigore del presente regolamento sono declassificati e sono custoditi dall'Autorità che li ha originati. Ove al rilascio abbia provveduto l'UCSe, gli stessi certificati vengono conservati secondo le vigenti disposizioni, dal soggetto pubblico o privato che ne ha fatto istanza, anche per il personale che non ha più necessità di accedere alle informazioni classificate.

     4. Le omologazioni EAD e COMSEC in corso di validità alla data di entrata in vigore del decreto del Presidente del Consiglio dei ministri 22 luglio 2011 sono prorogate fino al rinnovo qualora non siano emerse variazioni alla configurazione o controindicazioni ai fini della sicurezza.

     5. Fino all'emanazione delle nuove disposizioni tecniche e di dettaglio finalizzate ad adeguare la disciplina applicativa ai principi di cui al presente regolamento ed agli accordi internazionali di settore, continuano a trovare applicazione, per quanto non in contrasto con la legge e con le norme contenute nel presente decreto, le direttive emanate dall'Autorità nazionale per la sicurezza ai sensi e per gli effetti dell'art. 50, comma 1, del decreto del Presidente del Consiglio dei ministri 3 febbraio 2006, recante «Norme unificate per la protezione e la tutela delle informazioni classificate», pubblicato nella Gazzetta Ufficiale - Serie generale, n. 46 del 24 febbraio 2006.

 

     Art. 83. Abrogazioni

     1. Dalla data di entrata in vigore del presente regolamento è abrogato il decreto del Presidente del Consiglio dei ministri 22 luglio 2011, n. 4, ad eccezione dell'art. 76 e dell'art. 77.

     2. In tutte le disposizioni vigenti, l'espressione "Organo principale di sicurezza" si intende riferita alla Segreteria principale di sicurezza.

 

     Art. 84. Disposizioni finali ed entrata in vigore

     1. L'attuazione del presente regolamento non comporta nuovi o maggiori oneri a carico della finanza pubblica.

     2. Il presente regolamento non è sottoposto al visto ed alla registrazione della Corte dei conti in quanto adottato ai sensi dell'art. 43 della legge, in deroga alle disposizioni dell'art. 17 della legge 23 agosto 1988, n. 400.

     3. Il presente regolamento entra in vigore il quindicesimo giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.


[1] Testo vigente aggiornato alle modifiche apportate dall'art. 1 del D.P.C.M. 2 ottobre 2017.