| Settore: | Normativa nazionale |
| Materia: | 81. Pubblica sicurezza |
| Capitolo: | 81.1 disciplina generale |
| Data: | 04/09/2024 |
| Numero: | 134 |
| Sommario |
| Art. 1. Oggetto e ambito di applicazione |
| Art. 2. Definizioni |
| Art. 3. Competenze del Presidente del Consiglio dei ministri |
| Art. 4. Comitato interministeriale per la resilienza |
| Art. 5. Autorità settoriali competenti e punto di contatto unico |
| Art. 6. Strategia per la resilienza dei soggetti critici |
| Art. 7. Valutazione del rischio da parte dello Stato |
| Art. 8. Individuazione dei soggetti critici |
| Art. 9. Effetti negativi rilevanti |
| Art. 10. Soggetti critici del settore bancario, delle infrastrutture dei mercati finanziari e delle infrastrutture digitali |
| Art. 11. Sostegno ai soggetti critici |
| Art. 12. Cooperazione con gli Stati membri dell'Unione europea |
| Art. 13. Valutazione del rischio da parte dei soggetti critici |
| Art. 14. Misure di resilienza dei soggetti critici |
| Art. 15. Controlli dei precedenti personali |
| Art. 16. Notifica degli incidenti |
| Art. 17. Individuazione dei soggetti critici di particolare rilevanza europea |
| Art. 18. Missioni di consulenza |
| Art. 19. Gruppo per la resilienza dei soggetti critici |
| Art. 20. Vigilanza ed esecuzione |
| Art. 21. Sanzioni |
| Art. 22. Clausola di invarianza finanziaria |
| Art. 23. Disposizioni transitorie e abrogazioni |
§ 81.1.114 - D.Lgs. 4 settembre 2024, n. 134.
Attuazione della direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio.
(G.U. 23 settembre 2024, n. 223)
IL PRESIDENTE DELLA REPUBBLICA
Visti gli articoli 76 e 87, quinto comma, della Costituzione;
Vista la
Vista la
Vista la
Vista la
Visto il
Visto il
Vista la
Visto il
Visto il
Visto il
Vista la
Visto il
Visto il
Visto il
Vista la preliminare deliberazione del Consiglio dei ministri, adottata nella riunione del 10 giugno 2024;
Acquisito il parere del Garante per la protezione dei dati personali, reso nella seduta del 18 luglio 2024;
Acquisito il parere della Conferenza unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, reso nella seduta dell'11 luglio 2024;
Acquisiti i pareri delle competenti Commissioni della Camera dei deputati e del Senato della Repubblica;
Vista la deliberazione del Consiglio dei ministri, adottata nella riunione del 7 agosto 2024;
Sulla proposta del Presidente del Consiglio dei ministri e del Ministro per gli affari europei, il Sud, le politiche di coesione e il PNRR, di concerto con i Ministri per gli affari regionali e le autonomie, per la protezione civile e le politiche del mare, degli affari esteri e della cooperazione internazionale, dell'interno, della giustizia, della difesa, dell'economia e delle finanze, delle imprese e del made in Italy, dell'ambiente e della sicurezza energetica, delle infrastrutture e dei trasporti, della salute e dell'agricoltura, della sovranità alimentare e delle foreste;
Emana
il seguente decreto legislativo:
Capo I
Disposizioni generali
Art. 1. Oggetto e ambito di applicazione
1. Il presente decreto stabilisce:
a) misure volte a garantire che i servizi essenziali per il mantenimento di funzioni vitali della società, di attività economiche, della salute e della sicurezza pubbliche o dell'ambiente, di cui all'articolo 2, comma 1, lettera e), siano forniti senza impedimenti nonchè criteri per l'individuazione dei soggetti critici di cui all'articolo 2, comma 1, lettera a);
b) obblighi per i soggetti critici di cui all'articolo 2, comma 1, lettera a), volti a rafforzarne la resilienza, fino al raggiungimento di un livello elevato, e a rafforzarne la capacità di fornire i servizi essenziali di cui all'articolo 2, comma 1, lettera e), nel mercato interno, al fine di migliorarne il funzionamento;
c) misure per il sostegno nell'adempimento degli obblighi imposti dal presente decreto ai soggetti critici di cui all'articolo 2, comma 1, lettera a);
d) disposizioni riguardanti la vigilanza e l'irrogazione di sanzioni nei confronti dei soggetti critici di cui all'articolo 2, comma 1, lettera a);
e) disposizioni riguardanti l'individuazione dei soggetti critici di particolare rilevanza europea, di cui all'articolo 17, e le missioni di consulenza della Commissione europea finalizzate a valutare le misure predisposte da tali soggetti per adempiere ai propri obblighi, di cui all'articolo 18;
f) disposizioni per la predisposizione della strategia nazionale per la resilienza dei soggetti critici, di cui all'articolo 6;
g) la disciplina della valutazione del rischio da parte dello Stato, di cui all'articolo 7, e della valutazione del rischio da parte dei soggetti critici, di cui all'articolo 13;
h) l'istituzione del Comitato interministeriale per la resilienza, di cui all'articolo 4, nonchè l'individuazione delle autorità settoriali competenti e del punto di contatto unico, di cui all'articolo 5;
i) le modalità di cooperazione con gli altri Stati membri e con la Commissione europea, inclusa la partecipazione nazionale al gruppo per la resilienza dei soggetti critici di cui all'articolo 19.
2. Fermo restando quanto previsto dall'articolo 10, il presente decreto non si applica alle materie disciplinate dalle disposizioni nazionali di attuazione della
3. Qualora gli obblighi previsti per i soggetti critici di adottare misure per rafforzare la loro resilienza siano oggetto di uno specifico atto giuridico dell'Unione europea, si applicano le disposizioni di detto atto giuridico nella misura in cui gli effetti di tali obblighi siano almeno equivalenti a quelli degli obblighi di cui al presente decreto. In tale circostanza non si applicano le disposizioni in materia di vigilanza ed esecuzione di cui al presente decreto.
4. Fatto salvo quanto previsto dall'articolo 346 del Trattato sul funzionamento dell'Unione europea, se l'applicazione del presente decreto comporta la comunicazione di informazioni riservate ai sensi delle disposizioni nazionali o delle disposizioni dell'Unione europea, tale comunicazione è limitata a quanto strettamente necessario ai fini dell'applicazione medesima e le informazioni scambiate sono esclusivamente quelle pertinenti e commisurate allo scopo. In ogni caso, la comunicazione di cui al primo periodo tutela la riservatezza di tali informazioni, nonchè la sicurezza e gli interessi commerciali dei soggetti critici di cui all'articolo 2, comma 1, lettera a). Gli obblighi stabiliti dal presente decreto non comportano la comunicazione di informazioni la cui divulgazione sarebbe contraria agli interessi essenziali dello Stato in materia di sicurezza nazionale, di difesa o di pubblica sicurezza.
5. Resta impregiudicata la responsabilità dello Stato di tutelare la sicurezza nazionale, la difesa e le altre funzioni essenziali dello Stato, tra cui la garanzia dell'integrità territoriale dello Stato e il mantenimento dell'ordine pubblico.
6. Il presente decreto non si applica agli organi e alle articolazioni della pubblica amministrazione, nonchè agli enti di cui all'articolo 2, comma 1, lettera l), che operano nei settori della pubblica sicurezza, della difesa nazionale o dell'attività di contrasto, compresi l'indagine, l'accertamento e il perseguimento di reati, nonchè agli organismi di informazione per la sicurezza di cui alla
7. Con uno o più decreti del Presidente del Consiglio dei ministri, di concerto, per gli ambiti di rispettiva competenza, con i Ministri della giustizia, dell'interno e della difesa, sentito il Comitato interministeriale per la resilienza di cui all'articolo 4, sono individuati specifici soggetti critici che svolgono attività principalmente nei settori della pubblica sicurezza, della protezione civile, della difesa o dell'attività di contrasto, accertamento e perseguimento di reati, ovvero che forniscono servizi esclusivamente agli organi, alle articolazioni o agli enti della pubblica amministrazione di cui al comma 6, ai quali, nell'espletamento di tali attività o servizi, non si applicano le disposizioni di cui all'articolo 12 e ai capi III, IV e VI del presente decreto.
8. Resta ferma l'applicazione del codice in materia di protezione dei dati personali, di cui al
9. Con decreto del Presidente del Consiglio dei ministri, da adottare ai sensi dell'articolo 43 della
Art. 2. Definizioni
1. Ai fini del presente decreto si intende per:
a) «soggetto critico»: un soggetto pubblico o privato individuato, ai sensi dell'articolo 8, nell'ambito delle categorie di soggetti che operano nei settori e sottosettori di cui all'allegato A, che costituisce parte integrante del presente decreto;
b) «resilienza»: la capacità di un soggetto critico di prevenire, attenuare, assorbire un incidente di cui alla lettera c), di proteggersi da esso, di rispondervi, di resistervi, di adattarvisi e di ripristinare le proprie capacità operative;
c) «incidente»: un evento di carattere fisico che può perturbare in modo significativo, o che perturba, la fornitura di un servizio essenziale di cui alla lettera e);
d) «infrastruttura critica»: un elemento, un impianto, un'attrezzatura, una rete o un sistema o una parte di essi necessari per la fornitura di un servizio essenziale di cui alla lettera e);
e) «servizio essenziale»: un servizio fondamentale per il mantenimento di funzioni vitali della società, di attività economiche, della salute e della sicurezza pubbliche o dell'ambiente, individuato ai sensi dell'articolo 7, commi 1 e 2;
f) «rischio»: la potenziale perdita o perturbazione causata da un incidente; il rischio è espresso come combinazione dell'entità di tale perdita o perturbazione e della probabilità che si verifichi l'incidente;
g) «valutazione del rischio»: l'intero processo per la determinazione della natura e della portata di un rischio, mediante l'individuazione e l'analisi delle potenziali minacce, vulnerabilità e pericoli che potrebbero causare un incidente, nonchè mediante la valutazione della potenziale perdita o perturbazione della fornitura di un servizio essenziale che potrebbero essere causate da tale incidente;
h) «norma»: una norma ai sensi dell'articolo 2, punto 1), del
i) «specifica tecnica»: una specifica tecnica ai sensi dell'articolo 2, punto 4), del
l) «enti della pubblica amministrazione»: ai fini del presente decreto, un soggetto che, anche se opera in settori diversi da quelli di cui ai numeri 1, 2, 3, 4, 5, 6, 7, 8, 10 e 11, dell'allegato A al presente decreto, soddisfa i seguenti criteri:
1) è istituito allo scopo di soddisfare esigenze di interesse generale e non ha carattere industriale o commerciale;
2) è dotato di personalità giuridica o autorizzato per legge ad agire per conto di un altro soggetto dotato di personalità giuridica;
3) è finanziato in modo maggioritario da autorità statali o da altri organismi di diritto pubblico a livello centrale, la sua gestione è soggetta alla vigilanza di tali autorità o organismi, oppure è dotato di un organo di amministrazione, di direzione o di vigilanza in cui più della metà dei membri è designata da autorità statali o da altri organismi di diritto pubblico a livello centrale;
4) ha il potere di adottare, nei confronti di persone fisiche o giuridiche, decisioni amministrative o regolatorie che incidono sui loro diritti relativi alla circolazione transfrontaliera delle persone, delle merci, dei servizi o dei capitali.
Capo II
Contesto strategico e istituzionale
Art. 3. Competenze del Presidente del Consiglio dei ministri
1. Al Presidente del Consiglio dei ministri sono attribuite in via esclusiva le seguenti competenze:
a) l'alta direzione e la responsabilità generale delle politiche per la resilienza dei soggetti critici;
b) l'adozione della strategia nazionale per la resilienza dei soggetti critici di cui all'articolo 6, sentito il Comitato interministeriale per la resilienza di cui all'articolo 4.
2. Nell'ambito delle competenze di cui al comma 1, lettera a), e dell'attuazione della strategia di cui all'articolo 6, il Presidente del Consiglio dei ministri impartisce le direttive per la resilienza dei soggetti critici, sentito il Comitato interministeriale per la resilienza di cui all'articolo 4.
3. Il Presidente del Consiglio dei ministri può delegare a un Ministro senza portafoglio, ovvero a un Sottosegretario di Stato alla Presidenza del Consiglio dei ministri, le competenze in materia di resilienza dei soggetti critici ad esso attribuite, ad eccezione di quelle di cui al comma 1.
4. Il Ministro o il Sottosegretario di Stato alla Presidenza del Consiglio dei ministri con delega alla resilienza dei soggetti critici aggiorna il Presidente del Consiglio dei ministri sull'esercizio delle competenze delegate ai sensi del comma 3.
Art. 4. Comitato interministeriale per la resilienza
1. Presso la Presidenza del Consiglio dei ministri è istituito il Comitato interministeriale per la resilienza (CIR).
2. Il CIR:
a) propone al Presidente del Consiglio dei ministri gli indirizzi generali per le politiche di resilienza dei soggetti critici;
b) esercita l'alta sorveglianza sull'attuazione della strategia nazionale per la resilienza dei soggetti critici di cui all'articolo 6;
c) promuove l'adozione di misure volte a rafforzare la resilienza dei soggetti critici e di buone pratiche, nonchè promuove iniziative per favorire, a livello nazionale e internazionale, l'efficace collaborazione e la condivisione delle informazioni e delle buone pratiche tra i soggetti istituzionali e i soggetti critici.
3. Il CIR è presieduto dal Presidente del Consiglio dei ministri ovvero dal Ministro senza portafoglio o dal Sottosegretario di Stato alla Presidenza del Consiglio dei ministri con delega alla resilienza dei soggetti critici ed è composto dal Ministro degli affari esteri e della cooperazione internazionale, dal Ministro dell'interno, dal Ministro della giustizia, dal Ministro della difesa, dal Ministro dell'economia e delle finanze, dal Ministro delle imprese e del made in Italy, dal Ministro dell'agricoltura, della sovranità alimentare e delle foreste, dal Ministro dell'ambiente e della sicurezza energetica, dal Ministro delle infrastrutture e dei trasporti, dal Ministro della salute, dal Ministro per la protezione civile e le politiche del mare, dall'Autorità delegata di cui all'articolo 3, comma 1, della
4. Il responsabile del punto di contatto unico di cui all'articolo 5, comma 5, svolge le funzioni di segretario del CIR.
5. Alle sedute del CIR partecipano, senza diritto di voto, il direttore generale dell'Agenzia per la cybersicurezza nazionale e, a seguito di invito del Presidente del Consiglio dei ministri, anche su loro richiesta, Ministri diversi da quelli di cui al comma 3, il capo del Dipartimento della protezione civile della Presidenza del Consiglio dei ministri e altre autorità civili e autorità militari la cui presenza è necessaria in relazione all'ordine del giorno delle sedute.
Art. 5. Autorità settoriali competenti e punto di contatto unico
1. Sono designate le seguenti autorità settoriali competenti (ASC), responsabili della corretta applicazione e dell'esecuzione delle disposizioni del presente decreto:
a) il Ministero dell'ambiente e della sicurezza energetica, per il settore dell'energia di cui al numero 1 dell'allegato A, sottosettori dell'energia elettrica, del teleriscaldamento e del teleraffrescamento, del petrolio, del gas e dell'idrogeno;
b) il Ministero delle infrastrutture e dei trasporti, per il settore dei trasporti di cui al numero 2 dell'allegato A, sottosettori del trasporto aereo, del trasporto ferroviario, del trasporto per vie d'acqua, del trasporto su strada e del trasporto pubblico, nonchè per il settore delle acque irrigue di cui al numero 12 dell'allegato A;
c) il Ministero dell'economia e delle finanze, per il settore bancario di cui al numero 3 dell'allegato A e per il settore delle infrastrutture dei mercati finanziari di cui al numero 4 dell'allegato A, in collaborazione con le autorità di vigilanza di settore, la Banca d'Italia e la Commissione nazionale per la società e la borsa (Consob);
d) il Ministero della salute, direttamente o per il tramite delle proprie autorità territoriali, e, per gli ambiti di propria competenza, l'Agenzia italiana del farmaco (AIFA), per il settore della salute di cui al numero 5 dell'allegato A;
e) il Ministero dell'ambiente e della sicurezza energetica, direttamente o per il tramite delle proprie autorità territoriali, per il settore dell'acqua potabile di cui al numero 6 dell'allegato A, e per il settore delle acque reflue di cui al numero 7 dell'allegato A;
f) l'Agenzia per la cybersicurezza nazionale, per il settore delle infrastrutture digitali di cui al numero 8 dell'allegato A, in collaborazione con il Ministero delle imprese e del made in Italy, per le attività di cui agli articoli 7 e 8 del presente decreto;
g) la Presidenza del Consiglio dei ministri, per il settore dello spazio di cui al numero 10 dell'allegato A;
h) il Ministero dell'agricoltura, della sovranità alimentare e delle foreste, per il settore della produzione, trasformazione e distribuzione di alimenti di cui al numero 11 dell'allegato A;
i) per il settore degli enti della pubblica amministrazione, di cui al numero 9 dell'allegato A, sono designate ASC le amministrazioni indicate alle lettere da a) a h) relativamente ai settori di rispettiva competenza e la Presidenza del Consiglio dei ministri per gli enti individuati con apposito decreto del Presidente del Consiglio dei ministri da adottare entro il 17 gennaio 2026.
2. Con accordo definito entro il 30 ottobre 2024 in sede di Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano, sono definite modalità di collaborazione tra le ASC, le regioni e le province autonome interessate, quando il soggetto critico ha carattere regionale ovvero opera esclusivamente sul territorio di una regione o provincia autonoma nei settori di cui alle lettere a), b), d), e) ed h). Con il medesimo accordo, nei casi di cui al primo periodo, sono definiti altresì criteri uniformi in ambito nazionale per lo svolgimento delle attività di ispezione e di verifica, per le misure previste dagli articoli 13, 14 e 16 e 20.
3. Le ASC esercitano le competenze loro attribuite dal presente decreto nel rispetto delle attribuzioni:
a) dell'autorità giudiziaria, relativamente alle notizie di reato;
b) del Ministero dell'interno, in materia di tutela dell'ordine pubblico e della sicurezza pubblica e di difesa civile;
c) del Ministero della difesa, in materia di difesa e sicurezza dello Stato;
d) del Dipartimento della protezione civile della Presidenza del Consiglio dei ministri, in materia di previsione, prevenzione e mitigazione dei rischi e di gestione e superamento delle emergenze;
e) del Ministero delle imprese e del made in Italy, in materia di resilienza fisica delle reti di comunicazione elettronica;
f) dell'Agenzia per la cybersicurezza nazionale, in materia di cybersicurezza e resilienza di cui all'articolo 1, comma 1, lettere a) e b), del
g) degli organismi preposti alla tutela della sicurezza nazionale ai sensi della
4. Quando opportuno, le ASC, senza imposizioni o discriminazioni a favore dell'uso di un particolare tipo di tecnologia, incoraggiano l'uso di norme e specifiche tecniche europee e internazionali per le misure sulla sicurezza e sulla resilienza applicabili ai soggetti critici.
5. È istituito nell'ambito della Presidenza del Consiglio dei ministri il punto di contatto unico in materia di resilienza dei soggetti critici (PCU). Con decreto del Presidente del Consiglio dei ministri, da adottare ai sensi dell'articolo 7 del
6. Il PCU esercita le competenze ad esso attribuite dal presente decreto e, in particolare:
a) assicura il collegamento con la Commissione europea e la cooperazione con i Paesi terzi, sentito il Ministero degli affari esteri e della cooperazione internazionale;
b) assicura il collegamento con i punti di contatto unici designati o istituiti, ai sensi della
c) assicura il collegamento tra le ASC e le autorità competenti designate o istituite, ai sensi della
d) assicura il collegamento con il gruppo per la resilienza dei soggetti critici di cui all'articolo 19;
e) si coordina, istituendo un apposito tavolo, con la Commissione interministeriale tecnica di difesa civile di cui al decreto del Ministro dell'interno 10 gennaio 2013, con il Dipartimento della protezione civile della Presidenza del Consiglio dei ministri e con gli altri organismi nazionali competenti in materia di resilienza nazionale;
f) coordina le attività di sostegno di cui all'articolo 11;
g) riceve le notifiche degli incidenti ai sensi dell'articolo 16;
h) promuove le attività di ricerca e formazione in materia di resilienza delle infrastrutture critiche;
i) svolge funzioni di autorità settoriale competente per il settore di cui al comma 1, lettera i), per quanto di competenza della Presidenza del Consiglio dei ministri;
l) svolge i compiti di segreteria a supporto del CIR.
7. Entro il 17 luglio 2028 e, successivamente, ogni due anni, il PCU trasmette alla Commissione europea e al gruppo per la resilienza dei soggetti critici di cui all'articolo 19 una relazione di sintesi in merito alle notifiche ricevute ai sensi dell'articolo 16, comma 1, compresi il numero di notifiche e la natura degli incidenti notificati, e alle azioni intraprese dalle ASC ai sensi dell'articolo 16, comma 6. Per la redazione di tale relazione, il PCU può utilizzare il modello di cui all'articolo 9, paragrafo 3, secondo comma, della
8. Il PCU elabora annualmente un documento di sintesi sullo stato della resilienza dei soggetti critici e lo trasmette al Presidente del Consiglio dei ministri ovvero al Ministro o al Sottosegretario di Stato alla Presidenza del Consiglio dei ministri con delega alla resilienza dei soggetti critici per la comunicazione al CIR.
9. Il PCU e le ASC cooperano tra loro e possono cooperare con il Dipartimento della protezione civile della Presidenza del Consiglio dei ministri, il Ministero dell'interno, il Garante per la protezione dei dati personali, i soggetti critici e le parti interessate.
10. Il PCU e le ASC cooperano e scambiano informazioni con l'Agenzia nazionale per la cybersicurezza sui rischi di cybersicurezza, sulle minacce e sugli incidenti informatici e sui rischi, sulle minacce e sugli incidenti non informatici che hanno ripercussioni sui soggetti critici, anche per quanto riguarda le pertinenti misure adottate dai medesimi PCU, ASC o Agenzia nazionale per la cybersicurezza nazionale.
11. Il PCU, le ASC e l'Agenzia per la cybersicurezza nazionale cooperano e trasmettono informazioni agli organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della
12. Entro tre mesi dall'istituzione del PCU e dalla designazione delle ASC, la Presidenza del Consiglio dei ministri notifica alla Commissione europea l'identità del PCU e delle ASC, i dati di contatto, le competenze e le responsabilità previste dal presente decreto e, successivamente, notifica tempestivamente alla Commissione europea ogni modifica delle informazioni notificate in precedenza. La Presidenza del Consiglio dei ministri assicura adeguata e tempestiva pubblicità all'identità del PCU e delle ASC e ad ogni modifica di tale identità.
13. Ciascuna ASC, per l'esercizio delle competenze attribuite dal presente decreto, individua, tra quelli esistenti, un ufficio dirigenziale di livello non generale, o istituisce un apposito ufficio dirigenziale non generale, composto da un dirigente di seconda fascia e da sei unità di personale appartenente all'area funzionari del vigente contratto collettivo nazionale - Comparto funzioni centrali, o categorie equivalenti, posto alle dirette dipendenze del segretario generale o del soggetto individuato secondo i rispettivi ordinamenti, con corrispondente incremento della dotazione organica, adottando il relativo provvedimento di organizzazione con decorrenza non anteriore al 1° ottobre 2024 e dandone comunicazione al Ministero dell'economia e delle finanze - Dipartimento della Ragioneria generale dello Stato. Resta fermo per la Presidenza del Consiglio dei ministri quanto previsto dal comma 5. Il PCU e ciascuna ASC sono autorizzati a reclutare, con contratto di lavoro subordinato a tempo indeterminato, i dirigenti di cui al comma 5 e di cui al primo periodo del presente comma anche mediante i concorsi unici di cui all'articolo 19, del
14. Agli oneri derivanti dai commi 5, e 13 del presente articolo, pari a euro 1.982.173 per l'anno 2024 e pari a euro 6.728.691 annui a decorrere dall'anno 2025, si provvede mediante corrispondente riduzione del Fondo per il recepimento della normativa europea di cui all'articolo 41-bis della
15. L'Agenzia per la Cybersicurezza Nazionale e l'Agenzia Italiana del Farmaco provvedono all'attuazione del presente articolo con le risorse umane strumentali e finanziarie disponibili a legislazione vigente.
16. Con decreto del Presidente del Consiglio dei ministri, di concerto con il Ministro dell'economia e delle finanze, le somme relative alla copertura degli oneri di funzionamento sono ripartite tra le ASC in ragione del numero dei settori, dei sottosettori e delle categorie dei potenziali soggetti critici, nonchè dei relativi elementi di complessità tecnica.
Art. 6. Strategia per la resilienza dei soggetti critici
1. Il Presidente del Consiglio dei ministri, a seguito di una consultazione aperta ai portatori di interesse, sentito il CIR e tenuto conto della strategia nazionale per la cybersicurezza, adotta la strategia nazionale per la resilienza dei soggetti critici, di seguito «strategia», entro il 17 luglio 2025 e, successivamente, la aggiorna almeno ogni quattro anni.
2. La strategia mira al conseguimento e al mantenimento di un livello elevato di resilienza da parte dei soggetti critici e contiene almeno:
a) gli obiettivi strategici e le priorità per conseguire e mantenere un livello elevato di resilienza dei soggetti critici, tenendo conto delle dipendenze e interdipendenze transfrontaliere e intersettoriali;
b) l'indicazione delle autorità coinvolte nell'attuazione della strategia, la descrizione delle competenze, del ruolo e delle responsabilità di tali autorità, dei soggetti critici e degli altri soggetti coinvolti nella strategia;
c) la descrizione delle misure necessarie per conseguire e mantenere un livello elevato di resilienza dei soggetti critici, che comprende una descrizione della valutazione del rischio di cui all'articolo 7;
d) la descrizione del procedimento di individuazione dei soggetti critici;
e) la descrizione delle misure per sostenere i soggetti critici ai sensi dell'articolo 11, comprese quelle per rafforzare la cooperazione tra le autorità e gli altri soggetti coinvolti nell'attuazione della strategia;
f) un elenco delle principali autorità e dei pertinenti portatori di interessi, diversi dai soggetti critici, coinvolti nell'attuazione della strategia;
g) un quadro strategico per il coordinamento tra le ASC e il PCU, da un lato, e l'Agenzia per la cybersicurezza nazionale di cui al
h) la descrizione delle misure già in vigore, volte ad agevolare il rispetto degli obblighi di cui al capo III del presente decreto da parte delle piccole e medie imprese ai sensi della normativa di adeguamento alla raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese, individuate come soggetti critici.
3. Il PCU notifica alla Commissione europea la strategia e i suoi aggiornamenti sostanziali entro tre mesi dalla loro adozione.
Art. 7. Valutazione del rischio da parte dello Stato
1. Il PCU, entro il 17 luglio 2025 e, successivamente, quando necessario e, in ogni caso, almeno ogni quattro anni, acquisite le valutazioni del rischio da parte delle ASC per i settori di competenza, con riferimento ai servizi essenziali individuati con
2. Con decreto del Presidente del Consiglio dei ministri, su proposta del CIR, possono essere individuati eventuali servizi essenziali aggiuntivi rispetto a quelli contenuti nell'elenco di cui al
a) i servizi essenziali aggiuntivi si riferiscono ai settori e ai sottosettori di cui all'allegato A;
b) nell'individuazione di un servizio essenziale aggiuntivo si tiene conto delle interdipendenze con gli altri servizi essenziali e dei conseguenti rischi associati a un incidente;
c) nell'individuazione dei servizi essenziali aggiuntivi è assicurato un livello di dettaglio sufficiente a determinare in modo chiaro e univoco i corrispondenti soggetti critici;
d) nell'individuazione dei servizi essenziali aggiuntivi sono evitate sovrapposizioni e ridondanze con l'elenco di cui al
3. Ai fini della valutazione del rischio dello Stato, le ASC e il PCU possono consultare i soggetti di cui all'articolo 5, comma 3, lettere da a) a f), i fornitori di servizi essenziali, nonchè esperti anche appartenenti a università o enti e istituti di ricerca.
4. La valutazione del rischio dello Stato tiene conto dei rischi rilevanti, naturali e di origine umana, ivi compresi i rischi di natura intersettoriale o transfrontaliera, gli incidenti anche diversi da quelli di cui all'articolo 16, le catastrofi naturali, le emergenze di sanità pubblica, le minacce ibride e altre minacce antagoniste, inclusi i reati con finalità di terrorismo anche internazionale. Ai fini dell'individuazione dei rischi di natura intersettoriale o transfrontaliera, il PCU e le ASC, sentito il Ministero degli affari esteri e della cooperazione internazionale, cooperano con le autorità competenti designate o istituite, ai sensi della
5. Ai fini della valutazione del rischio dello Stato, sono presi in considerazione almeno:
a) la valutazione generale del rischio effettuata ai sensi dell'articolo 6 della decisione n. 1313/2013/UE, del Parlamento europeo e del Consiglio, del 17 dicembre 2013;
b) altre valutazioni del rischio rilevanti, svolte ai sensi di disposizioni nazionali, diverse da quelle previste nel presente decreto, o dell'Unione europea, quali le disposizioni di cui ai decreti legislativi 23 febbraio 2010, n. 49, e 26 giugno 2015, n. 105, e ai regolamenti (UE) 2017/1938 del Parlamento europeo e del Consiglio, del 25 ottobre 2017, e (UE) 2019/941 del Parlamento europeo e del Consiglio, del 5 giugno 2019;
c) i rischi pertinenti derivanti dalla misura in cui i settori di cui all'allegato A dipendono l'uno dall'altro, e anche dalla misura in cui essi dipendono da soggetti situati in altri Stati membri dell'Unione europea e in Paesi terzi, nonchè l'impatto che una perturbazione significativa in un settore può avere su altri settori, compresi gli eventuali rischi significativi per i cittadini e il mercato interno;
d) le informazioni sugli incidenti notificati ai sensi dell'articolo 16.
6. Il PCU mette a disposizione dei soggetti critici gli elementi rilevanti della valutazione del rischio dello Stato. Il PCU garantisce che le informazioni fornite ai soggetti critici siano funzionali affinchè essi effettuino la propria valutazione del rischio ai sensi dell'articolo 13 e adottino le misure per garantire la propria resilienza ai sensi dell'articolo 14.
7. Il PCU trasmette alla Commissione europea le informazioni pertinenti sui tipi di rischi individuati e sui risultati della valutazione del rischio dello Stato, per settore e sottosettore di cui all'allegato A, entro tre mesi dalla sua effettuazione.
Art. 8. Individuazione dei soggetti critici
1. Le ASC, con il procedimento di cui all'articolo 6, comma 2, lettera d), individuano per ciascun settore e sottosettore di cui all'allegato A i soggetti ritenuti critici entro il 17 gennaio 2026 e li comunicano al PCU.
2. In sede di individuazione dei soggetti ritenuti critici, le ASC tengono conto dei risultati della valutazione del rischio dello Stato e della strategia e applicano tutti i seguenti criteri:
a) il soggetto fornisce uno o più servizi essenziali;
b) il soggetto opera, e la sua infrastruttura critica è situata, in tutto o in parte sul territorio dello Stato;
c) un incidente avrebbe effetti negativi rilevanti, ai sensi dell'articolo 9, sulla fornitura da parte del soggetto di uno o più servizi essenziali ovvero sulla fornitura di altri servizi essenziali che dipendono da tale o tali servizi essenziali.
3. Il PCU, tenuto conto delle comunicazioni pervenute ai sensi del comma 1, coordina le attività delle ASC, avviando, ove necessario, apposite interlocuzioni per garantire l'omogeneità dei criteri applicati, nel rispetto di quanto previsto dal decreto del Presidente del Consiglio dei ministri di cui all'articolo 9, comma 2, e forma un elenco dei soggetti critici.
4. Con decreto del Presidente del Consiglio dei ministri, sentito il CIR, entro il 17 luglio 2026, è adottato l'elenco dei soggetti critici individuati ai sensi del comma 3. Il decreto di cui al primo periodo non è soggetto a pubblicazione ed è escluso dall'accesso.
5. Entro trenta giorni dall'adozione dell'elenco di cui al comma 4, il PCU notifica ai soggetti che vi compaiono che i medesimi sono stati individuati come soggetti critici. Con la notifica di cui al primo periodo, il PCU informa tali soggetti critici degli obblighi di cui ai capi III e IV e del fatto che gli stessi obblighi si applicano dopo la scadenza del termine di dieci mesi dalla medesima notifica, fatto salvo quanto previsto dall'articolo 13, comma 1, e dall'articolo 17, comma 2. Il PCU informa, altresì, i soggetti critici dei settori bancario, delle infrastrutture dei mercati finanziari e delle infrastrutture digitali, di cui all'articolo 10, che essi non sono soggetti agli obblighi di cui all'articolo 12 e ai capi III e IV. La medesima notifica contiene l'indicazione dell'ASC di riferimento.
6. Il PCU, entro trenta giorni dall'adozione dell'elenco di cui al comma 4, notifica all'Agenzia per la cybersicurezza nazionale l'identità dei soggetti critici. Tale notifica indica anche a quali soggetti critici non si applicano, ai sensi dell'articolo 10, l'articolo 12 e i capi III, IV e VI.
7. L'elenco di cui al comma 4 è trasmesso anche agli organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della
8. A seguito dell'individuazione dei soggetti critici e, successivamente, quando necessario e, in ogni caso, almeno ogni quattro anni, il PCU notifica senza indebito ritardo alla Commissione europea le seguenti informazioni:
a) l'elenco dei servizi essenziali individuati con il decreto del Presidente del Consiglio dei ministri di cui all'articolo 7, comma 2;
b) il numero di soggetti critici per ciascun settore e sottosettore di cui all'allegato A e per ciascun servizio essenziale;
c) le soglie di cui all'articolo 9, comma 2, presentate come tali o in forma aggregata.
9. L'elenco dei soggetti critici di cui al comma 4 è riesaminato e, se del caso, aggiornato, quando necessario e, in ogni caso, almeno ogni quattro anni, con le medesime modalità di cui ai commi 1, 2, 3 e 4. Qualora tali aggiornamenti portino all'individuazione di soggetti critici ulteriori, si applicano i commi 5 e 6. Ai soggetti critici che in sede di aggiornamento non sono confermati, il PCU notifica tempestivamente tale decisione, anche informandoli che, a decorrere dalla data di ricevimento della notifica, non sono soggetti agli obblighi previsti dal presente decreto.
10. I soggetti di carattere regionale ritenuti critici sono individuati con decreto del Ministro dell'ambiente e della sicurezza energetica nel settore dell'energia di cui al numero 1 dell'allegato A, con decreto del Ministro delle infrastrutture e dei trasporti nel settore dei trasporti di cui al numero 2 dell'allegato A, con decreto del Ministro della salute nel settore della salute di cui al numero 5 dell'allegato A, con decreto del Ministro dell'ambiente e della sicurezza energetica nel settore dell'acqua potabile di cui al numero 6 dell'allegato A e nel settore delle acque reflue di cui al numero 7 dell'allegato A, con decreto del Ministro dell'agricoltura, della sovranità alimentare e delle foreste nel settore della produzione, trasformazione e distribuzione di alimenti di cui al numero 11 dell'allegato A. I decreti di cui al primo periodo sono adottati previa intesa in sede di Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano, ai sensi dell'articolo 3 del
Art. 9. Effetti negativi rilevanti
1. Nella determinazione della rilevanza degli effetti negativi di cui all'articolo 8, comma 2, lettera c), le ASC e il PCU tengono conto dei seguenti criteri:
a) il numero di utenti che dipendono dal servizio essenziale fornito dal soggetto;
b) la misura in cui altri settori e sottosettori di cui all'allegato A dipendono dal servizio essenziale in questione;
c) l'impatto che gli incidenti potrebbero avere, in termini di entità e di durata, sulle attività economiche o sociali, sull'ambiente, sulla pubblica sicurezza, sull'incolumità pubblica o sulla salute pubblica;
d) la quota di mercato del soggetto nel mercato del servizio essenziale fornito;
e) l'area geografica, anche transfrontaliera, che potrebbe essere interessata da un incidente, tenendo conto della vulnerabilità associata al grado di isolamento di alcuni tipi di aree geografiche, quali quelle insulari, remote o montane;
f) l'importanza del soggetto nel mantenimento di un livello sufficiente del servizio essenziale, tenendo conto della disponibilità di strumenti alternativi per la fornitura di tale servizio essenziale.
2. Entro il 17 luglio 2025, con decreto del Presidente del Consiglio dei ministri, adottato su proposta del CIR, sono definite le soglie per l'applicazione di uno o più criteri di cui al comma 1, anche differenziate in ragione del settore di appartenenza.
3. Lo schema di decreto di cui al comma 2 è trasmesso alla Camera dei deputati e al Senato della Repubblica per l'espressione del parere delle Commissioni parlamentari competenti per materia, che si pronunciano nel termine di trenta giorni, decorso il quale il decreto può essere comunque adottato.
Art. 10. Soggetti critici del settore bancario, delle infrastrutture dei mercati finanziari e delle infrastrutture digitali
1. Le disposizioni di cui all'articolo 12 e ai capi III, IV e VI non si applicano ai soggetti critici dei settori di cui ai numeri 3, 4 e 8 dell'allegato A, ai quali si applica la specifica disciplina settoriale.
Art. 11. Sostegno ai soggetti critici
1. Ferme restando le disposizioni in materia di aiuti di Stato, il PCU e le ASC, anche sulla base della valutazione del rischio dello Stato, sostengono i soggetti critici nel rafforzamento della loro resilienza, attraverso attività di scambio con essi di buone prassi, elaborazione di modelli, linee guida e metodologie di analisi, supporto nell'organizzazione di esercitazioni volte a testare la loro resilienza, nonchè nella realizzazione di corsi di formazione per il loro personale e, ove possibile, attraverso attività di consulenza.
2. Il PCU e le ASC agevolano la condivisione volontaria di informazioni fra i soggetti critici in relazione alle materie disciplinate dal presente decreto, nel rispetto delle disposizioni nazionali e del diritto dell'Unione europea relative alle informazioni classificate e sensibili, alla concorrenza e alla protezione dei dati personali.
3. Il PCU convoca e coordina, con cadenza periodica almeno annuale, anche su richiesta dei componenti, una conferenza per la resilienza dei soggetti critici (CRSC) composta da un rappresentante per ciascuna delle ASC, un rappresentante del Ministero dell'interno, uno del Ministero della difesa, uno del Dipartimento della protezione civile della Presidenza del Consiglio dei ministri e uno dell'Agenzia per la cybersicurezza nazionale.
4. Alla conferenza di cui al comma 3 possono partecipare i soggetti critici appartenenti ai settori di volta in volta oggetto della medesima conferenza, rappresentati dai membri del proprio personale di cui all'articolo 14, comma 3, nonchè soggetti pubblici e privati invitati dal PCU in base all'oggetto della conferenza.
5. La CRSC tratta questioni attinenti alla resilienza dei soggetti critici, agevola la condivisione, tra i componenti, di informazioni e delle migliori prassi e formula proposte in materia di rafforzamento della resilienza dei soggetti critici.
6. Ai componenti della CRSC non spettano compensi, gettoni di presenza, rimborsi di spese o altri emolumenti comunque denominati.
7. Alle attività di cui al comma 1, si provvede nei limiti delle risorse destinate al funzionamento di cui all'articolo 5, comma 16, del presente decreto.
Art. 12. Cooperazione con gli Stati membri dell'Unione europea
1. Quando opportuno, il PCU e, per il tramite di quest'ultimo, le ASC consultano i punti di contatto unici ovvero le autorità competenti designati o istituiti da parte degli altri Stati membri, ai sensi della
a) utilizzano infrastrutture critiche che collegano fisicamente l'Italia e uno o più Stati membri;
b) fanno parte di strutture societarie collegate o associate a soggetti individuati, ai sensi della
c) forniscono servizi essenziali a o in altri Stati membri.
2. Il PCU riceve le richieste di consultazione da parte degli altri Stati membri e le comunica senza ritardo alle autorità competenti interessate.
3. Le consultazioni di cui ai commi 1 e 2 sono intese a rafforzare la resilienza dei soggetti critici e, ove possibile, a ridurre gli oneri amministrativi a loro carico.
4. All'attuazione del presente articolo le amministrazioni interessate provvedono con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente.
Capo III
Resilienza dei soggetti critici
Art. 13. Valutazione del rischio da parte dei soggetti critici
1. Fermo restando il termine di dieci mesi di cui all'articolo 8, comma 5, i soggetti critici, al fine di valutare tutti i rischi rilevanti che potrebbero perturbare la fornitura dei loro servizi essenziali, effettuano una valutazione del rischio entro nove mesi dal ricevimento della notifica di cui al medesimo articolo 8, comma 5, e, successivamente, quando necessario e, in ogni caso, almeno ogni quattro anni, basandosi sulla valutazione del rischio dello Stato e su altre fonti di informazioni rilevanti.
2. Ai fini della valutazione del rischio di cui al comma 1, i soggetti critici individuano le proprie infrastrutture critiche ai sensi dell'articolo 2, comma 1, lettera d).
3. La valutazione del rischio dei soggetti critici tiene conto:
a) dei rischi rilevanti naturali e di origine umana che potrebbero causare un incidente, ivi compresi i rischi di natura intersettoriale o transfrontaliera, gli incidenti, le catastrofi naturali, le emergenze di sanità pubblica, le minacce ibride e altre minacce antagoniste, inclusi i reati con finalità di terrorismo anche internazionale;
b) della misura in cui altri settori di cui all'allegato A dipendono dal servizio essenziale fornito dal soggetto critico e della misura in cui tale soggetto critico dipende dai servizi essenziali forniti da parte di terzi in taluni altri settori, eventualmente anche in altri Stati membri e nei Paesi terzi vicini.
4. I soggetti critici possono adempiere gli obblighi di cui ai commi 1, 2 e 3 utilizzando documenti già predisposti ai sensi di disposizioni giuridiche pertinenti, diverse da quelle di cui al presente decreto, a condizione che tali documenti tengano conto dei rischi di cui al comma 3, lettera a), e della misura di dipendenza di cui al comma 3, lettera b).
5. Nell'esercizio delle funzioni di vigilanza di cui all'articolo 20, le ASC dichiarano se con i documenti già adottati di cui al comma 4 i soggetti critici hanno, in tutto o in parte, adempiuto agli obblighi di cui ai commi 1, 2 e 3.
Art. 14. Misure di resilienza dei soggetti critici
1. I soggetti critici, tenuto conto delle proprie infrastrutture critiche, individuate in base all'articolo 13, comma 2, adottano e applicano misure tecniche, di sicurezza e di organizzazione, adeguate e proporzionate, per garantire la propria resilienza, sulla base delle informazioni pertinenti fornite in merito alla valutazione del rischio dello Stato, messe a disposizione dal PCU ai sensi dell'articolo 7, comma 6, nonchè sulla base dei risultati della valutazione del rischio dei soggetti critici.
2. Le misure di cui al comma 1 includono quelle necessarie per:
a) evitare il verificarsi di incidenti, anche considerando l'adozione di misure di riduzione del rischio di catastrofi e di misure di adattamento ai cambiamenti climatici;
b) realizzare un'adeguata protezione fisica dei propri siti e delle infrastrutture critiche, anche considerando, a mero titolo esemplificativo, recinzioni, barriere, strumenti e routine di controllo del perimetro, impianti di rilevamento e controllo degli accessi;
c) contrastare e resistere alle conseguenze degli incidenti, nonchè mitigarle, anche considerando procedure e protocolli di gestione dei rischi e delle crisi, nonchè pratiche di allerta;
d) ripristinare le proprie capacità operative in caso di incidenti, anche considerando l'adozione di misure per la continuità operativa e per l'individuazione di catene di approvvigionamento alternative, al fine di ripristinare la fornitura del servizio essenziale;
e) garantire un'adeguata gestione della sicurezza del personale, inclusi:
1) l'individuazione di categorie di personale che svolgono funzioni critiche, ivi compreso il personale dei fornitori esterni di servizi;
2) il rilascio di autorizzazioni per l'accesso ai siti, alle infrastrutture critiche e alle informazioni sensibili;
3) le procedure per il controllo dei precedenti personali e la designazione di categorie di persone tenute a sottoporsi a tale controllo ai sensi dell'articolo 15;
4) adeguati requisiti di formazione e adeguate qualifiche;
f) informare il personale in merito ai rischi e alle misure adottate ai sensi delle lettere da a) ad e), anche considerando misure quali la realizzazione di corsi di formazione, di materiale informativo e di esercitazioni.
3. I soggetti critici si dotano di un'adeguata organizzazione interna, e designano un soggetto, da comunicare alle ASC e al PCU, al fine di assicurare l'attuazione degli adempimenti previsti dal presente decreto per i soggetti critici, nonchè il collegamento con le ASC e con il PCU.
Per le finalità di cui al primo periodo i soggetti critici pubblici provvedono nell'ambito delle risorse umane, strumentali, finanziarie disponibili a legislazione vigente.
4. I soggetti critici predispongono e applicano un piano di resilienza in cui sono descritte le misure adottate ai sensi dei commi 1, 2 e 3. I soggetti critici aggiornano il piano di resilienza quando necessario e, in ogni caso, almeno ogni tre anni. Qualora i soggetti critici abbiano redatto documenti o adottato misure ai sensi di disposizioni giuridiche pertinenti diverse da quelle di cui al presente decreto per le misure stabilite dai commi 1, 2 e 3, essi possono utilizzare tali documenti e misure per soddisfare i requisiti stabiliti dal presente articolo.
5. Nell'esercizio delle loro funzioni di vigilanza, le ASC dichiarano se le misure e i documenti di cui al comma 4 sono conformi, in tutto o in parte, agli obblighi di cui al presente articolo.
Art. 15. Controlli dei precedenti personali
1. Anche al di fuori delle ipotesi già previste dal testo unico delle disposizioni legislative e regolamentari in materia di casellario giudiziale, di casellario giudiziale europeo, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, di cui al
a) che rivestono ruoli sensibili all'interno dello stesso soggetto critico o a vantaggio di quest'ultimo, con particolare riferimento ai ruoli con competenze in materia di resilienza;
b) che sono autorizzate ad accedere, direttamente o a distanza, ai siti o ai suoi sistemi informatici o di controllo;
c) candidate per l'assunzione in ruoli con caratteristiche che rientrano nelle lettere a) o b).
2. Ai fini dell'istanza di cui al comma 1, il soggetto critico trasmette alla ASC una richiesta motivata con specifico riferimento alle condizioni di cui alle lettere a), b) e c) del medesimo comma 1 e ai reati ritenuti rilevanti ai fini del ruolo da ricoprire. La ASC valuta la sussistenza delle condizioni necessarie e della motivazione e verifica che i controlli richiesti siano proporzionati e strettamente limitati a quanto necessario, anche con riferimento alla rilevanza dei reati, nonchè che siano effettuati al solo scopo di valutare un potenziale rischio per la sicurezza del soggetto critico interessato. Nel caso in cui la ASC non fornisca risposta entro dieci giorni dalla data di ricevimento della richiesta di cui al primo periodo, l'autorizzazione alla presentazione dell'istanza di cui al comma 1 si intende negata.
3. Con decreto del Presidente del Consiglio dei ministri, sentito il Garante per la protezione dei dati personali, sono individuate le modalità ed i tempi di conservazione dei certificati del casellario giudiziale europeo nel rispetto della disciplina nazionale ed europea.
4. L'ufficio centrale di cui agli articoli 2, comma 1, lettera p), e 19 del testo unico di cui al
Art. 16. Notifica degli incidenti
1. I soggetti critici, senza indebito ritardo, notificano all'autorità settoriale competente e al PCU gli incidenti rilevanti, che perturbano o possono perturbare in modo significativo la fornitura di servizi essenziali.
2. Salvo che siano operativamente impossibilitati a farlo, i soggetti critici effettuano la notifica di cui al comma 1 entro ventiquattro ore dal momento in cui vengono a conoscenza dell'incidente e, ove opportuno, trasmettono una relazione dettagliata entro i successivi trenta giorni.
3. Per determinare la rilevanza dell'incidente di cui al comma 1 si tiene conto in particolare dei parametri seguenti:
a) numero e percentuale di utenti interessati;
b) durata della perturbazione;
c) area geografica interessata, considerando l'eventuale isolamento geografico di tale area.
4. Con il decreto del Presidente del Consiglio dei ministri di cui all'articolo 9, comma 2, sono individuate, su proposta delle ASC, per il tramite del PCU, soglie quantitative, per ciascuno dei parametri di cui al comma 3, con specifico riferimento ai singoli settori di cui all'allegato A. Con il medesimo decreto sono individuate, altresì, le modalità con cui effettuare la notifica di cui al comma 2.
5. Gli incidenti che perturbano o possono perturbare in modo significativo la continuità della fornitura dei servizi essenziali almeno a o in sei Stati membri sono notificati dalle ASC alla Commissione europea, tramite il PCU.
6. Le notifiche di cui al comma 1 includono ogni informazione utile a permettere alle ASC e al PCU di conoscere natura, causa e possibili conseguenze dell'incidente, compresa ogni informazione utile a determinare l'eventuale impatto transfrontaliero degli incidenti, nonchè ogni informazione utile a permettere alle ASC di reagire tempestivamente agli incidenti e non espongono i soggetti critici a una maggiore responsabilità.
7. Il PCU trasmette agli organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della
8. Sulla base delle informazioni fornite dai soggetti critici nelle notifiche di cui al comma 1, le ASC, tramite il PCU, quando gli incidenti notificati hanno o possono avere un impatto rilevante sulla continuità della fornitura di servizi essenziali a o in altri Stati membri, informano i punti di contatto unici designati o istituiti, ai sensi della
9. Le informazioni fornite e ricevute dal PCU ai sensi del comma 7 sono trattate da quest'ultimo ai sensi delle disposizioni nazionali e del diritto dell'Unione europea, rispettandone la riservatezza e tutelando la sicurezza e gli interessi commerciali dei soggetti critici interessati.
10. Ferme restando le disposizioni a tutela delle indagini nel procedimento penale e a tutela della sicurezza delle informazioni classificate, le ASC che hanno ricevuto una notifica ai sensi del comma 1 forniscono tempestivamente al soggetto critico notificante e al PCU ogni informazione utile in merito al seguito dato alla notifica, compresa ogni informazione utile a permettere al soggetto critico un'efficace risposta all'incidente notificato.
11. Le ASC che hanno ricevuto una notifica ai sensi del comma 1 assicurano, di concerto con il PCU, adeguata pubblicità ad ogni informazione rilevante per l'interesse pubblico relativa all'incidente notificato e al seguito dato a tale notifica.
Capo IV
Soggetti critici di particolare rilevanza europea
Art. 17. Individuazione dei soggetti critici di particolare rilevanza europea
1. Sono soggetti critici di particolare rilevanza europea (SCRE) quelli individuati dalla Commissione europea ai sensi dell'articolo 17 della
2. Entro un mese dalla notifica di individuazione di cui all'articolo 8, comma 5, del presente decreto, i soggetti critici che forniscono servizi essenziali almeno a o in sei Stati membri comunicano al PCU e all'autorità settoriale competente quali servizi essenziali forniscono a quali o in quali Stati membri.
3. Il PCU, ai fini della procedura di individuazione degli SCRE da parte della Commissione europea, notifica a quest'ultima, senza indebito ritardo, l'identità dei soggetti critici che hanno effettuato la comunicazione di cui al comma 2, nonchè le informazioni in essa contenute.
4. Nel corso della procedura di individuazione degli SCRE di cui al comma 1, i soggetti critici che hanno effettuato la comunicazione di cui al comma 2, le ASC e il PCU, prestano ogni necessaria collaborazione alle attività di consultazione avviate dalla Commissione europea. Nel corso delle consultazioni, il PCU comunica alla Commissione europea se i servizi forniti nello Stato da un soggetto individuato come critico in un altro Stato membro siano ritenuti essenziali.
5. Il PCU è l'autorità competente a ricevere la comunicazione di cui all'articolo 17, paragrafo 3, della
6. Il presente capo si applica ai soggetti critici individuati come SCRE a decorrere dalla data di ricevimento della notifica di cui al comma 5.
Art. 18. Missioni di consulenza
1. Per valutare le misure adottate da parte di un soggetto critico individuato ai sensi dell'articolo 8, comma 4, e individuato altresì come SCRE, ai sensi dell'articolo 17 della
2. Il PCU, sentita l'autorità settoriale competente, può accogliere la richiesta della Commissione europea di organizzare una missione di consulenza di cui al comma 1.
3. Su richiesta motivata della Commissione europea o di almeno uno Stato membro a cui o in cui sono forniti servizi essenziali da parte di un soggetto critico di cui al comma 1, il PCU, sentita l'autorità settoriale competente, fornisce alla Commissione europea, con riferimento a tale soggetto critico:
a) le parti pertinenti della valutazione del rischio del soggetto critico;
b) un elenco delle pertinenti misure adottate dal soggetto critico ai sensi dell'articolo 14;
c) informazioni sui provvedimenti adottati ai sensi degli articoli 13, comma 4, o 14, comma 5, e sulle attività svolte e i provvedimenti adottati ai sensi degli articoli 20 e 21.
4. Il PCU è l'autorità competente a ricevere la relazione delle missioni di consulenza di cui all'articolo 18, paragrafo 4, primo comma, della
5. Se la relazione di cui al comma 4 riguarda la valutazione delle misure adottate da un soggetto critico di particolare rilevanza europea, individuato come soggetto critico in un altro stato membro e che fornisce servizi essenziali all'Italia o in Italia, il PCU, anche su proposta delle ASC, può trasmettere alla Commissione europea osservazioni in merito alla relazione medesima con riferimento all'adempimento degli obblighi di cui al capo III della
6. Il PCU è l'autorità competente a ricevere il parere della Commissione europea di cui all'articolo 18, paragrafo 4, terzo comma, della
7. Il PCU, senza indebito ritardo, trasmette il parere di cui al comma 6 all'autorità settoriale competente.
8. Se il parere di cui al comma 6 riguarda un soggetto critico individuato ai sensi dell'articolo 8, comma 4, quest'ultimo si adegua a tale parere e l'autorità settoriale competente verifica il relativo adempimento.
9. Il PCU, sentiti l'autorità settoriale competente e il soggetto critico interessato, fornisce alla Commissione europea e agli Stati membri ai quali o nei quali sono forniti i servizi essenziali da parte di tale soggetto informazioni in merito alle misure che sono state adottate sulla base del parere della Commissione.
10. Il PCU, sentite le ASC, propone alla Commissione europea gli esperti nazionali che partecipano alle missioni di consulenza ai sensi dell'articolo 18, paragrafo 5, della
11. Il PCU, sentita l'autorità settoriale competente e con l'accordo del soggetto critico interessato, può richiedere alla Commissione europea di organizzare missioni di consulenza, conformemente alle disposizioni di cui all'articolo 18, paragrafi 6, 8 e 9, della
12. Le missioni di consulenza di cui ai commi 1 e 2, nei limiti di quanto necessario per il proprio svolgimento, hanno accesso alle informazioni, ai sistemi e agli impianti relativi alla fornitura di servizi essenziali da parte dei soggetti critici individuati come SCRE.
13. Le missioni di consulenza di cui ai commi 1 e 2 si svolgono conformemente al diritto nazionale e nel rispetto delle esigenze di sicurezza e di tutela degli interessi nazionali.
14. Il PCU, sentita l'autorità settoriale competente, informa il gruppo per la resilienza dei soggetti critici di cui all'articolo 19 della
15. Agli oneri di missione derivanti dal presente articolo, pari a euro 14.472 per l'anno 2024 e pari a euro 57.888 annui a decorrere dall'anno 2025, si provvede mediante corrispondente riduzione del Fondo per il recepimento della normativa europea di cui all'articolo 41-bis della
16. Con decreto del Presidente del Consiglio dei ministri, di concerto con il Ministro dell'economia e delle finanze, le somme relative alla copertura degli oneri di missione sono ripartite tra il PCU e le ASC in ragione delle funzioni agli stessi attribuite dal presente decreto e tenendo conto, per quanto riguarda le ASC, del numero dei settori, dei sottosettori e delle categorie dei potenziali soggetti critici, nonchè dei relativi elementi di complessità tecnica.
Capo V
Cooperazione e comunicazione
Art. 19. Gruppo per la resilienza dei soggetti critici
1. Il PCU partecipa alle attività del gruppo per la resilienza dei soggetti critici di cui all'articolo 19 della
Capo VI
Vigilanza ed esecuzione
Art. 20. Vigilanza ed esecuzione
1. Fatte salve le attribuzioni e le competenze degli organi preposti alla tutela dell'ordine e della sicurezza pubblica, le ASC vigilano sul rispetto degli obblighi previsti in capo ai soggetti critici dal presente decreto. A tal fine, le ASC, tenendo informato il PCU, esercitano i poteri previsti dal presente decreto, ivi inclusi, di propria iniziativa o su proposta del PCU, i seguenti poteri:
a) effettuare ispezioni dell'infrastruttura critica e dei siti utilizzati dai soggetti critici per fornire i loro servizi essenziali e richiedere informazioni, documenti e ogni altro elemento utile a valutare le misure adottate dai soggetti critici conformemente all'articolo 14;
b) svolgere o disporre controlli nei confronti dei soggetti critici.
2. Le ASC, se necessario per esercitare le competenze ad esse attribuite dal presente decreto, possono chiedere in forma scritta ai soggetti critici individuati ai sensi dell'articolo 8, comma 4, di fornire, entro un termine ragionevole, da indicare nella richiesta:
a) le informazioni necessarie per valutare se le misure adottate da tali soggetti per garantire la loro resilienza soddisfano i requisiti di cui all'articolo 14;
b) la prova dell'effettiva attuazione delle misure di cui alla lettera a), inclusi i risultati di un controllo svolto a spese di tali soggetti critici da parte di un revisore indipendente e qualificato, dagli stessi selezionato.
3. Le richieste di cui al comma 2 indicano il proprio scopo e specificano il tipo di informazioni da fornire.
4. Fatto salvo il potere sanzionatorio di cui all'articolo 21, le ASC, quando a seguito dell'esercizio dei poteri di vigilanza di cui al comma 1 e della valutazione degli elementi richiesti ai sensi del comma 2, accertano la violazione degli obblighi imposti dal presente decreto, diffidano i soggetti critici cui la violazione si riferisce ad adottare, entro un termine ragionevole, da indicare nella diffida, le misure, necessarie e proporzionate, per sanare la violazione, nonchè a fornire le informazioni sulle misure adottate.
5. Le diffide di cui al comma 4 tengono conto della gravità della violazione.
6. I poteri di cui ai commi 1, 2 e 4 sono esercitati in modo oggettivo, trasparente, proporzionato e tale da tutelare i segreti commerciali e aziendali dei soggetti critici, nonchè i loro diritti e interessi legittimi, inclusi il diritto al contraddittorio, i diritti della difesa, tra cui quello di produrre documenti e di formulare osservazioni, e il diritto a un ricorso effettivo dinanzi a un giudice indipendente.
7. Quando le ASC esercitano i poteri di cui ai commi 1 e 2 nei confronti dei soggetti critici:
a) informano l'Agenzia per la cybersicurezza nazionale e il PCU;
b) possono chiedere all'Agenzia per la cybersicurezza nazionale di esercitare, nei confronti di tali soggetti critici, i poteri di vigilanza e di esecuzione previsti in capo a quest'ultima dalle disposizioni nazionali di attuazione della
8. Al fine di quanto previsto dal comma 7, le ASC, informato il PCU, cooperano e scambiano informazioni con l'Agenzia per la cybersicurezza nazionale.
Art. 21. Sanzioni
1. Le ASC, per i rispettivi settori e sottosettori di riferimento di cui all'allegato A, sono competenti per l'accertamento delle violazioni delle disposizioni di cui al presente decreto da parte di un soggetto critico e per l'irrogazione delle sanzioni amministrative previste dal presente articolo.
2. Salvo che il fatto costituisca reato, le ASC applicano una sanzione amministrativa pecuniaria, da 25.000 euro a 125.000 euro, nei confronti del soggetto critico che pone in essere una delle seguenti violazioni:
a) non effettua la valutazione del rischio dei soggetti critici di cui all'articolo 13;
b) non adotta le misure ai sensi dell'articolo 14, commi 1 e 2, lettere a), c) e d);
c) non adotta le misure ai sensi dell'articolo 13, comma 2, e dell'articolo 14, comma 2, lettere b), e) e f), e comma 3;
d) non adotta le misure ai sensi dell'articolo 14, comma 4;
e) non notifica alle ASC o al PCU gli incidenti, ai sensi dell'articolo 16;
f) non adotta le misure di cui all'articolo 20, comma 4, entro il termine previsto dalla diffida ivi disciplinata.
3. Salvo che il fatto costituisca reato, le ASC applicano una sanzione amministrativa pecuniaria, da 10.000 euro a 50.000 euro, nei confronti del soggetto critico che, entro trenta giorni dallo scadere del termine di cui all'articolo 20, comma 2, non fornisca le informazioni e le prove richieste e non risponda per esporre le ragioni del ritardo.
4. Si ha reiterazione delle violazioni di cui al presente articolo nei casi regolati dall'articolo 8-bis della
5. Ai fini dell'irrogazione delle sanzioni amministrative pecuniarie di cui ai commi 1 e 2, le ASC, per quanto non previsto dal presente decreto, applicano il capo I, sezioni I e II, della
Art. 22. Clausola di invarianza finanziaria
1. Salvo quanto previsto dall'articolo 5, comma 14, e dall'articolo 18, comma 15, dall'attuazione del presente decreto non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Le amministrazioni interessate vi provvedono nell'ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente.
Capo VII
Disposizioni finali
Art. 23. Disposizioni transitorie e abrogazioni
1. Le disposizioni di cui al presente decreto si applicano a decorrere dal 18 ottobre 2024.
2. A decorrere dal 18 ottobre 2024 il