Ultimi Nutizie

Attualità mundiale per u populu corsu

Rivista Principià

Cumu serà l’Agenzia Naziunale di Cibersigurtà (Acn)? Chì prevede u decretu?

Cumu serà l'Agenzia Naziunale di Cibersigurtà (Acn)? Chì prevede u decretu?

Eccu u prugettu di u decretu legge nantu à u cyber cù a creazione di l'Agenzia Naziunale di Cibersigurtà (Acn)

L'établissement de l'Agence nationale de cybersécurité (Acn) est prêt après que le gouvernement Draghi a détruit le projet de l'ancien premier ministre Giuseppe Conte de l'agence Dis interne qui avait été conçu par l'ancien numéro un de Dis, Gennaro Vecchione , torpillé par le gouvernement Draghi chì hà numinatu Elisabetta Belloni .

Eccu tutti i dettagli nantu à u schema di decretu-lege ciberneticu cù a creazione di l'Agenzia Naziunale di Cibersigurtà (Acn).

U guvernu accelera nantu à l'Agenzia Naziunale di Cibersigurtà (Acn), un urganisimu publicu cù autonumia regolamentare, amministrativa, patrimuniale, organizzativa, previstu in u prugettu di 19 articuli, incompletu è sottumessu à cambiamenti, di u decretu di a lege di Cibersigurtà chì duverebbe ghjunghje in Cunsigliu di i ministri.

Vista "a vulnerabilità di e rete, di i sistemi di informazioni, di i servizii IT è di e cumunicazioni elettroniche di entità publiche è private chì ponu esse sfruttate per causà u malfunzione totale o parziale o l'interruzzione di e funzioni essenziali di u Statu è di i servizii essenziali per u mantenimentu di e funzioni civili , Attività suciali o ecunomiche fundamentali per l'interessi di u Statu ", u guvernu vole ridefinisce l'architettura di cibersigurtà italiana prevedendu ancu a creazione di una agenzia speciale per" adattalla à l'evoluzione tecnologica, à u cuntestu di minaccia da u spaziu ciberneticu, in quantu à u quadru regulatoriu europeu, è à avè da ligà, ancu, per prutege l'unità ghjuridica di u sistema ghjuridicu, e disposizioni nantu à a sicurezza di e rete, sistemi d'infurmazione, servizii IT è cumunicazioni elettroniche ".

In più di l'Acn, u decretu stabilisce, in Palazzo Chigi, un cumitatu interministeriale per a cibersigurtà (Cics) "cù e funzioni di cunsultà, di prupone è di deliberà nantu à e pulitiche di cibersigurtà, ancu cù u scopu di prutege a sicurezza naziunale in u spaziu ciberneticu. ".

A dispusizione prevede ancu l'assunzione di persunale ad hoc, ancu quelli chì ùn venenu micca da l'amministrazione publica. U core di cibersigurtà, istituitu à l'ACN, una sorta di prima linea chì assicura u sustegnu à u premier in casu di crisa, hè cumpostu da u cunsiglieru militare di u primu ministru, un rappresentante, rispettivamente, di u Dis, l'Aise, u Aisi è ognunu di i ministeri rappresentati in u cumitatu interministeriale per a sicurezza di a republica (Cisr), oltre à un rappresentante di u ministeru di l'università, u ministru delegatu per l'innovazione tecnologica è a transizione digitale, è un rappresentante di u dipartimentu di a prutezzione civile di Palazzo Chigi.

U presidente di u Cunsigliu di i Ministri hè assignatu esclusivamente: alta direzzione è rispunsabilità generale per e pulitiche di cibersigurtà, ancu per u scopu di prutege a sicurezza naziunale in u spaziu ciberneticu; l'adopzione di a strategia naziunale di cibersigurtà, dopu avè cunsultatu u cumitatu interministeriale per a cibersigurtà (Cics); a nomina è u licenziamentu di u Direttore Generale è di u Direttore Generale Adjuntu di l'Agenzia Naziunale di Cibersigurtà.

U presidente di u Cunsigliu di Ministri, dopu avè cunsultatu i Cics, emette e direttive per a cibersigurtà è emette tutte e disposizioni necessarie per l'urganizazione è u funziunamentu di l'Agenzia Naziunale di Cibersigurtà. A pruposta di l'Agenzia di Cibersigurtà hè stata trasmessa in l'ultime ore à Copasir, chjamata per sprime un parè nantu à u testu.

+++

SCHEMA DI UN DECRETU-LEGGE CONTENENTI DISPOSIZIONI URGENTI IN U CAMPU DI A SICUREZZA CIBERATICA, DEFINIZIONE DI L'ARCHITETTURA NAZIUNALE DI SICUREZZA CIBERICA E STABBILIMENTU DI L'AGENZIA NAZIUNALE DI SICUREZZA CIBERICA.

U PRESIDENTU DI A REPUBBLICA

VISTU l'articuli 77 è 87 di a Custituzione;

DATA a lege di u 23 d'aostu 1988, n. 400, cuntenendu a disciplina di l'attività di u Guvernu è l'ordine di a Presidenza di u Cunsigliu di Ministri;

CONSIDERANDU chì e vulnerabilità di e rete, di i sistemi di infurmazione, di i servizii IT è di e cumunicazioni elettroniche di e entità publiche è private ponu esse sfruttate per causà u malfunzionamentu totale o parziale o l'interruzzione di e funzioni essenziali di u Statu è di i servizii essenziali per u mantenimentu di i servizii civili, attività suciali o ecunomiche essenziali per l'interessi di u Statu, è ancu servizii d'utilità publica, cù ripercussioni putenzialmente gravi annantu à i citadini, l'imprese è l'amministrazioni publiche, finu à u puntu di causà preghjudiziu à a sicurezza naziunale;

CUNZUNANTU u stranu bisognu è urgenza, in u quadru regulatoriu attuale è di fronte à l'implementazione in corsu di infrastrutture tecnologiche impurtanti è strategiche, ancu in relazione à recenti attacchi à e rete di i paesi europei è di partenarii internaziunali impurtanti capaci di determinà effetti, cumpresu di una natura sistemica è chì sottolinea ancu cume u cyber duminiu custituisce un terrenu per paragunà cù e riflessioni nantu à a sicurezza naziunale, per razionalizà e cumpetenze in questu spaziu, per assicurà una coordinazione più efficace, per implementà misure destinate à fà u paese più sicuru è resistente ancu in u duminiu digitale, per avè l'utili i più adatti per un'intervenzione immediata chì permettenu di trattà qualsiasi situazione d'urgenza chì implichi profili di cibersigurtà cù a massima efficacia è rapidità;

VISTU dinò a necessità è l'urgenza di mette in opera u Pianu Naziunale di Riacquistu è Resilienza, appruvatu da u Cunsigliu di Ministri à a riunione di u 29 d'aprile 2021, chì prevede prughjetti specifici in u campu di a cibersigurtà, in particulare per a creazione di una cibersigurtà naziunale, cum'è fattore necessariu per assicurà u sviluppu è a crescita di l'ecunumia naziunale è di l'industria, ponendu a cibersigurtà à u fundamentu di a trasfurmazione digitale;

CONSIDERANDU dunque chì hè necessariu intervene d'urgenza per ridefinisce l'architettura di cibersigurtà italiana, prevedendu ancu a creazione di una Agenzia Naziunale specifica di Cibersigurtà, per adattalla à l'evoluzione tecnologica, à u cuntestu di e minacce venute da u ciberspaziu, è dinò à u quadru regulatoriu europeu, è à avè da ligà, ancu, per prutege l'unità ghjuridica di u sistema ghjuridicu, e disposizioni nantu à a sicurezza di e rete, sistemi d'infurmazione, servizii IT è cumunicazioni elettroniche;

DÀ a risoluzione di u Cunsigliu di Ministri, aduttata à a riunione di ……. 2021; Nantu à a pruposta di u presidente di u Cunsigliu di i Ministri;

EMISSIONI u decretu-lege chì seguita:

Art. I (Definizioni)

1. Per u scopu di stu decretu, valenu e definizioni seguenti:

a) cibersigurtà, l'inseme di l'attività necessarie per prutege è assicurà a dispunibilità, a cunfidenzialità è l'integrità di e rete; sistemi d'infurmazione, servizii IT è cumunicazioni elettroniche da minacce informatiche, garantendu dinò a so resilienza;

b) decretu-lege perimetrale, u decretu-lege 21 di settembre di u 2019, n. 105, cunvertitu, cù modifiche, da a lege 18 di nuvembre di u 2019, n. 133, cuntenendu disposizioni urgenti in quantu à u perimetru di a cibersigurtà naziunale è a regulazione di puteri speciali in settori d'impurtanza strategica;

c) decretu legislativu NlS, u decretu legislativu 18 di maghju 2018, n. 65, in attuazione di a Direttiva (UE) 2016/1148 di u Parlamentu Europeu è di u Cunsigliu, di u 6 di lugliu 2016, riguardanti misure per un altu livellu cumunu di sicurezza di e rete è di i sistemi d'informazione in l'Unione;

d) CISR, u Cumitatu Interministeriale per a Sicurezza di a Republica riferitu in l'articulu 5 di a Legge n. 124;

e) DIS, u Dipartimentu di l'Infurmazione di Sicurezza chjamatu in l'articulu 4 di a Legge n. 124 di u 2007;

j) AlSE, l'agenzia esterna d'infurmazione è di securità chjamata à l'articulu 6 di a lege n. 124 di u 2007; g) AISI, l'agenza d'informazione è di securità interna chjamata in l'articulu 7 di a lege n. 124 di u 2007; h) COPASIR, u Cumitatu Parlamentariu per a securità di a Republica chjamatu in l'articulu 30 di a Legge n. 124 di u 2007; i) strategia naziunale di cibersigurtà, a strategia chjamata in l'articulu 6 di u decretu legislativu NJS.

Art. 2 (Poteri di u Presidente di u Cunsigliu di Ministri)

1. U presidente di u Cunsigliu di Ministri hè attribuitu solu:

a) alta gestione è rispunsabilità generale per e pulitiche di cibersigurtà, ancu per i scopi di prutezzione di a sicurezza naziunale in u spaziu ciberneticu;

b) l'adopzione di a strategia naziunale di cibersigurtà, dopu avè cunsultatu u Cumitatu Interministeriale per a Cibersigurtà (CICS) di cui à l'articulu 4;

c) a nomina è a destituzione di u direttore generale è di u direttore generale aghjuntu di l'Agenzia Naziunale di Cibersigurtà di cui à l'articulu 5.

2. Per l'esercitu di e cumpetenze di cui à a lettera a) è l'implementazione di a strategia naziunale di cibersigurtà, u presidente di u Cunsigliu di Ministri, dopu avè cunsultatu u CICS, emette e direttive per a cibersigurtà è emette tutte e disposizioni necessarie per l'organizazione è u funziunamentu di l'Agenzia Naziunale di Cibersigurtà.

Art. 3 (Autorità delegata)

1. U presidente di u Cunsigliu di Ministri, induve ellu ritene opportunu, pò delegà à l'autorità delegata chjamata à l'articulu 3 di a lege n. 124 di u 2007, induve sò stabilite, e funzioni riferite in stu decretu chì ùn li sò micca attribuite solu.

2. U presidente di u Cunsigliu di i Ministri hè sempre infurmatu da l'Autorità delegata nantu à e procedure per l'eserciziu di e funzioni delegate in virtù di stu decretu è, senza pregiudiziu à u putere di a direttiva, pò in ogni mumentu invocà l'eserciziu di tutte o alcune di elli.

3. L'Autorità Delegata, in relazione à e funzioni delegate in virtù di stu decretu, participeghja à e riunioni di u Cumitatu Interministeriale per a transizione digitale chjamata in l'articulu 8 di u decretu-lege 1 marzu 2021, n. 22, cunvertitu, cù mudificazioni, da lege 22 aprile 2021, n. 55. 2 prugettu u 08/06/2021

Art. 4 (Cumitatu Interministeriale per a Cibersigurtà)

1. U Cumitatu Interministeriale per a Cibersigurtà (CICS) hè istituitu à a Presidenza di u Cunsigliu di Ministri, cù e funzioni di cunsiglià, prupone è deliberà nantu à e pulitiche di cibersigurtà, ancu per u scopu di prutege a sicurezza naziunale in u spaziu ciberneticu.

2. U Cumitatu:

a) prupone à u presidente di u Cunsigliu di Ministri e linee guida generali da seguità in u quadru di e pulitiche naziunali di cibersigurtà;

b) faci una alta vigilanza nantu à l'implementazione di a strategia naziunale di cibersigurtà;

c) prumove l'adopzione di l'iniziative necessarie per favurisce una cullaburazione efficace, à livellu naziunale è internaziunale, trà sughjetti istituziunali è operatori privati ​​interessati à a cibersigurtà, è dinò per a spartera di l'infurmazioni è per l'adopzione di e migliori pratiche è misure destinate à u scopu di cibersigurtà è sviluppu industriale, tecnulugicu è scentificu in u campu di a cibersigurtà;

d) deliberà è esprime opinioni nantu à u bilanciu è i bilanci finali di l'Agenzia Naziunale di Cibersigurtà.

3. U Cumitatu hè presiedutu da u Presidente di u Cunsigliu di Ministri è hè cumpostu da l'Autorità delegata, induve hè stabilita, u Ministru di l'Affari Esteri è di a Cooperazione Internaziunale, u Ministru di l'Interior, u Ministru di a Ghjustizia, u Ministru di a Difesa, u Ministru di l'Ecunumia è di e Finanze, u Ministru di u Sviluppu Ecunomicu, u Ministru di a Transizione Ecologica, u Ministru di l'Università è di a Ricerca è u Ministru Delegatu per l'Innovazione Tecnologica è a Transizione Digitale

4. U Direttore Generale di l'Agenzia svolge e funzioni di Sicritariu di u Cumitatu.

5. U presidente di u Cunsigliu di Ministri pò chjamà altri membri di u Cunsigliu di Ministri, u direttore generale di u DIS, u direttore di l'AISE, u direttore per participà à e riunioni di u Cumitatu, ancu dopu a so dumanda, senza u dirittu di votu. di l'AISI, è ancu d'altre autorità civili è militari chì a so presenza hè ritenuta necessaria di tantu in tantu in relazione à e questioni da trattà.

6. U Cumitatu rializeghja dinò e funzioni digià attribuite à u CISR da u decretu-lege perimetrale è da e misure di implementazione cunnesse, eccettu quelle previste da l'articulu 5 di u listessu decretu-lege perimetrale.

Art. 5 (Agenzia Naziunale di Cibersigurtà)

1. Per prutege l'interessi naziunali in u campu di a cibersigurtà, ancu per u scopu di prutege a sicurezza naziunale in u spaziu ciberneticu, hè creata l'Agenzia Naziunale di Cibersigurtà (ACN), chjamata per i scopi di stu decretu "Agenzia", ​​cù sede in Roma.

2. L'Agenzia hà una persunalità ghjuridica in virtù di u dirittu publicu è hè dotata di autonumia regolamentare, amministrativa, patrimoniale, organizzativa, contabile è finanziaria, in i limiti di e disposizioni di stu decretu. I regolamenti previsti in questu decretu ponu ancu cuntene disposizioni in deroga da i regolamenti in vigore, in relazione à l'esercitu di e funzioni di prutezzione di a sicurezza naziunale in u spaziu ciberneticu attribuitu à l'Agenzia stessa è tenendu contu di l'attività svolte in cunnessione cù u Sistema d'Infurmazione per a sicurezza di a Republica chjamata in a legge n. 124 di 2007.

3. U presidente di u Cunsigliu di i Ministri è l'Autorità Delegata, induve hè stabilita, facenu usu di l'Agenzia per l'eserciziu di e cumpetenze menzionate in stu decretu.

4. A gestione generale di l'Agenzia hè affidata à un senior manager di l'amministrazione di u Statu o equivalente, identificatu trà e persone di qualificazione prufessiunale particulare è pruvata in u campu di a cibersigurtà è in pussessu di una sperienza documentata d'altu livellu in a gestione di i prucessi d'innovazione . L'uffizii di u direttore generale è di u direttore generale aghjuntu anu una durata massima di quattru anni è sò rinnovabili, cù misure successive, per una durata massima massima di altri quattru anni. Cum'è previstu da stu decretu, u Direttore Generale di l'Agenzia hè a persona di cuntattu direttu di u Presidente di u Cunsigliu di Ministri è di l'Autorità Delegata, induve hè stabilita, è hè gerarchicamente è funzionalmente superordinata à u persunale di l'Agenzia. U Direttore Generale hè u rappresentante legale di l'Agenzia.

5. L'attività di l'Agenzia hè regulata da stu decretu è da e disposizioni chì a so adozione hè prevista da listessu.

6. L'Agenzia pò dumandà, ancu secondu l'accordi specifici è in cunfurmità cù i duminii di cumpetenza particulare, a cullaburazione di altri urganisimi di u Statu, d'altre amministrazioni, di forze di pulizza o d'urganisimi publichi per a realizazione di i so compiti istituziunali.

Art. 6 (Organizazione di l'Agenzia Naziunale di Cibersigurtà)

1. L'urganizazione è u funziunamentu di l'Agenzia sò definiti da un regulamentu specificu chì prevede, in particulare, a so divisione in uffizii di livellu generale di gestione, è ancu in strutture di livellu di gestione non generale.

2. U direttore generale è u Cunsigliu di i Verificatori sò organi di l'Agenzia. U regulamentu chjamatu in u paràgrafu 1 regula ancu:

a) e funzioni di u direttore generale è di u direttore generale aghjuntu di l'Agenzia;

b) a cumpusizione è u funziunamentu di u Cunsigliu di i Verificatori;

c) a creazione di qualsiasi uffizii secundarii.

3. U regulamentu chjamatu in u paràgrafu 1 hè aduttatu, entro centu vinti ghjorni da a data di l'entrata in vigore di a lege chì cunvertisce stu decretu, per decretu di u presidente di u Cunsigliu di i Ministri, ancu per deroga da l'articulu 17 di a lege di u 23 d'aostu 1988, n. 400, dopu avè cunsultatu COPASIR, dopu avè cunsultatu CICS.

Art. 7 (Funzioni di l'Agenzia Naziunale di Cibersigurtà)

1. L'Agenzia:

a) hè l'Autorità Naziunale di Cibersigurtà è, in relazione à stu rolu, assicura, in cunfurmità cù e cumpetenze attribuite da a legislazione attuale à altre amministrazioni, a coordinazione trà l'ente publiche implicate in u campu di a cibersigurtà à livellu naziunale è prumove l'implementazione di azzioni cumune destinate à assicurà a cibersigurtà è a resilienza per u sviluppu di a digitalizazione di u paese, di u sistema di pruduzzione è di l'amministrazioni publiche, è ancu per a realizazione di l'autonomia, naziunale è europea, in quantu à i prudutti IT è i prucessi di impurtanza strategica per prutezzione di l'interessi naziunali in u settore. Per e rete, i sistemi d'infurmazione è i servizii IT relativi à a gestione di l'informazioni classificate, e disposizioni di u regulamentu adottatu in cunfurmità cù l'articulu 4, comma 3, lettera I), di a legge n. 124 di u 2007, è ancu e rispunsabilità di l'Uffiziu Centrale per u secretu chjamatu in l'articulu 9 di a Legge n. 124 di u 2007;

b) prepara a strategia naziunale di cibersigurtà;

c) svolge tutte l'attività di sustegnu necessarie per u funziunamentu di l'Unità di Cibersigurtà, chjamata à l'articulu 8 di stu decretu;

d) hè l'autorità naziunale cumpetente è puntu unicu di cuntattu per a sicurezza di e rete è di i sistemi d'informazione, per i scopi menzionati in u decretu legislativu NIS, per prutege l'unità giuridica di u sistema giuridicu, è hè competente à accertà e violazioni è à l'imposizione di e sanzioni amministrative previste da u listessu decretu;

e) hè l'Autorità Naziunale di Certificazione di Cibersigurtà in cunfurmità cù l'articulu 58 di u Regolamentu (UE) 2019/881 di u Parlamentu Europeu è di u Cunsigliu di u 17 d'aprile 2019, è assume tutti i compiti relativi à a certificazione di cibersigurtà già assignati à u Ministeru di l'Economia Sviluppu in virtù di a legge in vigore, cumprese quelle relative à l'accertamentu di e violazioni è l'imposizione di sanzioni;

f) assume tutti i compiti di cibersigurtà digià assignati da e disposizioni in vigore à u Ministeru di u Sviluppu Ecunomicu, cumprese quelle relative à:

1) u perimetru di a cibersigurtà naziunale, citatu in u decretu-lege perimetrale è misure di implementazione cunnesse, cumprese e funzioni attribuite à u Centru Naziunale di Valutazione è Certificazione secondu u decretu-lege perimetrale, l'attività di ispezione è di verifica riferite à l'Articulu 1 , paràgrafu 6, lettera e), di u decretu-lege perimetrale è quelli chì riguardanu l'accertamentu di e viulazioni è l'imposizione di sanzioni amministrative previste da u listessu decretu, senza pregiudiziu à quelle riferite à l'articulu 3 di u regolamentu adottatu cù decretu di u presidente di u Cunsigliu di i Ministri n. 131 di 2020;

2) a sicurezza è l'integrità di e cumunicazioni elettroniche, secondu l'articuli 16-bis è 16-ter di u decretu legislativu di u 1 d'Agostu 2003, n. 259, è disposizioni di implementazione cunnesse;

3) a securità di e rete è di i sistemi d'informazione, secondu u decretu legislativu NlS;

g) participeghja, per e duminii di cumpetenza, à u gruppu di cuurdinazione creatu in cunfurmità cù i regulamenti chjamati in l'articulu 1, paràgrafu 8, di u decretu-lege di u 15 di marzu 2012, n. 21, cunvertitu, cù mudificazioni, da lege 11 di maghju 2012, n. 56;

h) assume tutti i compiti dighjà assignati à a Presidenza di u Cunsigliu di Ministri in quantu à u perimetru naziunale di sicurezza informatica, secondu u decretu-lege perimetrale è e misure di implementazione cunnesse, cumprese l'attività di ispezione è di verifica chjamata à l'Articulu 1, comma 6 , lettera e), di u decretu-legge perimetrale è di quelle riguardanti l'accertamentu di e violazioni è l'imposizione di sanzioni amministrative previste da u listessu decretu, senza pregiudiziu à quelle riferite à l'articulu 3 di u regolamentu adottatu per decretu di u Presidente di u Cunsigliu di i Ministri n. 131 di 2020;

i) assume tutti i compiti digià assignati à u DIS da u decretu-lege perimetrale è e misure di implementazione cunnesse è sustene u presidente di u Cunsigliu di Ministri per i fini di l'articulu 1, comma 19-bis, di u decretu lege perimetrale;

l) nantu à a basa di l'attività chì rientranu in a cumpetenza di l'Unità di Cibersigurtà di cui à l'Articulu 8 di stu decretu, prevede l'attività necessarie per l'implementazione è u cuntrollu di l'esecuzione di e misure pigliate da u Presidente di u Cunsigliu di Ministri secondu l'articulu 5 di u decretu-lege perimetrale;

m) assume tutti i compiti relativi à a cibersigurtà dighjà assignati à l'Agenzia per l'Italia Digitale da e disposizioni attuali è, in particulare, quelle menzionate in l'articulu 51 di u Decretu Legislativu n. 82, è ancu nantu à l'adopzione di linee guida chì cuntenenu e regule tecniche di cibersigurtà secondu l'articulu 71 di u listessu decretu legislativu. L'Agenzia assume dinò i duveri menzionati à l'articulu 33-septies, comma 4, di u decretu-lege n. 179, cunvertitu, cù modifiche, da a lege 17 dicembre 2012, n. 221, digià attribuita à l'Agenzia per l'Italia Digitale;

n) sviluppa capacità naziunali per a prevenzione, u monitoru, a rilevazione, l'analisi è a risposta, per prevene è gestisce incidenti di sicurezza IT è attacchi IT, ancu per mezu di u CSJRT Italia di cui à l'articulu 8 di u decretu legislativu NlS;

o) participà à esercizii naziunali è internaziunali chì riguardanu a simulazione di eventi cibernetici per aumentà a resilienza di u paese;

p) cura è prumove a definizione è u mantenimentu di un quadru ghjuridicu naziunale aghjurnatu è cuerente in u duminiu di a cibersigurtà, tenendu ancu in contu e linee guida è l'evoluzione in l'arena internaziunale. A tale fine, l'Agenzia esprime opinioni non vincolanti nantu à iniziative legislative o regolatorie in materia di cibersigurtà;

q) coordina, in cunjunzione cù u Ministeriu di l'Affari Esteri è di a Cooperazione Internaziunale, a cooperazione internaziunale in u campu di a cibersigurtà. Dentru l'Unione Europea è internaziunale, l'Agenzia gestisce e relazioni cù l'organi competenti, l'istituzioni è l'entità, è seguita questioni di cibersigurtà in l'uffizii istituziunali competenti, eccettu per e zone in cui a legge assigna competenze specifiche à altre amministrazioni. In quessi casi, u ligame cù l'Agenzia hè in ogni casu assicuratu per guarantisce pusizioni naziunali unificate in cunfurmità cù e pulitiche di cibersigurtà definite da u presidente di u Cunsigliu di Ministri;

r) perseguendu obiettivi di eccellenza, sustene u sviluppu di cumpetenze è abilità industriali, tecnulugichi è scentifici in i duminii di cumpetenza, attraversu a participazione di l'accademia, di a ricerca è di u sistema di pruduzzione naziunale. Per questi scopi, l'Agenzia pò prumove, sviluppà è finanzà prughjetti è iniziative specifiche, destinate ancu à prumove u trasferimentu tecnologicu di risultati di ricerca in u settore. L'Agenzia assicura e sinergie adatte cù l'altre amministrazioni à quale a lege attribuisce cumpetenze in u campu di a cibersigurtà; s) prevede accordi bilaterali è multilaterali, ancu per mezu di a participazione di u settore privatu è industriale, cù istituzioni, organismi è urganizazioni di altri paesi per a participazione di l'Italia à i prugrammi di cibersigurtà, assicurendu sinergie adatte cù altre amministrazioni à quale a lege attribuisce cumpetenza in u campu di cibersigurtà;

t) prumove, sustene è coordina a participazione italiana in prughjetti è iniziative di l'Unione Europea è internaziunali, ancu per mezu di a participazione di entità naziunali pubblici è privati, in u campu di a cibersigurtà è di i servizii d'applicazioni cunnessi. L'Agenzia assicura e sinergie adatte cù l'altre amministrazioni à quale a lege attribuisce cumpetenze in u campu di a cibersigurtà;

u) realizeghja attività di cumunicazione è di prumuzione di sensibilizazione nantu à a cibersigurtà, per cuntribuisce à u sviluppu di una cultura naziunale nantu à u sughjettu;

v) prumove a furmazione, a crescita tecnico-prufessiunale è a qualificazione di e risorse umane in u campu di a cibersigurtà, ancu per mezu di l'assegnazione di borse di studio, dottorati è borse di ricerca, nantu à a basa di accordi specifici cù entità pubbliche è private;

z) per i scopi menzionati in questu articulu, pò stabilisce è participà à partenariati publicu-privati ​​nantu à u territoriu naziunale, è ancu, sottumessu à l'autorizazione di u Presidente di u Cunsigliu di Ministri, in consorzi, fundazioni o cumpagnie cù sughjetti publichi è privati, italiani è stranieri.

aa) hè designatu cum'è Centru di Coordinazione Naziunale secondu l'articulu 6 di u Regolamentu (UE) 2021/887 di u Parlamentu Europeu è di u Cunsigliu di u 20 di Maghju 2021, chì istituisce u Centru Europeu di Competenza per a Cibersigurtà in l'Industriale, Tecnologicu è di ricerca è a reta di i centri naziunali di cuurdinazione.

2. In u quadru di l'Agenzia, u riprisentante naziunale è u so sustitutu sò numinati, per decretu di u Presidente di u Cunsigliu di Ministri, à u Cunsigliu Governativu di u Centru Europeu di Competenza per a Cibersigurtà in l'Industriale, Tecnologicu è di ricerca , secondu l'articulu 12 di u Regolamentu (UE) 2021/887.

3. U CSIRT talianu chjamatu in l'articulu 8 di u decretu legislativu NIS hè trasferitu à l'Agenzia è piglia u nome di: "CSIRT Italia"

4. U Centru Naziunale di Valutazione è Certificazione, istituitu à u Ministeru di u Sviluppu Ecunomicu, hè trasferitu à l'Agenzia.

5. In cunfurmità cù e cumpetenze di u Garante per a prutezzione di i dati persunali, l'Agenzia, per i scopi riferiti in questu decretu, cunsulta u Garante è collabora cun ellu, ancu in relazione à l'accidenti chì implicanu violazioni di dati persunali. L'Agenzia è u Garante ponu stipulà protocolli d'intenzione specifici chì definiscenu ancu i metudi di a so cullaburazione.

Art. 8 (Core per a cibersigurtà)

1. U Nucleu di Cibersigurtà hè stallatu in permanenza à l'Agenzia, in sustegnu à u Presidente di u Cunsigliu di Ministri in u campu di a cibersigurtà, per aspetti riguardanti a prevenzione è a preparazione per qualsiasi situazione di crisa è per e procedure d'alerta di attivazione.

2. U Nucleu di Cibersigurtà hè presiedutu da u Direttore Generale di l'Agenzia o da u Direttore Generale Adjuntatu designatu da ellu è hè cumpostu da u Cunsiglieru Militare di u Presidente di u Cunsigliu di Ministri, un rappresentante, rispettivamente, di u DIS, AISE, 'AISI, di ognunu di i Ministri riprisentati in u Cumitatu chjamatu à l'Articulu 5 di a Legge n. 124 di u 2007, di u Ministeru di l'Università è di a Ricerca, di u Ministru delegatu per l'innovazione tecnologica è a transizione digitale, di u Dipartimentu di a Protezzione Civile di a Presidenza di u Cunsigliu di Ministri. Per aspetti riguardanti a gestione di l'infurmazioni classificate, l'unità hè integrata da un rappresentante di l'Uffiziu Centrale per u secretu chjamatu in l'articulu 9 di a Legge n. 124 di 2007.

3. I membri ponu esse assistiti à e riunioni da altri raprisentanti di e so rispettive amministrazioni in relazione à e questioni in discussione. Basatu nantu à i temi di e riunioni, rapprisentanti di altre amministrazioni, università o organi di ricerca è istituti, è operatori privati ​​interessati à u sughjettu di a cibersigurtà, ponu ancu esse chjamati à participà.

4. U Nucleu pò esse cunvucatu in una cumpusizione ristretta cù a participazione di i rapprisentanti di l'amministrazioni è di e parti interessate solu, ancu in relazione à i compiti di gestione di crisi chjamati in l'articulu 10.

Art. 9 (Compiti di l'Unità di Cibersigurtà)

1. Per i scopi di l'articulu 8, l'Unità di Cibersigurtà svolge i seguenti compiti:

a) pò formulà pruposte per iniziative in u campu di a cibersigurtà di u paese, ancu in u quadru di u cuntestu internaziunale nantu à a materia;

b) prumove, in base à e direttive di cui à l'articulu 2, comma 2, a prugrammazione è a pianificazione operativa di a risposta à e situazioni di crisa cibernetica da parte di l'amministrazioni è di l'operatori privati ​​cuncernati è u sviluppu di e prucedure necessarie di coordinazione interministeriale, in cunnessione cù i piani di difesa civile è di prutezzione civile, ancu in u quadru di e disposizioni di l'articulu 7-bis, comma 5, di u decretu-lege n. 174 di u 2015, cunvertiti, cù mudificazioni, da a lege n.198 di u 2015;

c) prumove è coordina a realizazione di esercizii interministeriali, o a participazione naziunale in esercizii internaziunali riguardanti a simulazione di eventi cibernetici per aumentà a resilienza di u paese;

d) valuta è prumove, in cungiunzione cù l'amministrazioni cumpetenti per i profili specifichi di cibersigurtà, prucedure di spartera di l'infurmazioni, ancu cù l'operatori privati ​​interessati, per u scopu di diffusione d'avvisi relativi à eventi cibernetici è per a gestione di crisi;

e) riceve, attraversu u CSIRT Italia, cumunicazioni nantu à i casi di violazioni o tentativi di violà a sicurezza o a perdita di integrità significativa per u scopu di u correttu funziunamentu di e rete è di i servizii, da DIS, AISE è da 'AISI, da e forze di polizia è , in particulare, da l'urganu di u Ministeru di l'Interior chjamatu in l'articulu 7-bis di u decretu-lege n. 144 di u 2005, cunvertita, cù mudificazioni, da a lege n. 155 di 7 prugettu di u 08/06/2021 2005, da e strutture di u Ministeru di a Difesa, è da l'altre amministrazioni chì custituiscenu l'Unità è da i CERT creati in cunfurmità cù a legislazione in vigore; j) riceve notifiche d'accidenti da CSIRT Italia in cunfurmità cù e disposizioni in vigore;

g) valuta se l'evenimenti menzionati in lettere e) è j) assumenu tali dimensioni, intensità o natura chì ùn ponu micca esse trattate da e singole amministrazioni competenti in modu ordinariu, ma richiedenu a presa di decisioni coordinate in u ministru interministeriale cuntestu, furnendu in questu casu per informà prontamente u Presidente di u Cunsigliu di Ministri, o l'Autorità delegata, se stabilita, nantu à a situazione attuale è nantu à l'esecuzione di l'attività di cunnessione è di coordinazione di cui à l'Articulu 10, in a composizione prevista in questu .

Art.10 (Gestione delle crisi che coinvolgono aspetti di cybersicurezza)

1. Nelle situazioni di crisi che coinvolgono aspetti di cybersicurezza, nei casi in cui il Presidente del Consiglio dei ministri convochi il CISR in materia di gestione delle predette situazioni di crisi, alle sedute del Comitato sono chiamati a partecipare il Ministro delegato per l'innovazione tecnologica e la transizione digitale e il direttore generale dell'Agenzia.

2. Il Nucleo assicura il supporto al CISR e al Presidente del Consiglio dei ministri, nella materia della cybersicurezza, per gli aspetti relativi alla gestione di situazioni di crisi ai sensi del comma 1, nonché per l'esercizio dei poteri attribuiti al Presidente del Consiglio dei ministri, ivi comprese le attività istruttorie e le procedure di attivazione necessarie, ai sensi dell'articolo 5 del decreto-legge perimetro.

3. In situazioni di crisi di natura cibernetica il Nucleo è integrato, in ragione della necessità, con un rappresentante, rispettivamente, del Ministero della salute, del Ministero delle infrastrutture e della mobilità sostenibili, del Dipartimento dei Vigili del fuoco, del soccorso pubblico e della difesa civile, in rappresentanza anche della Commissione interministeriale tecnica di difesa civile, autorizzati ad assumere decisioni che impegnano la propria amministrazione. Alle riunioni i componenti possono farsi accompagnare da altri funzionari della propria amministrazione. Alle stesse riunioni possono essere chiamati a partecipare rappresentanti di altre amministrazioni, anche locali, ed enti, anche essi autorizzati ad assumere decisioni, e di altri soggetti pubblici o privati eventualmente interessati.

4. È compito del Nucleo, nella composizione per la gestione delle crisi, di cui al comma 3, assicurare che le attività di reazione e stabilizzazione di competenza delle diverse amministrazioni ed enti rispetto a situazioni di crisi di natura cibernetica, vengano espletate in maniera coordinata secondo quanto previsto dall'articolo 9, comma I, lettera b).

5. Il Nucleo, per l'espletamento delle proprie funzioni e fermo restando quanto previsto ai sensi dell'articolo 7-bis, comma 5, del decreto-legge n. 174 del 2015, convertito, con modificazioni, dalla legge n. 198 del 2015:

a) mantiene costantemente informato il Presidente del Consiglio dei ministri, ovvero l'Autorità delegata, ove istituita, sulla crisi in atto, predisponendo punti aggiornati di situazione;

b) assicura il coordinamento per l'attuazione a livello interministeriale delle determinazioni del Presidente del Consiglio dei ministri per il superamento della crisi;

c) raccoglie tutti i dati relativi alla crisi;

d) elabora rapporti e fornisce informazioni sulla crisi e li trasmette ai soggetti pubblici e privati interessati;

e) partecipa ai meccanismi europei di gestione delle crisi cibernetiche, assicurando altresì i collegamenti finalizzati alla gestione della crisi con gli omologhi organismi di altri Stati, della NATO, dell'UE o di organizzazioni internazionali di cui l'Italia fa parte.

Art.11 (Norme di contabilità e disposizioni finanziarie)

1. Al Presidente del Consiglio dei ministri è attribuita, in via esclusiva, la determinazione del fabbisogno annuo delle risorse finanziarie dell'Agenzia, di cui dà comunicazione al COPASIR. Nello stato di previsione della spesa del Ministero dell'economia e delle finanze è assegnato lo stanziamento annuale delle risorse finanziarie per l'Agenzia.

2. Le entrate dell'Agenzia sono costituite da:

a) dotazioni finanziarie e contributi ordinari di cui all 'articolo 18 del presente decreto;

b) corrispettivi per i servizi prestati a soggetti pubblici o privati;

c) proventi derivanti dallo sfruttamento della proprietà industriale, dei prodotti dell'ingegno e delle invenzioni dell'Agenzia;

d) altri proventi patrimoniali e di gestione;

e) contribuiti dell'Unione europea o di organismi internazionali, anche a seguito della partecipazione a specifici bandi, progetti e programmi di collaborazione;

f) proventi delle sanzioni ai sensi di quanto previsto dall'articolo 18, comma 3;

g) ogni altra eventuale entrata.

3. Il regolamento di contabilità dell'Agenzia, che ne assicura l'autonomia gestionale e contabile, è adottato con decreto del Presidente del Consiglio dei ministri, su proposta dal direttore generale dell'Agenzia, entro centoventi giorni dalla data di entrata in vigore della legge di conversione del presente decreto, anche in deroga alle norme di contabilità generale dello Stato, anche in deroga all'articolo 17 della legge 23 agosto 1988, n. 400, previo parere del COPASIR e sentito il CICS, previa verifica di regolarità contabile del Collegio dei revisori e nel rispetto dei princìpi fondamentali da esse stabiliti, nonché delle seguenti disposizioni:

a) il bilancio preventivo e il bilancio consuntivo adottati dal direttore generale dell'Agenzia sono approvati con decreto del Presidente del Consiglio dei ministri, previa deliberazione del CICS;

b) i bilanci preventivo e consuntivo sono inviati per il controllo della legittimità e regolarità della gestione, alla Corte dei conti. La Corte dei conti è competente per il controllo di legittimità su atti, ai sensi dell'articolo 3, comma 4, della legge 14 gennaio 1994, n. 20;

c) il consuntivo della gestione finanziaria è trasmesso, insieme con la relazione della Corte dei conti, al COPASIR.

4. Con regolamento adottato con decreto del Presidente del Consiglio dei ministri, su proposta del direttore generale dell'Agenzia, entro centoventi giorni dalla data di entrata in vigore della legge di conversione del presente decreto, anche in deroga all 'articolo 17 della legge 23 agosto 1988, n. 400, previo parere del COPASIR e sentito il CICS, sono definite le procedure per la stipula di contratti di appalti di lavori e forniture di beni e servizi per le attività dell'Agenzia finalizzate alla tutela della sicurezza nazionale nello spazio cibernetico e per quelle svolte in raccordo con il Sistema di informazione per la sicurezza della Repubblica di cui alla legge n. 124 del 2007, ferma restando la disciplina nel rispetto delle disposizioni dell'articolo 162 del codice dei contratti pubblici relativi a lavori, servizi e forniture, di cui al decreto legislativo 18 aprile 2016, n. 50.

Art.12 (Personale)

1. Con apposito regolamento è dettata, nel rispetto dei criteri di cui al presente decreto, la disciplina del contingente di personale addetto all'Agenzia. Il regolamento definisce l'ordinamento e il reclutamento del personale, e il relativo trattamento economico e previdenziale, prevedendo, in particolare, per il personale dell'Agenzia un trattamento economico pari a quello in godimento da parte dei dipendenti della Banca d'Italia, sulla scorta della equiparabilità delle funzioni svolte e del livello di responsabilità rivestito.

2. Il regolamento determina, nei limiti delle risorse finanziarie disponibili, in particolare:

a) l'istituzione di un ruolo del personale e la disciplina generale del rapporto d'impiego alle dipendenze dell'Agenzia;

b) la possibilità di procedere, oltre che ad assunzioni a tempo indeterminato attraverso modalità concorsuali, ad assunzioni a tempo determinato, con contratti di diritto privato, di soggetti in possesso di alta e particolare specializzazione debitamente documentata, individuati attraverso adeguate modalità selettive, per lo svolgimento di attività assolutamente necessarie all'operatività dell'Agenzia o per specifiche progettualità da portare a termine in un arco di tempo prefissato;

c) la possibilità di avvalersi di un contingente di esperti, non superiore a cinquanta unità, composto da personale in posizione di fuori ruolo, comando o altra analoga posizione, prevista dagli ordinamenti di appartenenza, proveniente da ministeri, da altre pubbliche amministrazioni, ovvero da personale non appartenente alla pubblica amministrazione, in possesso di specifica ed elevata competenza in materia di cybersicurezza e di tecnologie digitali innovative, nello sviluppo e gestione di processi complessi di trasformazione tecnologica e delle correlate iniziative di comunicazione e disseminazione, nonché di significativa esperienza in progetti di trasformazione digitale, ivi compreso lo sviluppo di programmi e piattaforme digitali con diffusione su larga scala. li regolamento, a tali fini, disciplina le modalità di formazione del contingente e il compenso spettante per ciascuna professionalità;

d) la determinazione della percentuale massima dei dipendenti che sarà possibile assumere [è stato previsto alla lettera e il limite di n. 50 unità];

e) la possibilità di impiegare personale del Ministero della difesa, secondo termini e modalità da definire con apposito decreto del Presidente del Consiglio dei ministri di natura non regolamentare;

f) le ipotesi di incompatibilità;

g) le modalità di svolgimento della carriera all'interno dell'Agenzia;

h) la disciplina e il procedimento per la definizione degli aspetti giuridici e, limitatamente ad eventuali compensi accessori, economici del rapporto di impiego del personale oggetto di negoziazione con le rappresentanze del personale;

i) le modalità applicative delle disposizioni del decreto legislativo 10 febbraio 2005, n. 30, recante il Codice della proprietà industriale, ai prodotti dell'ingegno ed alle invenzioni dei dipendenti dell'Agenzia;

l) i casi di cessazione dal servizio del personale assunto a tempo indeterminato ed i casi di anticipata risoluzione dei rapporti a tempo determinato.

3. Qualora le assunzioni di cui al comma 2, lettera b), riguardino professori universitari di ruolo o ricercatori universitari confermati si applicano le disposizioni di cui all'articolo 12 del decreto del Presidente della Repubblica 11 luglio 1980, n. 382, anche per quanto riguarda il collocamento in aspettativa.

4. In sede di prima applicazione delle disposizioni di cui al presente decreto, il numero di posti previsti dalla pianta organica dell'Agenzia è individuato nella misura complessiva di trecento unità. Il regolamento individua quali delle disposizioni ivi contenute possono essere oggetto di revisione per effetto della negoziazione con le rappresentanze del personale.

5. Con successivi decreti del Presidente del Consiglio dei ministri, la dotazione organica è rideterminata in quattrocentocinquanta unità nel 2024, in seicento unità nel 2025, in settecento unità nel 2026 e in ottocento unità nel 2027.

6. Le assunzioni effettuate in violazione dei divieti previsti dal presente decreto o dal regolamento sono nulle, ferma restando la responsabilità personale, patrimoniale e disciplinare di chi le ha disposte.

7. Fatto salvo quanto previsto dall'articolo 42 della legge n. 124 del 2007, il personale che presta comunque la propria opera alle dipendenze o in favore dell'Agenzia è tenuto, anche dopo la cessazione di tale attività, al rispetto del segreto su ciò di cui sia venuto a conoscenza nell'esercizio oa causa delle proprie funzioni.

8. Il regolamento di cui al presente articolo è adottato, entro centoventi giorni dalla data di conversione in legge del presente decreto, con decreto del Presidente del Consiglio dei ministri, anche in deroga all'articolo 17 della legge 23 agosto 1988, n. 400, previo parere del COPASIR e sentito il CICS.

Art.13 (Trattamento dei dati personali)

1. Il trattamento dei dati personali svolto per finalità di sicurezza nazionale in applicazione del presente decreto è effettuato ai sensi dell'articolo 58, commi 2 e 3, del decreto legislativo 30 giugno 2003 , n. 196.

Art. 14 (Relazioni annuali)

1. Entro il 30 aprile di ogni anno, il Presidente del Consiglio dei ministri trasmette al Parlamento una relazione sull'attività svolta dall'Agenzia nell'anno precedente, in materia di cybersicurezza nazionale.

2. Entro il 30 giugno di ogni anno, il Presidente del Consiglio dei ministri trasmette al COPASIR una relazione sulle attività svolte nell'anno precedente dall'Agenzia in raccordo con il Sistema di informazione per la sicurezza della Repubblica di cui alla legge n. 124 del 2007, nonché in relazione agli ambiti di attività dell'Agenzia sottoposti al controllo del Comitato ai sensi del presente decreto.

Art. 15 (Modificazioni al decreto legislativo NIS)

1. Al decreto legislativo NIS, sono apportate le seguenti modificazioni:

a) all'articolo 3, lettera a), le parole da: “autorità competente NIS” a: “per settore,” sono sostituite dalle seguenti: “autorità nazionale competente NIS, l'autorità nazionale unica, competente”;

b) all'articolo 3, dopo la lettera a), è inserita la seguente: “a-bis) autorità di settore, le autorità di cui all'articolo 7, comma 1, lettere da a) ae)”;

c) all'articolo 4, il comma 6 è sostituito dal seguente: “6. L'elenco degli operatori di servizi essenziali identificati ai sensi del comma 1 è riesaminato e, se del caso, aggiornato su base regolare, e almeno ogni due anni dopo il 9 maggio 2018, con le seguenti modalità: a) le autorità di settore, in relazione ai settori di competenza, propongono all'autorità nazionale competente NIS le variazioni all 'elenco degli operatori dei servizi essenziali, secondo i criteri di cui ai commi 2 e 3; b) le proposte sono valutate dall'autorità nazionale competente NIS che, con propri provvedimenti, provvede alle variazioni dell'elenco degli operatori dei servizi essenziali, dandone comunicazione, in relazione ai settori di competenza, anche alle autorità di settore.”;

d) all'articolo 6, nella rubrica, le parole: “sicurezza cibernetica” sono sostituite dalle seguenti: “cybersicurezza”; ai commi 1, 2 e 3, le parole: “sicurezza cibernetica” sono sostituite dalla seguente: “e cybersicurezza” ; al comma 4, le parole: “La Presidenza del Consiglio dei ministri” sono sostituite dalle seguenti: “L'Agenzia per la cybersicurezza” e le parole: “sicurezza cibernetica” sono sostituite dalle seguenti: “cybersicurezza”;

e) l'articolo 7 è sostituito dal seguente:

“Art. 7 (Autorità nazionale competente e punto di contatto unico)

1. L'Agenzia per la cybersicurezza nazionale è designata quale autorità nazionale competente NIS per i settori e sottosettori di cui all'allegato II e per i servizi di cui all'allegato III. Sono designate quali autorità di settore:

a) il Ministero dello sviluppo economico, per il settore infrastrutture digitali, sottosettori IXP, DNS, TLD, nonché per i servizi digitali;

b) il Ministero delle infrastrutture e della mobilità sostenibili, per il settore trasporti, sottosettori aereo, ferroviario, per vie d'acqua e su strada;

c) il Ministero dell'economia e delle finanze, per il settore bancario e per il settore infrastrutture dei mercati finanziari, in collaborazione con le autorità di vigilanza di settore, Banca d'Italia e Consob, secondo modalità di collaborazione e di scambio di informazioni stabilite con decreto del Ministro dell'economia e delle finanze;

d) il Ministero della salute, per l'attività di assistenza sanitaria, come definita dall'articolo 3, comma 1, lettera a), del decreto legislativo 4 marzo 2014, n. 38, prestata dagli operatori dipendenti o incaricati dal medesimo Ministero o convenzionati con lo stesso, e le Regioni e le Province autonome di Trento e di Bolzano, direttamente o per il tramite delle Autorità sanitarie territorialmente competenti, per le attività di assistenza sanitaria prestata dagli operatori autorizzati e accreditati delle Regioni o dalle Province autonome negli ambiti territoriali di rispettiva competenza;

e) il Ministero della transizione ecologica per il settore energia, sottosettori energia elettrica, gas e petrolio;

f) il Ministero della transizione ecologica e le Regioni e le Province autonome di Trento e di Bolzano, direttamente o per il tramite delle Autorità territorialmente competenti, in merito al settore fornitura e distribuzione di acqua potabile.

2. L'autorità nazionale competente NIS è responsabile dell'attuazione del presente decreto con riguardo ai settori di cui all'allegato II e ai servizi di cui all'allegato III e vigila sull'applicazione del presente decreto a livello nazionale, esercitando altresì le relative potestà ispettive e sanzionatorie.

3. L'Agenzia per la cybersicurezza nazionale è designata quale punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi.

4. Il punto di contatto unico svolge una funzione di collegamento per garantire la cooperazione transfrontaliera dell'autorità nazionale competente NIS con le autorità competenti degli altri Stati membri, nonché con il gruppo di cooperazione di cui all'articolo 10 e la rete di CSIRT di cui all'articolo 11.

5. Il punto di contatto unico collabora nel gruppo di cooperazione in modo effettivo, efficiente e sicuro con i rappresentanti designati dagli altri Stati.

6. L'autorità nazionale competente NIS e il punto di contatto unico consultano, conformemente alla normativa vigente, l'autorità di contrasto ed il Garante per la protezione dei dati personali e collaborano con essi.

7. La Presidenza del Consiglio dei ministri comunica tempestivamente alla Commissione europea la designazione del punto di contatto unico e quella dell'autorità nazionale competente NIS, i relativi compiti e qualsiasi ulteriore modifica. Alle designazioni sono assicurate idonee forme di pubblicità.

8. Agli oneri derivanti dal presente articolo pari a 1.300.000 euro a decorrere dal 2018, si provvede ai sensi dell'articolo 22.”;

f) all'articolo 8, comma I, le parole da: “la Presidenza” a: ” la sicurezza” sono sostituite da: “l'Agenzia di cybersicurezza nazionale”;

g) l'articolo 9, comma I, è sostituito dal seguente

1. Le autorità di settore collaborano con l'autorità nazionale competente NIS per l'adempimento degli obblighi di cui al presente decreto. A tal fine è istituito presso l'Agenzia per la cybersicurezza nazionale, un Comitato tecnico di raccordo. Il Comitato è presieduto dall'autorità nazionale competente NIS ed è composto dai rappresentanti delle amministrazioni statali individuate quali autorità di settore e da rappresentanti delle Regioni e Province autonome in numero non superiore a due, designati dalle Regioni e Province autonome in sede di Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e di Bolzano. L'organizzazione del Comitato è definita con decreto del Presidente del Consiglio dei ministri, di natura non regolamentare, sentita la Conferenza unificata. Per la partecipazione al Comitato tecnico di raccordo non sono previsti gettoni di presenza, compensi o rimborsi spese.”;

h) all'articolo 12, comma 5, le parole da: “e, per conoscenza,” a: “NIS,” sono eliminate;

i) all'articolo 14, comma 4, le parole da: “e, per conoscenza,” a: “NIS,” sono eliminate;

l) all'articolo 19, comma 1, le parole: “dalle autorità competenti NIS” sono sostituite dalle seguenti: “dall'autorità nazionale competente NIS”;

m) all'articolo 19, il comma 2 è soppresso;

n) all'articolo 20, comma 1, le parole da: “Le autorità competenti NIS” a: “sono competenti” sono sostituite da: “L'autorità nazionale competente NIS è competente”;

o) all'allegato I:

1) al punto 1, dopo la lettera d) è aggiunta la seguente: “e) il CSIRT Italia conforma i propri servizi e la propria attività alle migliori pratiche internazionalmente riconosciute in materia di prevenzione, gestione e risposta rispetto a eventi di natura cibernetica”;

2) al punto 2, lettera e), dopo la parola: “standardizzate” sono inserite le seguenti: “, secondo le migliori pratiche internazionalmente riconosciute,”.

2. Nel decreto legislativo NIS:

a) ogni riferimento al Ministero dello sviluppo economico, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale, fatta eccezione per le disposizioni di cui all'articolo 7, comma 1, lettera a), del medesimo decreto legislativo;

b) ogni riferimento al DIS, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale;

c) ogni riferimento alle autorità competenti NIS, ovunque ricorra, deve intendersi riferito all'autorità nazionale competente NIS, fatta eccezione per le disposizioni di cui all'articolo 5, comma 1, del medesimo decreto legislativo;

d) all'articolo 5, comma 1, alinea, le parole: “le autorità competenti NIS” sono sostituite dalle seguenti : “l'autorità nazionale competente NIS e le autorità di settore”;

e) agli articoli 6 e 12, le parole: “Comitato interministeriale per la sicurezza della Repubblica (CISR)” sono sostituite dalle seguenti: “Comitato interministeriale per la cybersicurezza (CICS)” .

Art. 16 (Altre modificazioni)

1. All'articolo 3, comma I-bis, della legge n. 124 del 2007, dopo le parole: “della presente legge” sono aggiunte le seguenti: “e in materia di cybersicurezza”.

2. All'articolo 38 della legge n. 124 del 2007, il comma I-bis è abrogato.

3. La denominazione: “CSIRT Italia” sostituisce, ad ogni effetto e ovunque presente m provvedimenti legislativi e regolamentari, la denominazione: “CSIRT Italiano”.

4. Nel decreto-legge perimetro le parole: “Comitato interministeriale per la sicurezza della Repubblica (CISR)” e “CISR”, ovunque ricorrano, sono rispettivamente sostituite dalle seguenti: “Comitato interministeriale per la cybersicurezza (CICS)” e “CICS”, fatta eccezione per le disposizioni di cui all'articolo 5 del medesimo decreto-legge.

5. Nel decreto-legge perimetro ogni riferimento al Dipartimento delle informazioni per la sicurezza, o al DIS, ovunque ricorra, è da intendersi riferito all'Agenzia per la cybersicurezza nazionale.

6. Nel decreto-legge perimetro ogni riferimento al Ministero dello sviluppo economico e alla Presidenza del Consiglio dei ministri, ovunque ricorra, è da intendersi riferito all'Agenzia per la cybersicurezza nazionale.

7. Nei provvedimenti di natura regolamentare e amministrativa la cui adozione è prevista dall'articolo 1 del decreto-legge perimetro, ogni riferimento al CJSR e al DIS deve intendersi rispettivamente riferito al CICS e all'Agenzia per la cybersicurezza nazionale.

8. Nei provvedimenti di natura regolamentare e amministrativa la cui adozione è prevista dall'articolo 1 del decreto-legge perimetro, ogni riferimento al Ministero dello sviluppo economico e alla struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale, fatta eccezione per le disposizioni di cui agli articoli 3 del decreto del Presidente del Consiglio dei ministri n. 131 del 2020.

9. Al decreto-legge perimetro sono apportate le seguenti modificazioni: a) all'articolo 1, comma 6, lettera a), dopo le parole “anche in relazione all'ambito di impiego” è aggiunto il seguente periodo: “L'obbligo di comunicazione di cui alla presente lettera è efficace a decorrere dal trentesimo giorno successivo alla pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana del decreto del Presidente del Consiglio dei ministri che, sentita l'Agenzia per la cybersicurezza nazionale, attesta l'operatività del CVCN e comunque dal 30 giugno 2022.”;

b) all'articolo 3, il comma 2 è abrogato;

c) a decorrere dalla data in cui diviene efficace l'obbligo di comunicazione disciplinato dalla precedente lettera a), all'articolo 3:

1) il comma I è sostituito dal seguente: “1. I soggetti che intendono procedere all'acquisizione, a qualsiasi titolo, di beni, servizi e componenti di cui all'articolo i-bis, comma 2, del decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, sono obbligati ad effettuare la comunicazione di cui all'articolo 1, comma 6, lettera a), per lo svolgimento delle verifiche di sicurezza da parte del CVCN sulla base delle procedure, modalità e termini previsti dal regolamento di attuazione. Ai fornitori di predetti beni, servizi e componenti si applica l'articolo 1, comma 6, lettera b).”;

2) il comma 3 è abrogato;

10. A decorrere dalla data in cui diviene efficace l'obbligo di comunicazione disciplinato dal comma 9, lettera a), al decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, il comma 3-bis dell'articolo 1-bis è sostituito dal seguente: “Entro dieci giorni dalla conclusione di un contratto o accordo di cui al comma 2, l'impresa che ha acquisito, a qualsiasi titolo, i beni oi servizi di cui allo stesso comma notifica alla Presidenza del Consiglio dei ministri un'informativa completa, contenente anche la comunicazione del Centro di valutazione e certificazione nazionale (CVCN), relativa all'esito della valutazione e alle eventuali prescrizioni, in modo da consentire l'eventuale esercizio del potere di veto o l'imposizione di specifiche prescrizioni o condizioni. Qualora il contratto sia stato stipulato antecedentemente alla conclusione dei test imposti dal CVCN, il termine di cui al primo periodo decorre dalla comunicazione di esito positivo della valutazione effettuata dal CVCN Entro 30 giorni dalla notifica, il Presidente del Consiglio dei ministri comunica l'eventuale veto ovvero l'imposizione di specifiche prescrizioni o condizioni. I poteri speciali sono esercitati nella forma dell'imposizione di specifiche prescrizioni o condizioni ogniqualvolta ciò sia sufficiente ad assicurare la tutela degli interessi essenziali della difesa e della sicurezza nazionale. Decorsi i predetti termini, i poteri speciali si intendono non esercitati. Qualora si renda necessario richiedere informazioni all'acquirente, tale termine è sospeso, per una sola volta, fino al ricevimento delle informazioni richieste, che sono rese entro il termine di dieci giorni. Qualora si renda necessario formulare richieste istruttorie a soggetti terzi, il predetto termine di trenta giorni è sospeso, per una sola volta, fino al ricevimento delle informazioni richieste, che sono rese entro il termine di venti giorni. Le richieste di informazioni e le richieste istruttorie a soggetti terzi successive alla prima non sospendono i termini. In caso di incompletezza della notifica, il termine di trenta giorni previsto dal presente comma decorre dal ricevimento delle informazioni o degli elementi che la integrano. Fermo restando quanto previsto in materia di sanzioni al presente comma, nel caso in cui l'impresa notificante abbia iniziato l'esecuzione del contratto o dell'accordo oggetto della notifica prima che sia decorso il termine per l'esercizio dei poteri speciali, ovvero abbia eseguito il contratto o accordo in violazione del decreto di esercizio dei poteri speciali, il Governo può ingiungere all'impresa di ripristinare a proprie spese la situazione anteriore. Salvo che il fatto costituisca reato, chiunque non osservi gli obblighi di notifica di cui al presente articolo ovvero le disposizioni contenute nel provvedimento di esercizio dei poteri speciali è soggetto alla sanzione amministrativa pecuniaria fino al 150 per cento del valore dell'operazione e comunque non inferiore al 25 per cento del medesimo valore. Nei casi di violazione degli obblighi di notifica di cui al presente articolo, anche in assenza della notifica, la Presidenza del Consiglio dei ministri può avviare il procedimento ai fini dell'eventuale esercizio dei poteri speciali. A tale scopo, trovano applicazione i termini e le norme procedurali previsti dal presente comma. Il termine di trenta giorni di cui al presente comma decorre dalla conclusione del procedimento di accertamento della violazione dell'obbligo di notifica”.

11. All'articolo 135 del decreto legislativo 2 luglio 2010, n. 104, dopo la lettera h), è aggiunta la seguente: “h-bis) le controversie aventi ad oggetto i provvedimenti dell'Agenzia per la cybersicurezza nazionale;”.

12. Alla legge 22 aprile 2021 , n. 53, sono apportate le seguenti modificazioni:

a) all'articolo 4, comma 1, lettera b), dopo le parole: “Ministero dello sviluppo economico” sono aggiunte le seguenti: ” e l'Agenzia per la cybersicurezza nazionale”;

b) all'articolo 18, ogni riferimento al Ministero dello sviluppo economico, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale.

13. All'articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, le parole: “L'AgID” sono sostituite dalle seguenti: “L'Agenzia per la cybersicurezza nazionale”.

14. Al decreto legislativo 1° agosto 2003, n. 259, sono apportate le seguenti modificazioni:

a) agli articoli 16-bis e 16-ter, ogni riferimento al Ministero dello sviluppo economico, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale;

b) all'articolo 16-ter, comma 1, le parole: “Ministro dello sviluppo economico” sono sostituite dalle seguenti: “Presidente del Consiglio dei ministri”;

c) all'articolo 16-ter, comma 2, lettera b), le parole: “in collaborazione con gli Ispettorati territoriali del Ministero dello sviluppo economico,” sono soppresse.

Art. 17 (Disposizioni transitorie e finli)

1. Per lo svolgimento delle funzioni ispettive, di accertamento delle violazioni e di irrogazione delle sanzioni, di cui all'articolo 7, l'Agenzia può provvedere, oltre che con proprio personale, con l'ausilio dell'organo centrale del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155.

2. Per lo svolgimento delle funzioni relative all 'attuazione e al controllo dell'esecuzione dei provvedimenti assunti da parte del Presidente del Consiglio dei ministri ai sensi dell'articolo 5 del decreto-legge perimetro, l'Agenzia provvede con l'ausilio dell'organo centrale del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155.

3. Il personale dell'Agenzia, nello svolgimento delle funzioni ispettive, di accertamento delle violazioni e di irrogazione delle sanzioni, di cui all'articolo 7, nonché delle funzioni relative all'attuazione e al controllo dell'esecuzione dei provvedimenti assunti da parte del Presidente del Consiglio dei ministri ai sensi dell'articolo 5 del decreto-legge perimetro, riveste la qualifica di pubblico ufficiale.

4. Il personale dell'Agenzia addetto al CSIRT Italia, nello svolgimento delle proprie funzioni, riveste la qualifica di pubblico ufficiale. La trasmissione delle notifiche di incidente ricevute dal CSIRT Italia all'organo centrale del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. I 55, costituisce adempimento dell'obbligo di cui all'articolo 33 I del codice di procedura penale.

5. Con uno o più decreti del Presidente del Consiglio dei ministri di natura non regolamentare, da adottare entro centottanta giorni dalla data di entrata in vigore della legge di conversione del presente decreto, sono definiti i termini e le modalità:

a) per assicurare la prima operatività dell'Agenzia, mediante l'individuazione di appositi spazi, in via transitoria e per un massimo di ventiquattro mesi, secondo opportune intese con le amministrazioni interessate, per l'attuazione delle disposizioni del presente decreto;

b) per il trasferimento, anche mediante opportune intese con le amministrazioni interessate, delle funzioni di cui all'articolo 7, nonché per il trasferimento dei beni strumentali e della documentazione, anche di natura classificata, per l'attuazione delle disposizioni del presente decreto.

6. In relazione al trasferimento delle funzioni di cui all'articolo 7, comma 1, lettera m dall'AgID all'Agenzia, i decreti di cui al comma 5 definiscono, altresì, i raccordi tra le due amministrazioni, per le funzioni che restano di competenza di AgID.

7. Dalla data di nomina del direttore generale dell'Agenzia e fino all'adozione dei regolamenti di cui all'articolo 11 , commi 3 e 5, alle spese occorrenti per assicurare la prima operatività dell'Agenzia provvede il DIS, nell'ambito delle risorse destinate all'Agenzia. Entro 90 giorni dall'approvazione dei regolamenti di cui all'articolo 11 , commi 3 e 5, delle spese effettuate ai sensi del presente comma, il Presidente del Consiglio dei ministri ne dà informazione al COPASIR.

8. In sede di prima applicazione delle disposizioni di cui al presente decreto e per un periodo massimo di diciotto mesi dalla data di conversione in legge, l'Agenzia si avvale di un nucleo di personale, non superiore al 30 per cento della dotazione organica complessiva iniziale, di unità appartenenti al Ministero dello sviluppo economico, all'Agenzia per l'Italia digitale, al DIS, ad altre pubbliche amministrazioni e ad autorità indipendenti, messo a disposizione dell'Agenzia stessa su specifica richiesta, anche nominativa, e secondo modalità individuate mediante intese con le rispettive amministrazioni di appartenenza. Il relativo onere resta a carico dell'amministrazione di appartenenza.

9. Il regolamento di cui all 'articolo 12, comma I , prevede apposite modalità selettive per l'nquadramento, nella misura massima del 50 per cento della dotazione organica complessiva, del personale di cui al comma 8 e del personale di cui all'articolo 12, comma 2, lettera b), ove già appartenente alla pubblica amministrazione, nel contingente di personale addetto all'Agenzia di cui al medesimo articolo 12, che tengano conto delle mansioni svolte e degli incarichi ricoperti durante il periodo di servizio presso l'Agenzia, nonché delle competenze possedute e dei requisiti di professionalità ed esperienza richiesti per le specifiche posizioni. Gli inquadramenti conseguenti alle procedure selettive di cui al presente comma, relative al personale di cui al comma 8, decorrono dal 30 settembre 2022.

10. LìAgenzia può avvalersi del patrocinio dell'Avvocatura dello Stato, ai sensi dell'rticolo 43 del testo unico approvato con regio decreto 30 ottobre 1933, n. 1611.

Art.18 (Copertura finanziaria)

[MEF]

All'onere derivante dall'applicazione del presente decreto, valutato in euro … per l'anno 2021 , euro … per l'anno 2022 ed euro … a decorrere dall'anno 2022, si provvede a valere sul Fondo di cui all'art .. ..

2. Il Ministro dell'economia e delle finanze è autorizzato ad apportare, con propri decreti, le occorrenti variazioni di bilancio per l'attuazione del presente decreto.

3. I proventi delle sanzioni irrogate dall'Agenzia ai sensi di quanto previsto dal decreto legislativo NIS, dal decreto-legge perimetro e dal decreto legislativo 1° agosto 2003 , n. 259, e relative disposizioni attuative, sono versati al Fondo di cui al comma 1 del presente articolo.

Art. 19 (Entrata in vigore)

1. Il presente decreto entra in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana e sarà presentato alle Camere per la conversione in legge. Il presente decreto, munito del sigillo dello Stato, sarà inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. È fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.

Questa hè una traduzzione automatica da a lingua italiana di un post publicatu in StartMag à l’URL https://www.startmag.it/mondo/tutto-sullagenzia-per-la-cybersicurezza-nazionale-acn-che-cosa-prevede-il-decreto/ u Thu, 10 Jun 2021 09:22:21 +0000.