PDL 3161-A

FRONTESPIZIO

PARERI
Parere Commissione: 48
Parere Commissione: 02
Parere Commissione: 03
Parere Commissione: 04
Parere Commissione: 05
Parere Commissione: 06
Parere Commissione: 07
Parere Commissione: 10
Parere Commissione: 11
Parere Commissione: 12
Parere Commissione: 14
Parere Commissione: 23

DISEGNO DI LEGGE DI CONVERSIONE - TESTO A FRONTE

                    Articolo 1                       Articolo 1  

MODIFICAZIONI

DECRETO-LEGGE - TESTO A FRONTE

                    Articolo 1                       Articolo 1  
                    Articolo 2                       Articolo 2  
                    Articolo 3                       Articolo 3  
                    Articolo 4                       Articolo 4  
                    Articolo 5                       Articolo 5  
                    Articolo 6                       Articolo 6  
                    Articolo 7                       Articolo 7  
                    Articolo 8                       Articolo 8  
                    Articolo 9                       Articolo 9  
                    Articolo 10                       Articolo 10  
                    Articolo 11                       Articolo 11  
                    Articolo 12                       Articolo 12  
                    Articolo 13                       Articolo 13  
                    Articolo 14                       Articolo 14  
                    Articolo 15                       Articolo 15  
                    Articolo 16                       Articolo 16  
                    Articolo 17                       Articolo 17  
                    Articolo 18                       Articolo 18  
                    Articolo 19    

XVIII LEGISLATURA

CAMERA DEI DEPUTATI

N. 3161-A

DISEGNO DI LEGGE

presentato dal presidente del consiglio dei ministri
( DRAGHI )

Conversione in legge del decreto-legge 14 giugno 2021, n. 82, recante disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale

Presentato il 14 giugno 2021

(Relatori: BRESCIA , per la I Commissione;
PAITA , per la IX Commissione)

NOTA: Le Commissioni permanenti I (Affari costituzionali, della Presidenza del Consiglio e interni) e IX (Trasporti, poste e telecomunicazioni), il 22 luglio 2021, hanno deliberato di riferire favorevolmente sul disegno di legge. In pari data le Commissioni hanno chiesto di essere autorizzate a riferire oralmente.

torna su

PARERE DEL COMITATO PER LA LEGISLAZIONE

Il Comitato per la legislazione,

esaminato il disegno di legge n. 3161 e rilevato che:

sotto il profilo della specificità, dell'omogeneità e dei limiti di contenuto previsti dalla legislazione vigente:

il provvedimento, composto da 19 articoli, per un totale di 84 commi, appare riconducibile, sulla base del preambolo, alla finalità unitaria di «ridefinire l'architettura italiana di cybersicurezza, prevedendo anche l'istituzione di un'apposita Agenzia per la cybersicurezza nazionale»;

per quanto attiene al rispetto del requisito dell'immediata applicazione delle misure del decreto-legge, di cui all'articolo 15 della legge n. 400 del 1988, si segnala che degli 84 commi, 7 richiedono l'adozione di provvedimenti attuativi; si tratta in particolare di 7 decreti del Presidente del Consiglio dei ministri;

sotto il profilo della semplicità, chiarezza e proprietà della formulazione:

con riferimento all'utilizzo del termine «Cybersicurezza», si segnala che l'Accademia della Crusca, nel comunicato dello scorso 14 giugno, ha rilevato che «l'introduzione di un ibrido italo-inglese come cybersicurezza (calcato sull'inglese cyber security) in questo caso, oltre a porre problemi di pronuncia, determina anche una incoerenza terminologica che si formerebbe nel corpus legislativo»; in effetti il provvedimento, all'articolo 7, comma 1, lettere e), ed f), richiama le fattispecie «sicurezza cibernetica» e «sicurezza nazionale cibernetica»; la legislazione inoltre già utilizza l'espressione «sicurezza nazionale cibernetica» (decreto-legge n. 105 del 2019 e decreto del Presidente del Consiglio dei ministri n. 131 del 2020);

si valuti l'opportunità di approfondire la formulazione di alcune disposizioni; in particolare, all'articolo 6, comma 3, si prevede che il regolamento di organizzazione dell'Agenzia sia approvato «previo parere del COPASIR (Comitato parlamentare per la sicurezza della Repubblica), sentito il CIC (Comitato interministeriale per la cybersicurezza)»; al riguardo, pur rilevando che si tratta di una formulazione già presente nella legislazione (si veda in particolare l'articolo 43 della legge n. 124 del 2007), si ricorda che in una lettera al Presidente del Consiglio dei ministri del 12 febbraio 1998 i presidenti delle Camere chiarivano che «l'introduzione [in uno schema di atto governativo sottoposto al parere parlamentare], successivamente all'espressione del parere parlamentare, di parti nuove che le Camere non avrebbero modo di conoscere, pregiudicherebbe la funzione consultiva del Parlamento […] Coerentemente con l'impostazione appena delineata si pone l'esigenza che il testo trasmesso alle Camere per il parere abbia completato la fase procedimentale interna all'Esecutivo»; in tal senso la formulazione adottata non appare idonea ad escludere del tutto che il parere del CIC possa essere successivo a quello del COPASIR e andrebbe pertanto valutata una riformulazione (le medesime considerazioni valgono con riferimento ai regolamenti di cui all'articolo 11, commi 3 e 4 e all'articolo 12, comma 8); all'articolo 12, comma 2, lettera b), si valuti l'opportunità di specificare meglio quali siano le «attività assolutamente necessarie» per le quali l'Agenzia per la cybersicurezza può procedere ad assunzioni a tempo determinato con contratti di diritto privato; all'articolo 17, commi 1 e 2, si valuti l'opportunità di specificare meglio le modalità con le quali potrà avvenire l'ausilio dell'organo centrale del Ministero dell'interno allo svolgimento delle funzioni dell'Agenzia per la cybersicurezza; al successivo comma 7 si richiamano i regolamenti di cui all'articolo 11, comma 5, anziché, come corretto, comma 4;

sotto il profilo dell'efficacia del testo per la semplificazione e il riordino della legislazione vigente:

il provvedimento compie un frequente ricorso a decreti del Presidente del Consiglio dei ministri, atti allo stato atipici nell'ordinamento, dei quali in alcuni casi viene esplicitato il carattere regolamentare (articolo 6, commi 1 e 3; articolo 11, commi 3 e 4; articolo 12, commi 1 e 8); nei medesimi casi è opportunamente esplicitata la deroga alla procedura della legge n. 400 del 1988; suscita però perplessità l'utilizzo al riguardo dell'espressione «anche in deroga all'articolo 17 della legge 23 agosto 1988, n. 400» che, pur essendo anch'essa utilizzata nella legislazione (ad esempio nel già richiamato articolo 43 della legge n. 124 del 2007) appare ambigua; andrebbe al riguardo valutata la soppressione della parola: «anche», ferma restando la necessità di una riflessione, come in più occasioni raccomandato dal Comitato, sulla collocazione dei decreti del Presidente del Consiglio dei ministri nel nostro sistema delle fonti;

con riferimento in particolare al regolamento di organizzazione dell'Agenzia per la cybersicurezza di cui all'articolo 6, andrebbe valutata l'opportunità, al fine di evitare incertezze applicative e contenziosi, di precisare se lo stesso dovrà essere soggetto ad obbligo di pubblicazione ovvero se la definizione delle forme di pubblicità potrà essere affidata al medesimo regolamento, in deroga alla normativa vigente ma in analogia a quanto previsto dall'articolo 43 della legge n. 124 del 2007 in materia di sistema di informazione per la sicurezza della Repubblica per quanto concerne i regolamenti attuativi di quella legge;

l'articolo 16 provvede alle modificazioni alla legislazione vigente conseguenti all'adozione del provvedimento in esame, con una serie di modifiche implicite e senza ricorrere alla tecnica della novella come richiesto dal paragrafo 3, lettera a) della circolare sulla formulazione tecnica dei testi legislativi del Presidente della Camera del 20 aprile 2001; al riguardo, alla luce della complessità della materia e della stratificazione normativa creatasi, andrebbe valutata l'opportunità che il Governo, avvalendosi dell'autorizzazione permanente di cui all'articolo 17-bis della legge n. 400 del 1988, provveda alla redazione di un testo unico compilativo delle disposizioni aventi forza di legge regolanti la materia della sicurezza cibernetica; analogamente per le disposizioni regolamentari richiamate dai commi 7 e 8 dell'articolo 16 andrebbe valutata l'opportunità di predisporre un testo unico delle disposizioni regolamentari sulla medesima materia ai sensi dell'articolo 17, comma 4-ter, della legge n. 400 del 1988;

il provvedimento non risulta corredato di analisi tecnico-normativa mentre è presente la dichiarazione di esclusione dall'analisi di impatto della regolamentazione (AIR) ai sensi dell'articolo 1, comma 6, lettera c) del decreto del Presidente del Consiglio dei ministri n. 169 del 2017 che appunto dispone l'esclusione dall'AIR per i provvedimenti normativi concernenti «disposizioni direttamente incidenti su interessi fondamentali in materia di sicurezza interna ed esterna dello Stato»;

formula, per la conformità ai parametri stabiliti dagli articoli 16-bis e 96-bis del Regolamento, le seguenti condizioni:

sotto il profilo della semplicità, chiarezza e proprietà della formulazione:

provvedano le Commissioni di merito, per le ragioni esposte in premessa, ad:

approfondire l'utilizzo del termine «cybersicurezza» alla luce delle considerazioni dell'Accademia della Crusca richiamate in premessa;

sostituire, all'articolo 17, comma 7, le parole: «e 5» ovunque ricorrano con le seguenti: «e 4».

Il Comitato osserva altresì:

sotto il profilo della semplicità, chiarezza e proprietà della formulazione:

valutino le Commissioni di merito, per le ragioni esposte in premessa, l'opportunità di:

sostituire, all'articolo 6, comma 3, le parole da: «, previo parere» fino alla fine del comma con le seguenti: «. Lo schema di decreto, corredato del parere del CIC, è trasmesso alle Camere per l'acquisizione del parere del COPASIR.»;

sopprimere all'articolo 11, comma 3, primo periodo, le parole: «previo parere del COPASIR e» e conseguentemente aggiungere, dopo il primo periodo, il seguente: «Lo schema di decreto di cui al primo periodo, corredato del parere del CIC, è trasmesso alle Camere per l'acquisizione del parere del COPASIR»;

sopprimere all'articolo 11, comma 4, le parole: «previo parere del COPASIR e» e conseguentemente aggiungere, in fine, il seguente periodo: «Lo schema di decreto di cui al primo periodo, corredato del parere del CIC, è trasmesso alle Camere per l'acquisizione del parere del COPASIR.»;

approfondire la formulazione dell'articolo 12, comma 2, lettera b) e dell'articolo 17, commi 1 e 2;

sostituire, all'articolo 12, comma 8, le parole da: «, previo parere» fino alla fine del comma con le seguenti: «. Lo schema di decreto, corredato del parere del CIC, è trasmesso alle Camere per l'acquisizione del parere del COPASIR»;

sotto il profilo dell'efficacia del testo per la semplificazione e il riordino della legislazione vigente:

valutino le Commissioni di merito, per le ragioni esposte in premessa, l'opportunità di:

sopprimere, all'articolo 6, comma 3, all'articolo 11, commi 3 e 4 e all'articolo 12, comma 8, la parola: «anche»;

approfondire, con riferimento all'articolo 6, le forme di pubblicità da prevedere per il regolamento di organizzazione dell'Agenzia per la cybersicurezza;

sollecitare il Governo a predisporre, ai sensi dell'articolo 17-bis della legge n. 400 del 1988, un testo unico compilativo delle disposizioni aventi forza di legge in materia di sicurezza cibernetica e, ai sensi dell'articolo 17, comma 4-ter, della medesima legge n. 400, un testo unico delle disposizioni regolamentari nella medesima materia.

Il Comitato raccomanda infine:

provveda il Legislatore ad avviare una riflessione sullo strumento del decreto del Presidente del Consiglio dei ministri, che allo stato rappresenta ancora – nonostante il suo frequente utilizzo nell'ordinamento – una fonte atipica, anche prendendo in considerazione l'ipotesi di un'integrazione, a tal fine, del contenuto della legge n. 400 del 1988.

PARERE DELLA II COMMISSIONE PERMANENTE
(Giustizia)

PARERE FAVOREVOLE

PARERE DELLA III COMMISSIONE PERMANENTE
(Affari esteri e comunitari)

La III Commissione,

esaminato, per le parti di competenza, il disegno di legge di conversione del decreto-legge 14 giugno 2021, n. 82, recante disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale;

valutate positivamente, in particolare:

le disposizioni di cui all'articolo 4, che prevedono l'istituzione presso la Presidenza del Consiglio dei Ministri del Comitato interministeriale per la cybersicurezza (CIC), cui sono affidate tutte le funzioni di consulenza e proposta già attribuite al Comitato interministeriale per la sicurezza della Repubblica (CISR), assicurando uno stretto raccordo dell'architettura di cybersicurezza nazionale con il sistema dell'intelligence nazionale e consentendo, altresì, all'istituendo Comitato e all'Agenzia stessa, di muoversi secondo procedure più agili rispetto a quelle adottate dal CISR, chiamato a trattare materie connotate anche da regimi di elevata classifica di segretezza;

la norma di cui all'articolo 7, comma 1, lettera o), che prevede che l'Agenzia partecipi alle esercitazioni nazionali e internazionali riguardanti la simulazione di eventi di natura cibernetica, nonché la lettera q) del medesimo comma, che dispone che l'Agenzia coordina, in raccordo con il Ministero degli affari esteri e della cooperazione internazionale, la cooperazione internazionale nella materia della cybersicurezza, e le successive lettere r), s), t), v) e z), che attribuiscono all'Agenzia, ferme restando le competenze del Ministero degli affari esteri e della cooperazione internazionale, il compito di assicurare il coinvolgimento di soggetti pubblici e privati nazionali, anche sulla base di apposite convenzioni, per lo sviluppo di competenze e capacità industriali, tecnologiche e scientifiche per la partecipazione dell'Italia a programmi, progetti e iniziative di cybersicurezza a livello UE e internazionale;

la norma di cui all'articolo 8, che dispone la costituzione, presso l'Agenzia, di un Nucleo per la cybersicurezza, quale supporto del Presidente del Consiglio dei ministri per gli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi, con il compito di assicurare, tra le altre cose, i collegamenti con gli omologhi organismi di altri Stati, della NATO, dell'UE o di organizzazioni internazionali di cui l'Italia fa parte;

l'articolo 15, che designa l'Agenzia per la cybersicurezza nazionale quale punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi, garantendo, dunque, anche la funzione di collegamento con le autorità competenti degli altri Stati membri dell'UE, nonché con il gruppo di cooperazione e la rete dei Computer Security Incident Response Team (CSIRT),

esprime

PARERE FAVOREVOLE

PARERE DELLA IV COMMISSIONE PERMANENTE
(Difesa)

La IV Commissione (Difesa),

esaminato il testo del disegno di legge di conversione in legge del decreto-legge 14 giugno 2021, n. 82, recante disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale (A.C. 3161 Governo);

premesso che:

il provvedimento origina dall'esigenza di rispondere all'accresciuta esposizione alle minacce cibernetiche e alla necessità di sviluppare, in tempi brevi, idonei e sempre più stringenti meccanismi di tutela;

la direttiva UE 2016/1148 del 6 luglio 2016, recepita nell'ordinamento italiano con il decreto legislativo n. 65 del 2018, ha dettato la cornice legislativa delle misure da adottare per la sicurezza delle reti e dei sistemi informativi e ha individuato i soggetti competenti per dare attuazione agli obblighi da questa previsti;

con il decreto-legge n. 105 del 2019, al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, nonché degli enti e degli operatori nazionali, pubblici e privati, è stata prevista l'istituzione di un perimetro di sicurezza nazionale cibernetica e la previsione di misure volte a garantire i necessari standard di sicurezza rivolti a minimizzare i rischi;

considerato che:

la sicurezza cibernetica costituisce uno degli interventi previsti dal Piano nazionale di ripresa e resilienza (PNRR) trasmesso dal Governo alla Commissione europea il 30 aprile 2021;

rilevato che:

il decreto in esame provvede a istituire un'Agenzia nazionale di cybersicurezza a cui attribuire direttamente la responsabilità delle attività di sicurezza informatica, concentrando in essa le funzioni specialistiche in materia, ad esclusione di quelle attinenti alla cyber-intelligence (di competenza degli organismi di informazione per la sicurezza), alla cyber-defense (intesa come difesa e sicurezza militare dello Stato, di competenza del Ministero della difesa) e alla prevenzione e repressione dei reati (di competenza delle Forze di polizia);

all'istituzione della nuova Agenzia si accompagna il più ampio ruolo di coordinamento e stretta sinergia con tutte le altre amministrazioni coinvolte ratione materiae, in modo da assicurare un'interfaccia unica a livello nazionale, europeo e internazionale;

nel complesso, l'impianto normativo disegnato dal nuovo decreto provvede a definire le competenze in materia di cybersicurezza del Vertice politico, a razionalizzare le competenze in materia di cybersicurezza attualmente attribuite ad una pluralità di soggetti istituzionali, a supportare lo sviluppo di capacità industriali, tecnologiche e scientifiche nel campo della cybersicurezza in un'ottica di autonomia strategica nazionale ed europea nel settore, a dare attuazione al Piano Nazionale di Ripresa e Resilienza (PNRR), a mettere in stretto raccordo l'architettura di cybersicurezza nazionale con il Sistema di informazione per la sicurezza della Repubblica previsto dalla legge 3 agosto 2007, n. 124, a promuovere una gestione coordinata delle attività di prevenzione, preparazione e risposta a situazioni di crisi, anche mediante la costituzione, nell'ambito dell'istituenda Agenzia, del Nucleo per la cybersicurezza;

preso atto del dibattito e valutate favorevolmente le disposizioni che interessano i profili di competenza della Commissione difesa,

considerato, tuttavia, che il provvedimento incide indirettamente sul sistema di organi e funzioni delineato dalla legge n. 224 del 2007, che ha disciplinato il sistema di informazione per la sicurezza della Repubblica, e che occorrerà, quindi, intervenire normativamente per coordinare i due interventi con riferimento in particolare alle modalità con le quali assicurare la collaborazione tra l'Agenzia per la cybersicurezza e le Agenzie di informazione e sicurezza già esistenti,

esprime

PARERE FAVOREVOLE

con le seguenti condizioni:

venga definito il concetto di «sicurezza nazionale» in relazione a quello di «interesse nazionale», ferma restando l'osservanza degli accordi internazionali, con particolare riguardo a quelli relativi al Trattato NATO, nel rispetto dei principi costituzionali e delle prerogative parlamentari;

venga disciplinato nel dettaglio lo status giuridico del personale dell'Agenzia per la cybersicurezza nazionale, distinguendolo specificamente da quello appartenente alle Agenzie del Sistema di informazioni per la sicurezza nazionale;

venga introdotta una disposizione finalizzata a consentire l'utilizzo delle strutture della Difesa nel campo della formazione in materia di cybersicurezza nazionale;

venga inserita una disposizione di coordinamento normativo con la legge n. 124 del 2007, anche al fine di definire le modalità di collaborazione tra l'Agenzia per la cybersicurezza e le Agenzie di informazioni e sicurezza già esistenti e rivedere organicamente l'intero complesso normativo della legge n. 124 alla luce delle modifiche introdotte con il provvedimento in esame.

PARERE DELLA V COMMISSIONE PERMANENTE
(Bilancio)

La V Commissione,

esaminato il disegno di legge C. 3161 Governo, di conversione in legge del decreto-legge n. 82 del 2021, recante Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale;

preso atto dei chiarimenti forniti dal Governo, da cui si evince che:

- la partecipazione eventuale di autorità “civili e militari” alle sedute del Comitato interministeriale per la cybersicurezza, ai sensi del comma 5 dell'articolo 4, non comporta la corresponsione di alcun emolumento o rimborso di spese aggiuntivo, giacché le predette autorità potranno prendere parte alle riunioni in qualità di figure istituzionali;

- il richiamo alle risorse disponibili, ai fini dell'adozione dei regolamenti di cui agli articoli 6 e 12, concernenti rispettivamente l'organizzazione e il funzionamento dell'Agenzia per la cybersicurezza nazionale e la disciplina del relativo contingente di personale, è da intendersi come limite massimo della spesa imputabile alla istituenda Agenzia;

- all'articolo 8, l'istituzione del Nucleo per la cybersicurezza non comporta nuovi o maggiori oneri per la finanza pubblica, posto che per la partecipazione allo stesso non sono previsti compensi, gettoni di presenza, rimborsi di spese o altri emolumenti comunque denominati;

- il finanziamento inziale dell'Agenzia previsto dall'articolo 18 sarà rideterminato annualmente con legge di bilancio ai sensi dell'articolo 11, comma 1, conformemente alla vigente disciplina contabile, che consente di apportare, con la seconda sezione della medesima legge di bilancio, incrementi o riduzioni agli stanziamenti già autorizzati a legislazione vigente;

- all'articolo 12, comma 1, il richiamo al personale per il quale il regolamento di cui al precedente comma 1 dovrà prevedere un trattamento economico pari a quello in godimento da parte dei dipendenti della Banca d'Italia è da intendersi riferito al solo personale di ruolo alle dipendenze dell'Agenzia di cui alla lettera a) del successivo comma 2;

- gli effetti finanziari derivanti dalla procedura di accertamento e assegnazione al Fondo per le esigenze indifferibili di cui all'articolo 1, comma 200, della legge n. 190 del 2014, delle risorse, anche in conto residui, correlate alle funzioni ridefinite ai sensi del presente decreto, nonché quelli relativi alla riassegnazione a favore dell'Agenzia dei proventi derivanti dalle sanzioni dalla stessa irrogate ai sensi della legislazione vigente, sono compatibili con gli andamenti tendenziali di finanza pubblica e non incidono pertanto sui saldi di bilancio;

- le attività di ausilio prestate da organi centrali del Ministero dell'interno a beneficio dell'Agenzia, ai sensi dei commi 1 e 2 dell'articolo 17, rivestono natura amministrativa e saranno comunque svolte nell'ambito delle risorse umane, finanziarie e strumentali disponibili a legislazione vigente;

- le risorse del Fondo per le esigenze indifferibili utilizzate a copertura ai sensi dell'articolo 18, comma 2, risultano effettivamente disponibili, anche in considerazione dell'incremento del Fondo medesimo disposto ai sensi del successivo comma 3;

ritenuto che:

- il richiamo alle risorse disponibili, ai fini dell'adozione dei regolamenti, contenuto agli articoli 6 e 12 debba essere più puntualmente riferito alle risorse finanziarie destinate all'Agenzia ai sensi dell'articolo 18, comma 1;

- ai fini di consentire la verifica in sede parlamentare del rispetto dei limiti delle risorse finanziarie destinate all'Agenzia, appare necessario prevedere che i regolamenti di cui agli articoli 6 e 12 siano adottati previo parere anche delle Commissioni parlamentari competenti per i profili finanziari;

- all'articolo 8 appare necessario introdurre una specifica clausola di neutralità relativa alla partecipazione al Nucleo per la cybersicurezza da parte di tutti i suoi componenti, analogamente a quanto previsto all'articolo 10, comma 3, con riferimento alla composizione integrata del Nucleo stesso;

- all'articolo 12, comma 1, appare necessario precisare che il trattamento economico pari a quello in godimento da parte dei dipendenti della Banca d'Italia spetta al solo personale dell'Agenzia di cui alla lettera a) del successivo comma 2,

esprime

PARERE FAVOREVOLE

con le seguenti condizioni, volte a garantire il rispetto dell'articolo 81 della Costituzione:

All'articolo 6, comma 1, sostituire le parole: nell'ambito delle risorse disponibili con le seguenti: nell'ambito delle risorse finanziarie destinate all'Agenzia ai sensi dell'articolo 18, comma 1.

All'articolo 6, comma 3, dopo le parole: del COPASIR inserire le seguenti: e delle Commissioni parlamentari competenti per i profili finanziari.

All'articolo 8, aggiungere, in fine, il seguente comma: 4-bis. Ai componenti del Nucleo non spettano compensi, gettoni di presenza, rimborsi di spese o altri emolumenti comunque denominati.

All'articolo 12, comma 1, secondo periodo, dopo le parole: per il personale dell'Agenzia aggiungere le seguenti: di cui al comma 2, lettera a).

All'articolo 12, comma 2, sostituire le parole: nei limiti delle risorse finanziarie disponibili con le seguenti: nell'ambito delle risorse finanziarie destinate all'Agenzia ai sensi dell'articolo 18, comma 1.

All'articolo 12, comma 8, dopo le parole: del COPASIR inserire le seguenti: e delle Commissioni parlamentari competenti per i profili finanziari.

PARERE DELLA VI COMMISSIONE PERMANENTE
(Finanze)

PARERE FAVOREVOLE

PARERE DELLA VII COMMISSIONE PERMANENTE
(Cultura, scienza e istruzione)

La VII Commissione,

esaminato il disegno di legge C. 3161 Governo, di conversione in legge del decreto-legge n. 82 del 2021, recante disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale,

esprime

PARERE FAVOREVOLE

con le seguenti osservazioni:

a) le Commissioni di merito valutino l'opportunità di introdurre norme volte alla costituzione di meccanismi istituzionali di dialogo, sui temi della cybersicurezza, tra i mondi della ricerca, dell'università e dell'industria, così da stimolare l'innovazione in questo campo;

b) le Commissioni di merito valutino l'opportunità di introdurre norme volte a inserire, all'interno della Strategia nazionale per la cybersicurezza, specifici riferimenti alla necessità di azioni per l'alfabetizzazione digitale del Paese.

PARERE DELLA X COMMISSIONE PERMANENTE
(Attività produttive, commercio e turismo)

PARERE FAVOREVOLE

PARERE DELLA XI COMMISSIONE PERMANENTE
(Lavoro pubblico e privato)

La XI Commissione,

esaminato, per quanto di competenza, il disegno di legge C. 3161, di conversione del decreto-legge 14 giugno 2021, n. 82, recante disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale;

osservato che il provvedimento è volto a ridefinire la complessiva architettura nazionale in materia di sicurezza informatica, con la costituzione di un'Agenzia nazionale, prevista dal Piano nazionale di ripresa e resilienza, alla quale sono attribuite le principali funzioni specialistiche in materia;

visto l'articolo 5, che prevede l'istituzione dell'Agenzia per la cybersicurezza nazionale, il cui modello segue, con gli opportuni adattamenti, quello definito dalla legge 3 agosto 2007, n. 124, per il Dipartimento delle informazioni per la sicurezza (DIS), l'Agenzia informazioni e sicurezza esterna (AISE) e l'Agenzia informazioni e sicurezza interna (AISI);

preso atto che l'organizzazione dell'Agenzia è disciplinata dall'articolo 6, che rinvia ad un successivo regolamento, adottato con decreto del Presidente del Consiglio dei ministri, di concerto con il Ministro dell'economia e delle finanze, la definizione dell'organizzazione e del funzionamento dell'Agenzia stessa, prevedendo fino a un numero massimo di otto uffici di livello dirigenziale generale, nonché fino ad un numero massimo di trenta articolazioni di livello dirigenziale non generale, nell'ambito delle risorse disponibili;

considerato che, con riferimento alla disciplina del personale dell'Agenzia, l'articolo 12, ai commi 1 e 2, rinvia ad un apposito regolamento la disciplina del relativo ordinamento, del reclutamento e del trattamento economico e previdenziale, prevedendo, in particolare, che il trattamento economico riconosciuto al personale sia pari a quello goduto dai dipendenti della Banca d'Italia, sulla scorta della equiparabilità delle funzioni svolte e del livello di responsabilità rivestito, e che l'equiparazione, sia con riferimento al trattamento economico sia a quello previdenziale, produca effetti avendo riguardo alle anzianità di servizio maturate a seguito dell'inquadramento nei ruoli dell'Agenzia;

osservato che, ai sensi del comma 4 del medesimo articolo 12, la dotazione organica dell'Agenzia è determinata, in sede di prima applicazione, in 300 unità, delle quali fino a un massimo di 8 di livello dirigenziale generale, fino a un massimo di 24 di livello dirigenziale non generale e fino a un massimo di 268 di personale non dirigenziale, e che, successivamente, tale dotazione potrà essere rideterminata con decreti del Presidente del Consiglio dei ministri di concerto con il Ministro dell'economia e delle finanze,

esprime

PARERE FAVOREVOLE

PARERE DELLA XII COMMISSIONE PERMANENTE
(Affari sociali)

PARERE FAVOREVOLE

PARERE DELLA XIV COMMISSIONE PERMANENTE
(Politiche dell'Unione europea)

La XIV Commissione,

esaminato il disegno di legge di conversione in legge del decreto-legge 14 giugno 2021, n. 82, recante «Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale» (C.3161 Governo);

considerato che il processo di trasformazione digitale in corso, che sarà implementato attraverso la completa attuazione del Piano nazionale di ripresa e resilienza (PNRR), implica, oltre agli evidenti vantaggi per le filiere produttive, le pubbliche amministrazioni e i cittadini, anche un'accresciuta esposizione ad attacchi cibernetici cui sono connessi nuovi rischi, come quello di introdurre vulnerabilità strutturali all'interno di servizi e funzioni essenziali dello Stato; la sicurezza e la resilienza cibernetiche si configurano pertanto come un prerequisito essenziale del processo di digitalizzazione del Paese, anche nell'ottica dell'innovazione industriale e dello sviluppo tecnologico e scientifico nazionale nel settore;

ricordato che nella prospettiva di conseguire un livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell'Unione europea, a livello unionale è stata adottata la direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016 (cosiddetta direttiva NIS – Network and Information Security); la direttiva è stata recepita nell'ordinamento italiano con il decreto legislativo n. 65 del 18 maggio 2018 (cosiddetto decreto legislativo NIS), che detta la cornice legislativa delle misure volte a conseguire un livello elevato di sicurezza della rete e dei sistemi informativi ed individua i soggetti competenti per dare attuazione agli obblighi previsti dalla citata direttiva; successivamente, è stato adottato il decreto-legge 21 settembre 2019, n. 105, (cosiddetto decreto-legge perimetro), convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, che anche in relazione ad attacchi alle reti di Paesi europei ha previsto, sempre al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, nonché degli enti e degli operatori nazionali, pubblici e privati, l'istituzione di un perimetro di sicurezza nazionale cibernetica;

rilevato che la sicurezza cibernetica costituisce uno degli interventi previsti dal PNRR, nell'ambito della componente 1, «Digitalizzazione, innovazione e sicurezza nella PA», compresa nella Missione 1, «Digitalizzazione, innovazione, competitività, cultura e turismo», cui sono destinati circa 620 milioni di euro, di cui 241 milioni di euro per la creazione di una infrastruttura nazionale per la cybersicurezza; 231 milioni di euro per il rafforzamento delle principali strutture operative del perimetro di sicurezza nazionale cibernetica (PSNC); 150 milioni di euro per il rafforzamento delle capacità nazionali di difesa informatica presso il Ministero dell'interno, difesa, Guardia di Finanza, giustizia e Consiglio di Stato;

preso atto che nell'ambito della suddetta cornice normativa, il provvedimento interviene a definire l'architettura nazionale della cybersicurezza, identificando gli organi ad essa preposti, le loro funzioni e dotazioni di personale, nonché i connessi obblighi informativi al Parlamento, prevedendo, tra l'altro, come già avvenuto in altri Paesi tra cui la Francia, la Germania e il Regno Unito, l'istituzione dell'Agenzia per la cybersicurezza nazionale, la cui finalità principale è la tutela degli interessi nazionali nel campo della cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico;

considerato che, ai sensi dell'articolo 7, alla predetta Agenzia è attribuita, per le finalità di cui al decreto legislativo NIS, la qualifica di Autorità nazionale per la cybersicurezza e, in relazione a tale ruolo, il compito di assicurare il coordinamento tra i soggetti pubblici coinvolti in materia di cybersicurezza a livello nazionale e di promuovere la realizzazione di una cornice di sicurezza e resilienza cibernetiche in funzione dello sviluppo della digitalizzazione del Paese, del sistema produttivo e delle pubbliche amministrazioni, nonché per il conseguimento dell'autonomia, nazionale ed europea, riguardo a prodotti e processi informatici di rilevanza strategica a tutela degli interessi nazionali nel settore; all'Agenzia è altresì attribuita la qualità di Autorità nazionale di certificazione della cybersicurezza ai sensi dell'articolo 58 del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, e viene disposto che assuma tutti i compiti in materia di certificazione di sicurezza cibernetica già attribuiti al Ministero dello sviluppo economico dall'ordinamento vigente, compresi quelli relativi all'accertamento delle violazioni; l'Agenzia è inoltre designata quale Centro nazionale di coordinamento ai sensi dell'articolo 6 del regolamento (UE) 2021/887 del Parlamento europeo e del Consiglio del 20 maggio 2021, che istituisce il Centro europeo di competenza per la cybersicurezza nell'ambito industriale, tecnologico e della ricerca e la rete dei centri nazionali di coordinamento, e ai sensi dell'articolo 12 del citato regolamento viene stabilito che nell'ambito dell'Agenzia sono nominati, con decreto del Presidente del Consiglio dei ministri, il rappresentante nazionale, e il suo sostituto, nel Consiglio di direzione del predetto Centro europeo;

considerato altresì che nell'ambito dell'Unione europea e a livello internazionale, la predetta Agenzia cura i rapporti con i competenti organismi, istituzioni, ed enti, nonché segue nelle competenti sedi istituzionali le tematiche di cybersicurezza, fatta eccezione per gli ambiti in cui la legge attribuisce specifiche competenze ad altre amministrazioni, e che la medesima Agenzia è chiamata a promuovere, sostenere e coordinare la partecipazione italiana a progetti e iniziative dell'Unione europea e internazionali, anche mediante il coinvolgimento di soggetti pubblici e privati nazionali, nel campo della cybersicurezza e dei correlati servizi applicativi, ferme restando le competenze del Ministero degli esteri e della cooperazione internazionale;

rilevato che l'articolo 15 reca, tra l'altro, le modificazioni al decreto legislativo NIS, di attuazione della citata direttiva (UE) 2016/1148, funzionali a realizzare l'assetto istituzionale, sopra richiamato, dell'Agenzia per la cybersicurezza nazionale quale autorità nazionale competente NIS e punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi che svolge la funzione di collegamento per garantire la cooperazione transfrontaliera con le autorità competenti degli altri Stati membri;

rilevato altresì che il comma 12 dell'articolo 16 modifica l'articolo 4, comma 1, lettera b), della legge di delegazione europea 2019-2020 (legge 22 aprile 2021, n. 53), che indica i principi ed i criteri direttivi relativi per il recepimento del nuovo codice europeo delle comunicazioni elettroniche, al fine di inserire il riferimento alla nuova Agenzia per la cybersicurezza nazionale tra le autorità competenti per l'attuazione delle disposizioni del Codice stesso e l'articolo 18 della medesima legge di delegazione, contenente i principi e criteri direttivi per l'adeguamento della normativa nazionale al Regolamento europeo sulla cybersicurezza (Regolamento (UE) 2019/881) al fine di prevedere che ogni riferimento al Ministero dello sviluppo economico sia da intendersi riferito all'Agenzia per la cybersicurezza nazionale;

valutato che il provvedimento dà attuazione al Piano nazionale di ripresa e resilienza razionalizzando le competenze e potenziando gli strumenti in materia di sicurezza cibernetica al fine di tutelare la sicurezza nazionale e favorire la trasformazione digitale, non presentando profili di criticità in ordine alla compatibilità con l'ordinamento dell'Unione europea,

esprime

PARERE FAVOREVOLE

PARERE DELLA COMMISSIONE PARLAMENTARE
PER LE QUESTIONI REGIONALI

La Commissione parlamentare per le questioni regionali,

esaminato, per i profili di competenza, il disegno di legge C. 3161 di conversione del decreto-legge n. 82 del 2021, recante disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale;

rilevato che:

il provvedimento appare riconducibile principalmente alla materia della sicurezza dello Stato di esclusiva competenza statale (art. 117, secondo comma, lettera d) della Costituzione); assume altresì rilievo, in relazione all'istituzione dell'Agenzia nazionale per la cybersicurezza, l'esclusiva competenza statale in materia di ordinamento e organizzazione amministrativa dello Stato e degli enti pubblici nazionali (articolo 117, secondo comma, lettera g)),

esprime

PARERE FAVOREVOLE

torna su

TESTO
del disegno di legge

TESTO
delle Commissioni

Art. 1.

Art. 1.

1. È convertito in legge il decreto-legge 14 giugno 2021, n. 82, recante disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale.

1. Il decreto-legge 14 giugno 2021, n. 82, recante disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale, è convertito in legge con le modificazioni riportate in allegato alla presente legge.

2. La presente legge entra in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale.

2. Identico.

torna su

Allegato

MODIFICAZIONI APPORTATE DALLE COMMISSIONI

All'articolo 1:

il comma 1 è sostituito dal seguente:

«1. Ai fini del presente decreto si intende per:

a) cybersicurezza, l'insieme delle attività, ferme restando le attribuzioni di cui alla legge 3 agosto 2007, n. 124, e gli obblighi derivanti da trattati internazionali, necessarie per proteggere dalle minacce informatiche reti, sistemi informativi, servizi informatici e comunicazioni elettroniche, assicurandone la disponibilità, la confidenzialità e l'integrità e garantendone la resilienza, anche ai fini della tutela della sicurezza nazionale e dell'interesse nazionale nello spazio cibernetico;

b) resilienza nazionale nello spazio cibernetico, le attività volte a prevenire un pregiudizio per la sicurezza nazionale come definito dall'articolo 1, comma 1, lettera f), del regolamento di cui al decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131;

c) decreto-legge perimetro, il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica;

d) decreto legislativo NIS, il decreto legislativo 18 maggio 2018, n. 65, di attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione;

e) strategia nazionale di cybersicurezza, la strategia di cui all'articolo 6 del decreto legislativo NIS».

All'articolo 2:

al comma 1:

alla lettera a), le parole: «, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico» sono soppresse;

alla lettera c), sono aggiunte, in fine, le seguenti parole: «, previa deliberazione del Consiglio dei ministri»;

al comma 2, la parola: «lett.» è sostituita dalla seguente: «lettera»;

al comma 3, le parole: «il presidente del COPASIR» sono sostituite dalle seguenti: «il Comitato parlamentare per la sicurezza della Repubblica (COPASIR), di cui all'articolo 30 della legge 3 agosto 2007, n. 124, e le Commissioni parlamentari competenti» e sono aggiunte, in fine, le seguenti parole: «, del presente articolo».

All'articolo 3:

al comma 1, le parole: «alla medesima Autorità» sono sostituite dalle seguenti: «all'Autorità» e le parole: «legge n. 124 del 2007, ove istituita,» sono sostituite dalle seguenti: «legge 3 agosto 2007, n. 124, ove istituita, denominata di seguito: “Autorità delegata”,».

All'articolo 4:

al comma 1, le parole: «, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico» sono soppresse;

al comma 4, dopo le parole: «dell'Agenzia» sono inserite le seguenti: «per la cybersicurezza nazionale»;

al comma 5, le parole: «il direttore generale del DIS, il direttore dell'AISE, il direttore dell'AISI,» sono soppresse;

al comma 6, la parola: «CISR» è sostituita dalle seguenti: «Comitato interministeriale per la sicurezza della Repubblica (CISR), di cui all'articolo 5 della legge 3 agosto 2007, n. 124,».

All'articolo 5:

al comma 1, le parole: «, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico» sono soppresse;

al comma 3, al primo periodo, le parole: «legge n. 400 del 1988» sono sostituite dalle seguenti: «legge 23 agosto 1988, n. 400» e, al terzo periodo, la parola: «Direttore» è sostituita dalla seguente: «direttore» e la parola: «vicedirettore» è sostituita dalle seguenti: «vice direttore»;

al comma 5, dopo le parole: «di altre amministrazioni,» sono inserite le seguenti: «delle Forze armate,»;

al comma 6, dopo le parole: «il COPASIR» sono inserite le seguenti: «, ai sensi di quanto previsto dall'articolo 31, comma 3, della legge 3 agosto 2007, n. 124,».

All'articolo 6:

al comma 1, le parole: «nell'ambito delle risorse disponibili» sono sostituite dalle seguenti: «nell'ambito delle risorse finanziarie destinate all'Agenzia ai sensi dell'articolo 18, comma 1»;

al comma 3, dopo le parole: «previo parere» sono inserite le seguenti: «delle Commissioni parlamentari competenti per materia e per i profili finanziari e, per i profili di competenza,».

All'articolo 7:

al comma 1:

alla lettera e):

al numero 1), le parole: «comma 1» sono sostituite dalle seguenti: «paragrafo 1»;

al numero 2), le parole: «comma 6» sono sostituite dalle seguenti: «paragrafo 6» e le parole: «punto 1)» sono sostituite dalle seguenti: «numero 1) della presente lettera»;

alla lettera i), la parola: «DIS» è sostituita dalle seguenti: «Dipartimento delle informazioni per la sicurezza (DIS), di cui all'articolo 4 della legge 3 agosto 2007, n. 124,»;

alla lettera m), le parole: «nonché in materia» sono sostituite dalle seguenti: «nonché quelle in materia»;

dopo la lettera m) sono inserite le seguenti:

«m-bis) assume le iniziative idonee a valorizzare la crittografia come strumento di cybersicurezza, anche attraverso un'apposita sezione dedicata nell'ambito della strategia di cui alla lettera b). In particolare, l'Agenzia attiva ogni iniziativa utile volta al rafforzamento dell'autonomia industriale e tecnologica dell'Italia, valorizzando lo sviluppo di algoritmi proprietari nonché la ricerca e il conseguimento di nuove capacità crittografiche nazionali;

m-ter) provvede alla qualificazione dei servizi cloud per la pubblica amministrazione nel rispetto della disciplina dell'Unione europea e del regolamento di cui all'articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221»;

alla lettera n) sono aggiunte, in fine, le seguenti parole: «. A tale fine, promuove iniziative di partenariato pubblico-privato, per rendere effettive tali capacità»;

alla lettera q), le parole: «istituzioni, ed enti» sono sostituite dalle seguenti: «istituzioni ed enti»;

alla lettera r) sono aggiunte, in fine, le seguenti parole: « e, in particolare, con il Ministero della difesa per gli aspetti inerenti alla ricerca militare. L'Agenzia può altresì promuovere la costituzione di aree dedicate allo sviluppo dell'innovazione finalizzate a favorire la formazione e il reclutamento di personale nei settori avanzati dello sviluppo della cybersicurezza, nonché promuovere la realizzazione di studi di fattibilità e di analisi valutative finalizzati a tale scopo»;

alla lettera s), le parole: «Ministero degli esteri» sono sostituite dalle seguenti: «Ministero degli affari esteri»;

alla lettera t), le parole: «Ministero degli esteri» sono sostituite dalle seguenti: «Ministero degli affari esteri» e sono aggiunte, in fine, le seguenti parole: «e, in particolare, con il Ministero della difesa per gli aspetti inerenti a progetti e iniziative in collaborazione con la NATO e con l'Agenzia europea per la difesa»;

alla lettera v), dopo le parole: «nel campo della cybersicurezza,» sono inserite le seguenti: «in particolare favorendo l'attivazione di percorsi formativi universitari in materia,» e sono aggiunte, in fine, le seguenti parole: «; nello svolgimento di tali compiti, l'Agenzia può avvalersi anche delle strutture formative e delle capacità della Presidenza del Consiglio dei ministri, del Ministero della difesa e del Ministero dell'interno, secondo termini e modalità da definire con apposito decreto del Presidente del Consiglio dei ministri, di concerto con i Ministri interessati»;

dopo la lettera v) è inserita la seguente:

«v-bis) può predisporre attività di formazione specifica riservate ai giovani che aderiscono al servizio civile regolate sulla base di apposite convenzioni. In ogni caso, il servizio prestato è, a tutti gli effetti, riconosciuto come servizio civile»;

dopo il comma 1 è inserito il seguente:

«1-bis. Anche ai fini dell'esercizio delle funzioni di cui al comma 1, lettere r), s), t), u), v), z) e aa), presso l'Agenzia è istituito, con funzioni di consulenza e di proposta, un Comitato tecnico-scientifico, presieduto dal direttore generale della medesima Agenzia, o da un dirigente da lui delegato, e composto da personale della stessa Agenzia e da qualificati rappresentanti dell'industria, degli enti di ricerca, dell'accademia e delle associazioni del settore della sicurezza, designati con decreto del Presidente del Consiglio dei ministri. La composizione e l'organizzazione del Comitato tecnico-scientifico sono disciplinate secondo le modalità e i criteri definiti dal regolamento di cui all'articolo 6, comma 1. Per la partecipazione al Comitato tecnico-scientifico non sono previsti gettoni di presenza, compensi o rimborsi di spese».

All'articolo 8:

al comma 2, primo periodo, le parole: «o dal vice direttore generale da lui designato» sono sostituite dalle seguenti: «o, per sua delega, dal vice direttore generale» e le parole: «dell'AISE, dell'AISI, di ciascuno dei Ministeri rappresentati nel Comitato di cui all'articolo 5 della legge n. 124 del 2007, del Ministero dell'università e della ricerca, del Ministro delegato per l'innovazione tecnologica e la transizione digitale» sono sostituite dalle seguenti: «dell'Agenzia informazioni e sicurezza esterna (AISE), di cui all'articolo 6 della legge 3 agosto 2007, n. 124, dell'Agenzia informazioni e sicurezza interna (AISI), di cui all'articolo 7 della legge n. 124 del 2007, di ciascuno dei Ministeri rappresentati nel CIC»;

al comma 3, primo periodo, dopo le parole: «I componenti» sono inserite le seguenti: «del Nucleo»;

dopo il comma 4 è inserito il seguente:

«4-bis. Ai componenti del Nucleo non spettano compensi, gettoni di presenza, rimborsi di spese o altri emolumenti comunque denominati».

All'articolo 9:

al comma 1:

a lla lettera b), le parole: «decreto-legge n. 174 del 2015, convertito, con modificazioni, dalla legge n. 198 del 2015» sono sostituite dalle seguenti: «decreto-legge 30 ottobre 2015, n. 174, convertito, con modificazioni, dalla legge 11 dicembre 2015, n. 198»;

alla lettera c), le parole: «in esercitazioni» sono sostituite dalle seguenti: «a esercitazioni»;

alla lettera e), le parole: «riceve, per il tramite del CSIRT Italia, le comunicazioni circa i casi di violazioni o tentativi di violazione della sicurezza o di perdita dell'integrità significativi ai fini del corretto funzionamento delle reti e dei servizi, dal DIS, dall'AISE e dall'AISI» sono sostituite dalle seguenti: «acquisisce, anche per il tramite del CSIRT Italia, le comunicazioni circa i casi di violazioni o tentativi di violazione della sicurezza o di perdita dell'integrità significativi ai fini del corretto funzionamento delle reti e dei servizi dagli organismi di informazione di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124» e l e parole: «decreto-legge n. 144 del 2005, convertito, con modificazioni, dalla legge n. 155 del 2005» sono sostituite dalle seguenti: «decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155».

All'articolo 10:

il comma 2 è soppresso;

al comma 3, primo periodo, le parole: «, del Ministero delle infrastrutture e della mobilità sostenibili,» sono sostituite dalla seguente: «e»;

al comma 4, le parole: «di natura cibernetica,» sono sostituite dalle seguenti: «di natura cibernetica»;

al comma 5:

all'alinea, le parole: «decreto-legge n. 174 del 2015, convertito, con modificazioni, dalla legge n. 198 del 2015» sono sostituite dalle seguenti: «decreto-legge 30 ottobre 2015, n. 174, convertito, con modificazioni, dalla legge 11 dicembre 2015, n. 198»;

alla lettera e), le parole: «dell'UE» sono sostituite dalle seguenti: «dell'Unione europea».

All'articolo 11:

al comma 1, le parole: «Con legge di bilancio» sono sostituite dalle seguenti: «Con la legge di bilancio»;

al comma 2, lettera e), la parola: «contribuiti» è sostituita dalla seguente: «contributi»;

al comma 3:

a lla lettera a), dopo le parole: «del CIC» è inserito il seguente segno d'interpunzione: «,»;

alla lettera b), le parole: «sono trasmessi, al» sono sostituite dalle seguenti: «sono trasmessi alle Commissioni parlamentari competenti e al»;

al comma 4, le parole: «e per quelle svolte in raccordo con il Sistema di informazione per la sicurezza della Repubblica di cui alla legge n. 124 del 2007» sono soppresse.

All'articolo 12:

al comma 1:

al primo periodo, le parole: «di tutela della sicurezza nazionale nello spazio cibernetico attribuite all'Agenzia e tenuto conto delle attività svolte dalla stessa in raccordo con il Sistema di informazione per la sicurezza della Repubblica di cui alla legge n. 124 del 2007» sono sostituite dalle seguenti: «volte alla tutela della sicurezza nazionale nello spazio cibernetico attribuite all'Agenzia»;

al secondo periodo, dopo le parole: «per il personale dell'Agenzia» sono inserite le seguenti: «di cui al comma 2, lettera a),»; .

al terzo periodo, le parole: «sia con riferimento» sono sostituite dalle seguenti: «con riferimento sia» e dopo le parole: «in servizio che» sono inserite le seguenti: «al trattamento»;

al comma 2:

all'alinea, le parole: «nei limiti delle risorse finanziarie disponibili» sono sostituite dalle seguenti: «nell'ambito delle risorse finanziarie destinate all'Agenzia ai sensi dell'articolo 18, comma 1»; .

alla lettera c), dopo le parole: «composto da personale» è inserito il seguente segno d'interpunzione: «,» e le parole: «analoga posizione, prevista» sono sostituite dalle seguenti: «analoga posizione prevista»;

al comma 5, le parole: «al presidente del» sono sostituite dalle seguenti: «alle Commissioni parlamentari competenti e al»;

al comma 7, le parole: «Fatto salvo quanto previsto dall'articolo 42 della legge n. 124 del 2007,» sono soppresse;

al comma 8, dopo le parole: «previo parere» sono inserite le seguenti: «delle Commissioni parlamentari competenti per materia e per i profili finanziari e, per i profili di competenza,».

All'articolo 14:

al comma 2, le parole: «in raccordo con il Sistema di informazione per la sicurezza della Repubblica di cui alla legge n. 124 del 2007, nonché in relazione agli ambiti di attività dell'Agenzia sottoposti al controllo del Comitato ai sensi del presente decreto» sono sostituite dalle seguenti: «negli ambiti concernenti la tutela della sicurezza nazionale nello spazio cibernetico relativamente ai profili di competenza del Comitato».

All'articolo 15:

al comma 1:

alla lettera e), capoverso comma 6, lettera b), dopo le parole: «sono valutate» sono inserite le seguenti: «ed eventualmente integrate, d'intesa con le autorità di settore,»;

alla lettera f), le parole: «dalle seguenti: “cybersicurezza”», ovunque ricorrono, sono sostituite dalle seguenti: «dalla seguente: “cybersicurezza”»;

alla lettera g), capoverso Art. 7:

al comma 1, lettera d), le parole: «delle Regioni» sono sostituite dalle seguenti: «dalle Regioni»;

al comma 8, alinea, dopo le parole: «dal presente articolo» è inserito il seguente segno d'interpunzione: «,» e le parole: «a decorrere dal» sono sostituite dalle seguenti: «annui a decorrere dall'anno»;

a lla lettera h), le parole: «l'Agenzia di cybersicurezza» sono sostituite dalle seguenti: «l'Agenzia per la cybersicurezza»;

alla lettera i), capoverso 1, al secondo periodo, le parole: «nazionale, un» sono sostituite dalle seguenti: «nazionale un» e, al quinto periodo, dopo le parole: «o rimborsi» è inserita la seguente: «di»;

al comma 2:

alla lettera a) sono aggiunte, in fine, le seguenti parole: «, come sostituito dal comma 1, lettera g), del presente articolo»;

alla lettera c) sono aggiunte, in fine, le seguenti parole: «, come modificato dalla lettera d) del presente comma».

All'articolo 16:

al comma 1, le parole: «legge n. 124 del 2007» sono sostituite dalle seguenti: «legge 3 agosto 2007, n. 124»;

al comma 2, dopo le parole: «è abrogato» sono aggiunte le seguenti: «a decorrere dal 1° gennaio 2023»;

al comma 5, dopo le parole: «cybersicurezza nazionale» sono inserite le seguenti: «, fatta eccezione per le disposizioni dell'articolo 1, commi 2, lettera b), e 2-ter, del medesimo decreto-legge perimetro,»;

al comma 8, le parole: «di cui agli articoli 3 del decreto del Presidente del Consiglio dei ministri n. 131 del 2020» sono sostituite dalle seguenti: «di cui all'articolo 3 del decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131»;

a l comma 9:

dopo la lettera a) sono inserite le seguenti:

«a-bis) all'articolo 1, comma 7, lettera c), le parole: “dell'organismo tecnico di supporto al CISR” sono sostituite dalle seguenti: “del Tavolo interministeriale di cui all'articolo 6 del decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131”;

a-ter) all'articolo 1, comma 2, la lettera b) è sostituita dalla seguente:

b) sono definiti, sulla base di un'analisi del rischio e di un criterio di gradualità che tenga conto delle specificità dei diversi settori di attività, i criteri con i quali i soggetti di cui al comma 2-bis predispongono e aggiornano con cadenza almeno annuale un elenco delle reti, dei sistemi informativi e dei servizi informatici di cui al comma 1, di rispettiva pertinenza, comprensivo della relativa architettura e componentistica, fermo restando che, per le reti, i sistemi informativi e i servizi informatici attinenti alla gestione delle informazioni classificate, si applica quanto previsto dal regolamento adottato ai sensi dell'articolo 4, comma 3, lettera l), della legge 3 agosto 2007, n. 124; all'elaborazione di tali criteri provvede, adottando opportuni moduli organizzativi, il Tavolo interministeriale di cui all'articolo 6 del regolamento di cui al decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131; entro sei mesi dalla data della comunicazione, prevista dal comma 2-bis, a ciascuno dei soggetti iscritti nell'elenco di cui al medesimo comma, i soggetti pubblici e quelli di cui all'articolo 29 del codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, nonché quelli privati, di cui al citato comma 2-bis, trasmettono tali elenchi all'Agenzia per la cybersicurezza nazionale, anche per le attività di prevenzione, preparazione e gestione di crisi cibernetiche affidate al Nucleo per la cybersicurezza; il Dipartimento delle informazioni per la sicurezza, l'Agenzia informazioni e sicurezza esterna (AISE) e l'Agenzia informazioni e sicurezza interna (AISI) ai fini dell'esercizio delle funzioni istituzionali previste dagli articoli 1, comma 3-bis, 4, 6 e 7 della legge n. 124 del 2007, nonché l'organo del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, accedono a tali elenchi per il tramite della piattaforma digitale di cui all'articolo 9, comma 1, del regolamento di cui al decreto del Presidente del Consiglio dei ministri n. 131 del 2020, costituita presso l'Agenzia per la cybersicurezza nazionale”;

a-quater) all'articolo 1, dopo il comma 2-bis è inserito il seguente:

2-ter. Gli elenchi dei soggetti di cui alla lettera a) del comma 2 del presente articolo sono trasmessi al Dipartimento delle informazioni per la sicurezza, che provvede anche a favore dell'AISE e dell'AISI ai fini dell'esercizio delle funzioni istituzionali previste dagli articoli 1, comma 3-bis, 4, 6 e 7 della legge 3 agosto 2007, n. 124”»;

alla lettera c), numero 1) capoverso 1, secondo periodo, le parole: «di predetti» sono sostituite dalle seguenti: «dei predetti»;

al comma 10, capoverso 3-bis, decimo periodo, dopo le parole: «sanzione amministrativa pecuniaria» sono inserite le seguenti: «del pagamento di una somma»;

al comma 11, le parole: «135 del decreto legislativo» sono sostituite dalle seguenti: «135, comma 1, del codice del processo amministrativo, di cui all'allegato 1 al decreto legislativo» e sono aggiunte, in fine, le seguenti parole: «e alla lettera o) le parole: “e dell'AISE” sono sostituite dalle seguenti: “, dell'AISE e dell'Agenzia per la cybersicurezza nazionale”»; .

al comma 13 sono aggiunte, in fine, le seguenti parole: «e sono aggiunte, in fine, le seguenti parole: “nonché le modalità del procedimento di qualificazione dei servizi cloud per la pubblica amministrazione”».

All'articolo 17:

al comma 5, lettera b), dopo le parole: «amministrazioni interessate,» sono inserite le seguenti: «nel rispetto delle specifiche norme riguardanti l'organizzazione e il funzionamento,»;

dopo il comma 5 è inserito il seguente:

«5-bis. Fino alla scadenza dei termini indicati nel decreto o nei decreti di cui al comma 5, lettera b), la gestione delle risorse finanziarie relative alle funzioni trasferite, compresa la gestione dei residui passivi e perenti, è esercitata dalle amministrazioni cedenti. A decorrere dalla medesima data sono trasferiti in capo all'Agenzia i rapporti giuridici attivi e passivi relativi alle funzioni trasferite»;

al comma 6, le parole: «di AgID» sono sostituite dalle seguenti: «dell'AgID. Nelle more dell'adozione dei decreti di cui al comma 5, il regolamento di cui all'articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, è adottato dall'AgID, d'intesa con la competente struttura della Presidenza del Consiglio dei ministri»;

al comma 7:

il primo periodo è sostituito dai seguenti: «Al fine di assicurare la prima operatività dell'Agenzia, il direttore generale dell'Agenzia, fino all'adozione dei regolamenti di cui all'articolo 11, commi 3 e 4, identifica, assume e liquida gli impegni di spesa che verranno pagati a cura del DIS, nell'ambito delle risorse destinate all'Agenzia. A tale fine è istituito un apposito capitolo nel bilancio del DIS»;

al secondo periodo, le parole: «commi 3 e 5, delle spese effettuate ai sensi del presente comma, il Presidente del Consiglio dei ministri ne dà informazione al COPASIR» sono sostituite dalle seguenti: «commi 3 e 4, il Presidente del Consiglio dei ministri dà informazione al COPASIR delle spese effettuate ai sensi del presente comma»;

il comma 8 è sostituito dai seguenti:

«8. Al fine di assicurare la prima operatività dell'Agenzia, dalla data della nomina del direttore generale dell'Agenzia e nel limite del 30 per cento della dotazione organica complessiva iniziale di cui all'articolo 12, comma 4:

a) il DIS mette a disposizione il personale impiegato nell'ambito delle attività relative allo svolgimento delle funzioni oggetto di trasferimento, con modalità da definire mediante intese con lo stesso Dipartimento;

b) l'Agenzia si avvale, altresì, di unità di personale appartenenti al Ministero dello sviluppo economico, all'Agenzia per l'Italia digitale, ad altre pubbliche amministrazioni e ad autorità indipendenti, per un periodo massimo di sei mesi, prorogabile una sola volta per un massimo di ulteriori sei mesi, messo a disposizione dell'Agenzia stessa su specifica richiesta e secondo modalità individuate mediante intese con le rispettive amministrazioni di appartenenza.

8-bis. Gli oneri derivanti dall'attuazione del comma 8 restano a carico dell'amministrazione di appartenenza»;

al comma 9:

al primo periodo, dopo le parole: «di cui al comma 8» sono inserite le seguenti: «del presente articolo»;

dopo il primo periodo è inserito il seguente: «Il personale di cui al comma 8, lettera a), è inquadrato, a decorrere dal 1° gennaio 2022, nel ruolo di cui all'articolo 12, comma 2, lettera a), secondo le modalità definite dal regolamento di cui all'articolo 12, comma 1»;

al secondo periodo, dopo le parole: «al comma 8,» sono inserite le seguenti: «lettera b),»;

dopo il comma 10 sono aggiunti i seguenti:

«10-bis. In sede di prima applicazione del presente decreto:

a) la prima relazione di cui all'articolo 14, comma 1, è trasmessa entro il 30 novembre 2022;

b) entro il 31 ottobre 2022, il Presidente del Consiglio dei ministri trasmette alle Camere una relazione che dà conto dello stato di attuazione, al 30 settembre 2022, delle disposizioni di cui al presente decreto, anche al fine di formulare eventuali proposte in materia.

10-ter. I pareri delle Commissioni parlamentari competenti per materia e per i profili finanziari e del COPASIR previsti dal presente decreto sono resi entro il termine di trenta giorni dalla trasmissione dei relativi schemi di decreto, decorso il quale il Presidente del Consiglio dei ministri può comunque procedere all'adozione dei relativi provvedimenti».

All'articolo 18:

al comma 2, la parola: «corrispondete» è sostituita dalla seguente: «corrispondente» e le parole: «dell'autorizzazione di spesa» sono sostituite dalle seguenti: «del Fondo»;

al comma 3, le parole: «dall'entrata in servizio» sono sostituite dalle seguenti: «dall'inizio del funzionamento» e le parole: «in spesa» sono sostituite dalle seguenti: «alla spesa»;

al comma 4 sono aggiunte, in fine, le seguenti parole: «del presente articolo»;

al comma 5, le parole: «per l'attuazione del presente decreto» sono soppresse.

torna su

Decreto-legge 14 giugno 2021, n. 82, pubblicato nella Gazzetta Ufficiale n. 140 del 14 giugno 2021.

Testo del decreto-legge

Testo del decreto-legge comprendente le modificazioni apportate dalle Commissioni

Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale.

IL PRESIDENTE DELLA REPUBBLICA

Visti gli articoli 77 e 87, quinto comma, della Costituzione;

Vista la legge 23 agosto 1988, n. 400, recante disciplina dell'attività di Governo e ordinamento della Presidenza del Consiglio dei ministri;

Considerato che le vulnerabilità delle reti, dei sistemi informativi, dei servizi informatici e delle comunicazioni elettroniche di soggetti pubblici e privati possono essere sfruttate al fine di provocare il malfunzionamento o l'interruzione, totali o parziali, di funzioni essenziali dello Stato e di servizi essenziali per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato, nonché di servizi di pubblica utilità, con potenziali gravi ripercussioni sui cittadini, sulle imprese e sulle pubbliche amministrazioni, sino a poter determinare un pregiudizio per la sicurezza nazionale;

Considerata la straordinaria necessità e urgenza, nell'attuale quadro normativo e a fronte della realizzazione in corso di importanti e strategiche infrastrutture tecnologiche, anche in relazione a recenti attacchi alle reti di Paesi europei e di importanti partner internazionali idonei a determinare effetti anche di natura sistemica e che sottolineano ulteriormente come il dominio cibernetico costituisca terreno di confronto con riflessi sulla sicurezza nazionale, di razionalizzare le competenze in materia, di assicurare un più efficace coordinamento, di attuare misure tese a rendere il Paese più sicuro e resiliente anche nel dominio digitale, di disporre dei più idonei strumenti di immediato intervento che consentano di affrontare con la massima efficacia e tempestività eventuali situazioni di emergenza che coinvolgano profili di cybersicurezza;

Considerata altresì la necessità e urgenza di dare attuazione al Piano nazionale di ripresa e resilienza, deliberato dal Consiglio dei ministri nella riunione del 29 aprile 2021, che prevede apposite progettualità nell'ambito della cybersicurezza, in particolare per l'istituzione di un'Agenzia di cybersicurezza nazionale, quale fattore necessario per tutelare la sicurezza dello sviluppo e della crescita dell'economia e dell'industria nazionale, ponendo la cybersicurezza a fondamento della trasformazione digitale;

Ritenuto pertanto di dover intervenire con urgenza al fine di ridefinire l'architettura italiana di cybersicurezza, prevedendo anche l'istituzione di un'apposita Agenzia per la cybersicurezza nazionale, per adeguarla all'evoluzione tecnologica, al contesto di minaccia proveniente dallo spazio cibernetico, nonché al quadro normativo europeo, e di dover raccordare, altresì, pure a tutela dell'unità giuridica dell'ordinamento, le disposizioni in materia di sicurezza delle reti, dei sistemi informativi, dei servizi informatici e delle comunicazioni elettroniche;

Vista la deliberazione del Consiglio dei ministri, adottata nella riunione del 10 giugno 2021;

Sulla proposta del Presidente del Consiglio dei ministri;

emana

il seguente decreto-legge:

Articolo 1.
(Definizioni)

Articolo 1.
(Definizioni)

1. Ai fini del presente decreto si intende per:

1. Identico:

a) cybersicurezza, l'insieme delle attività necessarie per proteggere dalle minacce informatiche reti, sistemi informativi, servizi informatici e comunicazioni elettroniche, assicurandone la disponibilità, la confidenzialità e l'integrità, e garantendone altresì la resilienza;

a) cybersicurezza, l'insieme delle attività, ferme restando le attribuzioni di cui alla legge 3 agosto 2007, n. 124, e gli obblighi derivanti da trattati internazionali, necessarie per proteggere dalle minacce informatiche reti, sistemi informativi, servizi informatici e comunicazioni elettroniche, assicurandone la disponibilità, la confidenzialità e l'integrità e garantendone la resilienza, anche ai fini della tutela della sicurezza nazionale e dell'interesse nazionale nello spazio cibernetico;

b) resilienza nazionale nello spazio cibernetico, le attività volte a prevenire un pregiudizio per la sicurezza nazionale come definito dall'articolo 1, comma 1, lettera f), del regolamento di cui al decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131;

b) decreto-legge perimetro, il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica;

c) identica;

c) decreto legislativo NIS, il decreto legislativo 18 maggio 2018, n. 65, di attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione;

d) identica;

d) CISR, il Comitato interministeriale per la sicurezza della Repubblica di cui all'articolo 5 della legge 3 agosto 2007, n. 124;

d) soppressa;

e) DIS, il Dipartimento delle informazioni per la sicurezza di cui all'articolo 4 della legge n. 124 del 2007;

e) soppressa;

f) AISE, l'Agenzia informazioni e sicurezza esterna di cui all'articolo 6 della legge n. 124 del 2007;

f) soppressa;

g) AISI, l'Agenzia informazioni e sicurezza interna di cui all'articolo 7 della legge n. 124 del 2007;

g) soppressa;

h) COPASIR, il Comitato parlamentare per la sicurezza della Repubblica di cui all'articolo 30 della legge n. 124 del 2007;

h) soppressa;

i) strategia nazionale di cybersicurezza, la strategia di cui all'articolo 6 del decreto legislativo NIS.

e) identica.

Articolo 2.
(Competenze del Presidente del Consiglio dei ministri)

Articolo 2.
(Competenze del Presidente del Consiglio dei ministri)

1. Al Presidente del Consiglio dei ministri sono attribuite in via esclusiva:

1. Identico:

a) l'alta direzione e la responsabilità generale delle politiche di cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico;

a) l'alta direzione e la responsabilità generale delle politiche di cybersicurezza;

b) l'adozione della strategia nazionale di cybersicurezza, sentito il Comitato interministeriale per la cybersicurezza (CIC) di cui all'articolo 4;

b) identica;

c) la nomina e la revoca del direttore generale e del vice direttore generale dell'Agenzia per la cybersicurezza nazionale di cui all'articolo 5.

c) la nomina e la revoca del direttore generale e del vice direttore generale dell'Agenzia per la cybersicurezza nazionale di cui all'articolo 5, previa deliberazione del Consiglio dei ministri.

2. Ai fini dell'esercizio delle competenze di cui al comma 1, lett. a), e dell'attuazione della strategia nazionale di cybersicurezza, il Presidente del Consiglio dei ministri, sentito il CIC, impartisce le direttive per la cybersicurezza ed emana ogni disposizione necessaria per l'organizzazione e il funzionamento dell'Agenzia per la cybersicurezza nazionale.

2. Ai fini dell'esercizio delle competenze di cui al comma 1, lettera a), e dell'attuazione della strategia nazionale di cybersicurezza, il Presidente del Consiglio dei ministri, sentito il CIC, impartisce le direttive per la cybersicurezza ed emana ogni disposizione necessaria per l'organizzazione e il funzionamento dell'Agenzia per la cybersicurezza nazionale.

3. Il Presidente del Consiglio dei ministri informa preventivamente il presidente del COPASIR circa le nomine di cui al comma 1, lettera c).

3. Il Presidente del Consiglio dei ministri informa preventivamente il Comitato parlamentare per la sicurezza della Repubblica (COPASIR), di cui all'articolo 30 della legge 3 agosto 2007, n. 124, e le Commissioni parlamentari competenti circa le nomine di cui al comma 1, lettera c) , del presente articolo.

Articolo 3.
(Autorità delegata)

Articolo 3.
(Autorità delegata)

1. Il Presidente del Consiglio dei ministri, ove lo ritenga opportuno, può delegare alla medesima Autorità di cui all'articolo 3 della legge n. 124 del 2007, ove istituita, le funzioni di cui al presente decreto che non sono ad esso attribuite in via esclusiva.

1. Il Presidente del Consiglio dei ministri, ove lo ritenga opportuno, può delegare all'Autorità di cui all'articolo 3 della legge 3 agosto 2007, n. 124, ove istituita, denominata di seguito: «Autorità delegata», le funzioni di cui al presente decreto che non sono ad esso attribuite in via esclusiva.

2. Il Presidente del Consiglio dei ministri è costantemente informato dall'Autorità delegata sulle modalità di esercizio delle funzioni delegate ai sensi del presente decreto e, fermo restando il potere di direttiva, può in qualsiasi momento avocare l'esercizio di tutte o di alcune di esse.

2. Identico.

3. L'Autorità delegata, in relazione alle funzioni delegate ai sensi del presente decreto, partecipa alle riunioni del Comitato interministeriale per la transizione digitale di cui all'articolo 8 del decreto-legge 1° marzo 2021, n. 22, convertito, con modificazioni, dalla legge 22 aprile 2021, n. 55.

3. Identico.

Articolo 4.
(Comitato interministeriale per la cybersicurezza)

Articolo 4.
(Comitato interministeriale per la cybersicurezza)

1. Presso la Presidenza del Consiglio dei ministri è istituito il Comitato interministeriale per la cybersicurezza (CIC), con funzioni di consulenza, proposta e vigilanza in materia di politiche di cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico.

1. Presso la Presidenza del Consiglio dei ministri è istituito il Comitato interministeriale per la cybersicurezza (CIC), con funzioni di consulenza, proposta e vigilanza in materia di politiche di cybersicurezza.

2. Il Comitato:

2. Identico.

a) propone al Presidente del Consiglio dei ministri gli indirizzi generali da perseguire nel quadro delle politiche di cybersicurezza nazionale;

b) esercita l'alta sorveglianza sull'attuazione della strategia nazionale di cybersicurezza;

c) promuove l'adozione delle iniziative necessarie per favorire l'efficace collaborazione, a livello nazionale e internazionale, tra i soggetti istituzionali e gli operatori privati interessati alla cybersicurezza, nonché per la condivisione delle informazioni e per l'adozione di migliori pratiche e di misure rivolte all'obiettivo della cybersicurezza e allo sviluppo industriale, tecnologico e scientifico in materia di cybersicurezza;

d) esprime il parere sul bilancio preventivo e sul bilancio consuntivo dell'Agenzia per la cybersicurezza nazionale.

3. Il Comitato è presieduto dal Presidente del Consiglio dei ministri ed è composto dall'Autorità delegata, ove istituita, dal Ministro degli affari esteri e della cooperazione internazionale, dal Ministro dell'interno, dal Ministro della giustizia, dal Ministro della difesa, dal Ministro dell'economia e delle finanze, dal Ministro dello sviluppo economico, dal Ministro della transizione ecologica, dal Ministro dell'università e della ricerca, dal Ministro delegato per l'innovazione tecnologica e la transizione digitale e dal Ministro delle infrastrutture e della mobilità sostenibili.

3. Identico.

4. Il direttore generale dell'Agenzia svolge le funzioni di segretario del Comitato.

4. Il direttore generale dell'Agenzia per la cybersicurezza nazionale svolge le funzioni di segretario del Comitato.

5. Il Presidente del Consiglio dei ministri può chiamare a partecipare alle sedute del Comitato, anche a seguito di loro richiesta, senza diritto di voto, altri componenti del Consiglio dei ministri, il direttore generale del DIS, il direttore dell'AISE, il direttore dell'AISI, nonché altre autorità civili e militari di cui, di volta in volta, ritenga necessaria la presenza in relazione alle questioni da trattare.

5. Il Presidente del Consiglio dei ministri può chiamare a partecipare alle sedute del Comitato, anche a seguito di loro richiesta, senza diritto di voto, altri componenti del Consiglio dei ministri, nonché altre autorità civili e militari di cui, di volta in volta, ritenga necessaria la presenza in relazione alle questioni da trattare.

6. Il Comitato svolge altresì le funzioni già attribuite al CISR dal decreto-legge perimetro e dai relativi provvedimenti attuativi, fatta eccezione per quelle previste dall'articolo 5 del medesimo decreto-legge perimetro.

6. Il Comitato svolge altresì le funzioni già attribuite al Comitato interministeriale per la sicurezza della Repubblica (CISR), di cui all'articolo 5 della legge 3 agosto 2007, n. 124, dal decreto-legge perimetro e dai relativi provvedimenti attuativi, fatta eccezione per quelle previste dall'articolo 5 del medesimo decreto-legge perimetro.

Articolo 5.
(Agenzia per la cybersicurezza nazionale)

Articolo 5.
(Agenzia per la cybersicurezza nazionale)

1. È istituita, a tutela degli interessi nazionali nel campo della cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico, l'Agenzia per la cybersicurezza nazionale, denominata ai fini del presente decreto «Agenzia», con sede in Roma.

1. È istituita, a tutela degli interessi nazionali nel campo della cybersicurezza, l'Agenzia per la cybersicurezza nazionale, denominata ai fini del presente decreto «Agenzia», con sede in Roma.

2. L'Agenzia ha personalità giuridica di diritto pubblico ed è dotata di autonomia regolamentare, amministrativa, patrimoniale, organizzativa, contabile e finanziaria, nei limiti di quanto previsto dal presente decreto. Il Presidente del Consiglio dei ministri e l'Autorità delegata, ove istituita, si avvalgono dell'Agenzia per l'esercizio delle competenze di cui al presente decreto.

2. Identico.

3. Il direttore generale dell'Agenzia è nominato tra soggetti appartenenti a una delle categorie di cui all'articolo 18, comma 2, della legge n. 400 del 1988, in possesso di una documentata esperienza di elevato livello nella gestione di processi di innovazione. Gli incarichi del direttore generale e del vice direttore generale hanno la durata massima di quattro anni e sono rinnovabili, con successivi provvedimenti, per una durata complessiva massima di ulteriori quattro anni. Il Direttore generale ed il vicedirettore generale, ove provenienti da pubbliche amministrazioni di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, sono collocati fuori ruolo o in posizione di comando o altra analoga posizione, secondo gli ordinamenti di appartenenza. Per quanto previsto dal presente decreto, il direttore generale dell'Agenzia è il diretto referente del Presidente del Consiglio dei ministri e dell'Autorità delegata, ove istituita, ed è gerarchicamente e funzionalmente sovraordinato al personale dell'Agenzia. Il direttore generale ha la rappresentanza legale dell'Agenzia.

3. Il direttore generale dell'Agenzia è nominato tra soggetti appartenenti a una delle categorie di cui all'articolo 18, comma 2, della legge 23 agosto 1988, n. 400, in possesso di una documentata esperienza di elevato livello nella gestione di processi di innovazione. Gli incarichi del direttore generale e del vice direttore generale hanno la durata massima di quattro anni e sono rinnovabili, con successivi provvedimenti, per una durata complessiva massima di ulteriori quattro anni. Il direttore generale ed il vice direttore generale, ove provenienti da pubbliche amministrazioni di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, sono collocati fuori ruolo o in posizione di comando o altra analoga posizione, secondo gli ordinamenti di appartenenza. Per quanto previsto dal presente decreto, il direttore generale dell'Agenzia è il diretto referente del Presidente del Consiglio dei ministri e dell'Autorità delegata, ove istituita, ed è gerarchicamente e funzionalmente sovraordinato al personale dell'Agenzia. Il direttore generale ha la rappresentanza legale dell'Agenzia.

4. L'attività dell'Agenzia è regolata dal presente decreto e dalle disposizioni la cui adozione è prevista dallo stesso.

4. Identico.

5. L'Agenzia può richiedere, anche sulla base di apposite convenzioni e nel rispetto degli ambiti di precipua competenza, la collaborazione di altri organi dello Stato, di altre amministrazioni, delle forze di polizia o di enti pubblici per lo svolgimento dei suoi compiti istituzionali.

5. L'Agenzia può richiedere, anche sulla base di apposite convenzioni e nel rispetto degli ambiti di precipua competenza, la collaborazione di altri organi dello Stato, di altre amministrazioni, delle Forze armate, delle forze di polizia o di enti pubblici per lo svolgimento dei suoi compiti istituzionali.

6. Il COPASIR può chiedere l'audizione del direttore generale dell'Agenzia su questioni di propria competenza.

6. Il COPASIR, ai sensi di quanto previsto dall'articolo 31, comma 3, della legge 3 agosto 2007, n. 124, può chiedere l'audizione del direttore generale dell'Agenzia su questioni di propria competenza.

Articolo 6.
(Organizzazione dell'Agenzia per la cybersicurezza nazionale)

Articolo 6.
(Organizzazione dell'Agenzia per la cybersicurezza nazionale)

1. L'organizzazione e il funzionamento dell'Agenzia sono definiti da un apposito regolamento che ne prevede, in particolare, l'articolazione fino ad un numero massimo di otto uffici di livello dirigenziale generale, nonché fino ad un numero massimo di trenta articolazioni di livello dirigenziale non generale nell'ambito delle risorse disponibili.

1. L'organizzazione e il funzionamento dell'Agenzia sono definiti da un apposito regolamento che ne prevede, in particolare, l'articolazione fino ad un numero massimo di otto uffici di livello dirigenziale generale, nonché fino ad un numero massimo di trenta articolazioni di livello dirigenziale non generale nell'ambito delle risorse finanziarie destinate all'Agenzia ai sensi dell'articolo 18, comma 1.

2. Sono organi dell'Agenzia il direttore generale e il Collegio dei revisori dei conti. Con il regolamento di cui al comma 1 sono disciplinati altresì:

2. Identico.

a) le funzioni del direttore generale e del vice direttore generale dell'Agenzia;

b) la composizione e il funzionamento del Collegio dei revisori dei conti;

c) l'istituzione di eventuali sedi secondarie.

3. Il regolamento di cui al comma 1 è adottato, entro centoventi giorni dalla data di entrata in vigore della legge di conversione del presente decreto, con decreto del Presidente del Consiglio dei ministri, di concerto con il Ministro dell'economia e delle finanze, anche in deroga all'articolo 17 della legge 23 agosto 1988, n. 400, previo parere del COPASIR, sentito il CIC.

3. Il regolamento di cui al comma 1 è adottato, entro centoventi giorni dalla data di entrata in vigore della legge di conversione del presente decreto, con decreto del Presidente del Consiglio dei ministri, di concerto con il Ministro dell'economia e delle finanze, anche in deroga all'articolo 17 della legge 23 agosto 1988, n. 400, previo parere delle Commissioni parlamentari competenti per materia e per i profili finanziari e, per i profili di competenza, del COPASIR, sentito il CIC.

Articolo 7.
(Funzioni dell'Agenzia per la cybersicurezza nazionale)

Articolo 7.
(Funzioni dell'Agenzia per la cybersicurezza nazionale)

1. L'Agenzia:

1. Identico:

a) è Autorità nazionale per la cybersicurezza e, in relazione a tale ruolo, assicura, nel rispetto delle competenze attribuite dalla normativa vigente ad altre amministrazioni, ferme restando le attribuzioni del Ministro dell'interno in qualità di autorità nazionale di pubblica sicurezza, ai sensi della legge 1° aprile 1981, n. 121, il coordinamento tra i soggetti pubblici coinvolti in materia di cybersicurezza a livello nazionale e promuove la realizzazione di azioni comuni dirette ad assicurare la sicurezza e la resilienza cibernetiche per lo sviluppo della digitalizzazione del Paese, del sistema produttivo e delle pubbliche amministrazioni, nonché per il conseguimento dell'autonomia, nazionale ed europea, riguardo a prodotti e processi informatici di rilevanza strategica a tutela degli interessi nazionali nel settore. Per le reti, i sistemi informativi e i servizi informatici attinenti alla gestione delle informazioni classificate restano fermi sia quanto previsto dal regolamento adottato ai sensi dell'articolo 4, comma 3, lettera l), della legge n. 124 del 2007, sia le competenze dell'Ufficio centrale per la segretezza di cui all'articolo 9 della medesima legge n. 124 del 2007;

a) identica;

b) predispone la strategia nazionale di cybersicurezza;

b) identica;

c) svolge ogni necessaria attività di supporto al funzionamento del Nucleo per la cybersicurezza, di cui all'articolo 8;

c) identica;

d) è Autorità nazionale competente e punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi, per le finalità di cui al decreto legislativo NIS, a tutela dell'unità giuridica dell'ordinamento, ed è competente all'accertamento delle violazioni e all'irrogazione delle sanzioni amministrative previste dal medesimo decreto;

d) identica;

e) è Autorità nazionale di certificazione della cybersicurezza ai sensi dell'articolo 58 del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, e assume tutte le funzioni in materia di certificazione di sicurezza cibernetica già attribuite al Ministero dello sviluppo economico dall'ordinamento vigente, comprese quelle relative all'accertamento delle violazioni e all'irrogazione delle sanzioni; nello svolgimento dei compiti di cui alla presente lettera:

e) identico:

1) accredita, ai sensi dell'articolo 60, comma 1, del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, le strutture specializzate del Ministero della difesa e del Ministero dell'interno quali organismi di valutazione della conformità per i sistemi di rispettiva competenza;

1) accredita, ai sensi dell'articolo 60, paragrafo 1, del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, le strutture specializzate del Ministero della difesa e del Ministero dell'interno quali organismi di valutazione della conformità per i sistemi di rispettiva competenza;

2) delega, ai sensi dell'articolo 56, comma 6, lettera b), del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, il Ministero della difesa e il Ministero dell'interno, attraverso le rispettive strutture accreditate di cui al punto 1), al rilascio del certificato europeo di sicurezza cibernetica;

2) delega, ai sensi dell'articolo 56, paragrafo 6, lettera b), del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, il Ministero della difesa e il Ministero dell'interno, attraverso le rispettive strutture accreditate di cui al numero 1) della presente lettera, al rilascio del certificato europeo di sicurezza cibernetica;

f) assume tutte le funzioni in materia di cybersicurezza già attribuite dalle disposizioni vigenti al Ministero dello sviluppo economico, ivi comprese quelle relative:

f) identica;

1) al perimetro di sicurezza nazionale cibernetica, di cui al decreto-legge perimetro e ai relativi provvedimenti attuativi, ivi incluse le funzioni attribuite al Centro di valutazione e certificazione nazionale ai sensi del decreto-legge perimetro, le attività di ispezione e verifica di cui all'articolo 1, comma 6, lettera c), del decreto-legge perimetro e quelle relative all'accertamento delle violazioni e all'irrogazione delle sanzioni amministrative previste dal medesimo decreto, fatte salve quelle di cui all'articolo 3 del regolamento adottato con decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131;

2) alla sicurezza e all'integrità delle comunicazioni elettroniche, di cui agli articoli 16-bis e 16-ter del decreto legislativo 1° agosto 2003, n. 259, e relative disposizioni attuative;

3) alla sicurezza delle reti e dei sistemi informativi, di cui al decreto legislativo NIS;

g) partecipa, per gli ambiti di competenza, al gruppo di coordinamento istituito ai sensi dei regolamenti di cui all'articolo 1, comma 8, del decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56;

g) identica;

h) assume tutte le funzioni attribuite alla Presidenza del Consiglio dei ministri in materia di perimetro di sicurezza nazionale cibernetica, di cui al decreto-legge perimetro e ai relativi provvedimenti attuativi, ivi incluse le attività di ispezione e verifica di cui all'articolo 1, comma 6, lettera c), del decreto-legge perimetro e quelle relative all'accertamento delle violazioni e all'irrogazione delle sanzioni amministrative previste dal medesimo decreto, fatte salve quelle di cui all'articolo 3 del regolamento adottato con decreto del Presidente del Consiglio dei ministri n. 131 del 2020;

h) identica;

i) assume tutte le funzioni già attribuite al DIS dal decreto-legge perimetro e dai relativi provvedimenti attuativi e supporta il Presidente del Consiglio dei ministri ai fini dell'articolo 1, comma 19-bis, del decreto-legge perimetro;

i) assume tutte le funzioni già attribuite al Dipartimento delle informazioni per la sicurezza (DIS), di cui all'articolo 4 della legge 3 agosto 2007, n. 124, dal decreto-legge perimetro e dai relativi provvedimenti attuativi e supporta il Presidente del Consiglio dei ministri ai fini dell'articolo 1, comma 19-bis, del decreto-legge perimetro;

l) provvede, sulla base delle attività di competenza del Nucleo per la cybersicurezza di cui all'articolo 8, alle attività necessarie per l'attuazione e il controllo dell'esecuzione dei provvedimenti assunti dal Presidente del Consiglio dei ministri ai sensi dell'articolo 5 del decreto-legge perimetro;

l) identica;

m) assume tutte le funzioni in materia di cybersicurezza già attribuite all'Agenzia per l'Italia digitale dalle disposizioni vigenti e, in particolare, quelle di cui all'articolo 51 del decreto legislativo 7 marzo 2005, n. 82, nonché in materia di adozione di linee guida contenenti regole tecniche di cybersicurezza ai sensi dell'articolo 71 del medesimo decreto legislativo. L'Agenzia assume, altresì, i compiti di cui all'articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, già attribuiti all'Agenzia per l'Italia digitale;

m) assume tutte le funzioni in materia di cybersicurezza già attribuite all'Agenzia per l'Italia digitale dalle disposizioni vigenti e, in particolare, quelle di cui all'articolo 51 del decreto legislativo 7 marzo 2005, n. 82, nonché quelle in materia di adozione di linee guida contenenti regole tecniche di cybersicurezza ai sensi dell'articolo 71 del medesimo decreto legislativo. L'Agenzia assume, altresì, i compiti di cui all'articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, già attribuiti all'Agenzia per l'Italia digitale;

m-bis) assume le iniziative idonee a valorizzare la crittografia come strumento di cybersicurezza, anche attraverso un'apposita sezione dedicata nell'ambito della strategia di cui alla lettera b). In particolare, l'Agenzia attiva ogni iniziativa utile volta al rafforzamento dell'autonomia industriale e tecnologica dell'Italia, valorizzando lo sviluppo di algoritmi proprietari nonché la ricerca e il conseguimento di nuove capacità crittografiche nazionali;

m-ter) provvede alla qualificazione dei servizi cloud per la pubblica amministrazione nel rispetto della disciplina dell'Unione europea e del regolamento di cui all'articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221;

n) sviluppa capacità nazionali di prevenzione, monitoraggio, rilevamento, analisi e risposta, per prevenire e gestire gli incidenti di sicurezza informatica e gli attacchi informatici, anche attraverso il CSIRT Italia di cui all'articolo 8 del decreto legislativo NIS;

n) sviluppa capacità nazionali di prevenzione, monitoraggio, rilevamento, analisi e risposta, per prevenire e gestire gli incidenti di sicurezza informatica e gli attacchi informatici, anche attraverso il CSIRT Italia di cui all'articolo 8 del decreto legislativo NIS. A tale fine, promuove iniziative di partenariato pubblico-privato, per rendere effettive tali capacità;

o) partecipa alle esercitazioni nazionali e internazionali che riguardano la simulazione di eventi di natura cibernetica al fine di innalzare la resilienza del Paese;

o) identica;

p) cura e promuove la definizione ed il mantenimento di un quadro giuridico nazionale aggiornato e coerente nel dominio della cybersicurezza, tenendo anche conto degli orientamenti e degli sviluppi in ambito internazionale. A tal fine, l'Agenzia esprime pareri non vincolanti sulle iniziative legislative o regolamentari concernenti la cybersicurezza;

p) identica;

q) coordina, in raccordo con il Ministero degli affari esteri e della cooperazione internazionale, la cooperazione internazionale nella materia della cybersicurezza. Nell'ambito dell'Unione europea e a livello internazionale, l'Agenzia cura i rapporti con i competenti organismi, istituzioni, ed enti, nonché segue nelle competenti sedi istituzionali le tematiche di cybersicurezza, fatta eccezione per gli ambiti in cui la legge attribuisce specifiche competenze ad altre amministrazioni. In tali casi, è comunque assicurato il raccordo con l'Agenzia al fine di garantire posizioni nazionali unitarie e coerenti con le politiche di cybersicurezza definite dal Presidente del Consiglio dei ministri;

q) coordina, in raccordo con il Ministero degli affari esteri e della cooperazione internazionale, la cooperazione internazionale nella materia della cybersicurezza. Nell'ambito dell'Unione europea e a livello internazionale, l'Agenzia cura i rapporti con i competenti organismi, istituzioni ed enti, nonché segue nelle competenti sedi istituzionali le tematiche di cybersicurezza, fatta eccezione per gli ambiti in cui la legge attribuisce specifiche competenze ad altre amministrazioni. In tali casi, è comunque assicurato il raccordo con l'Agenzia al fine di garantire posizioni nazionali unitarie e coerenti con le politiche di cybersicurezza definite dal Presidente del Consiglio dei ministri;

r) perseguendo obiettivi di eccellenza, supporta negli ambiti di competenza, mediante il coinvolgimento del sistema dell'università e della ricerca nonché del sistema produttivo nazionali, lo sviluppo di competenze e capacità industriali, tecnologiche e scientifiche. A tali fini, l'Agenzia può promuovere, sviluppare e finanziare specifici progetti ed iniziative, volti anche a favorire il trasferimento tecnologico dei risultati della ricerca nel settore. L'Agenzia assicura il necessario raccordo con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza;

r) perseguendo obiettivi di eccellenza, supporta negli ambiti di competenza, mediante il coinvolgimento del sistema dell'università e della ricerca nonché del sistema produttivo nazionali, lo sviluppo di competenze e capacità industriali, tecnologiche e scientifiche. A tali fini, l'Agenzia può promuovere, sviluppare e finanziare specifici progetti ed iniziative, volti anche a favorire il trasferimento tecnologico dei risultati della ricerca nel settore. L'Agenzia assicura il necessario raccordo con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza e, in particolare, con il Ministero della difesa per gli aspetti inerenti alla ricerca militare. L'Agenzia può altresì promuovere la costituzione di aree dedicate allo sviluppo dell'innovazione finalizzate a favorire la formazione e il reclutamento di personale nei settori avanzati dello sviluppo della cybersicurezza, nonché promuovere la realizzazione di studi di fattibilità e di analisi valutative finalizzati a tale scopo;

s) stipula accordi bilaterali e multilaterali, anche mediante il coinvolgimento del settore privato e industriale, con istituzioni, enti e organismi di altri Paesi per la partecipazione dell'Italia a programmi di cybersicurezza, assicurando il necessario raccordo con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza, ferme restando le competenze del Ministero degli esteri e della cooperazione internazionale;

s) stipula accordi bilaterali e multilaterali, anche mediante il coinvolgimento del settore privato e industriale, con istituzioni, enti e organismi di altri Paesi per la partecipazione dell'Italia a programmi di cybersicurezza, assicurando il necessario raccordo con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza, ferme restando le competenze del Ministero degli affari esteri e della cooperazione internazionale;

t) promuove, sostiene e coordina la partecipazione italiana a progetti e iniziative dell'Unione europea e internazionali, anche mediante il coinvolgimento di soggetti pubblici e privati nazionali, nel campo della cybersicurezza e dei correlati servizi applicativi, ferme restando le competenze del Ministero degli esteri e della cooperazione internazionale. L'Agenzia assicura il necessario raccordo con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza;

t) promuove, sostiene e coordina la partecipazione italiana a progetti e iniziative dell'Unione europea e internazionali, anche mediante il coinvolgimento di soggetti pubblici e privati nazionali, nel campo della cybersicurezza e dei correlati servizi applicativi, ferme restando le competenze del Ministero degli affari esteri e della cooperazione internazionale. L'Agenzia assicura il necessario raccordo con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza e, in particolare, con il Ministero della difesa per gli aspetti inerenti a progetti e iniziative in collaborazione con la NATO e con l'Agenzia europea per la difesa;

u) svolge attività di comunicazione e promozione della consapevolezza in materia di cybersicurezza, al fine di contribuire allo sviluppo di una cultura nazionale in materia;

u) identica;

v) promuove la formazione, la crescita tecnico-professionale e la qualificazione delle risorse umane nel campo della cybersicurezza, anche attraverso l'assegnazione di borse di studio, di dottorato e assegni di ricerca, sulla base di apposite convenzioni con soggetti pubblici e privati;

v) promuove la formazione, la crescita tecnico-professionale e la qualificazione delle risorse umane nel campo della cybersicurezza, in particolare favorendo l'attivazione di percorsi formativi universitari in materia, anche attraverso l'assegnazione di borse di studio, di dottorato e assegni di ricerca, sulla base di apposite convenzioni con soggetti pubblici e privati; nello svolgimento di tali compiti, l'Agenzia può avvalersi anche delle strutture formative e delle capacità della Presidenza del Consiglio dei ministri, del Ministero della difesa e del Ministero dell'interno, secondo termini e modalità da definire con apposito decreto del Presidente del Consiglio dei ministri, di concerto con i Ministri interessati;

v-bis) può predisporre attività di formazione specifica riservate ai giovani che aderiscono al servizio civile regolate sulla base di apposite convenzioni. In ogni caso, il servizio prestato è, a tutti gli effetti, riconosciuto come servizio civile;

z) per le finalità di cui al presente articolo, può costituire e partecipare a partenariati pubblico-privato sul territorio nazionale, nonché, previa autorizzazione del Presidente del Consiglio dei ministri, a consorzi, fondazioni o società con soggetti pubblici e privati, italiani e stranieri.

z) identica.

aa) è designata quale Centro nazionale di coordinamento ai sensi dell'articolo 6 del regolamento (UE) 2021/887 del Parlamento europeo e del Consiglio del 20 maggio 2021, che istituisce il Centro europeo di competenza per la cybersicurezza nell'ambito industriale, tecnologico e della ricerca e la rete dei centri nazionali di coordinamento.

aa) identica.

1-bis. Anche ai fini dell'esercizio delle funzioni di cui al comma 1, lettere r), s), t), u), v), z) e aa), presso l'Agenzia è istituito, con funzioni di consulenza e di proposta, un Comitato tecnico-scientifico, presieduto dal direttore generale della medesima Agenzia, o da un dirigente da lui delegato, e composto da personale della stessa Agenzia e da qualificati rappresentanti dell'industria, degli enti di ricerca, dell'accademia e delle associazioni del settore della sicurezza, designati con decreto del Presidente del Consiglio dei ministri. La composizione e l'organizzazione del Comitato tecnico-scientifico sono disciplinate secondo le modalità e i criteri definiti dal regolamento di cui all'articolo 6, comma 1. Per la partecipazione al Comitato tecnico-scientifico non sono previsti gettoni di presenza, compensi o rimborsi di spese.

2. Nell'ambito dell'Agenzia sono nominati, con decreto del Presidente del Consiglio dei ministri, il rappresentante nazionale, e il suo sostituto, nel Consiglio di direzione del Centro europeo di competenza per la cybersicurezza nell'ambito industriale, tecnologico e della ricerca, ai sensi dell'articolo 12 del regolamento (UE) 2021/887.

2. Identico.

3. Il CSIRT italiano di cui all'articolo 8 del decreto legislativo NIS è trasferito presso l'Agenzia e assume la denominazione di: «CSIRT Italia».

3. Identico.

4. Il Centro di valutazione e certificazione nazionale, istituito presso il Ministero dello sviluppo economico, è trasferito presso l'Agenzia.

4. Identico.

5. Nel rispetto delle competenze del Garante per la protezione dei dati personali, l'Agenzia, per le finalità di cui al presente decreto, consulta il Garante e collabora con esso, anche in relazione agli incidenti che comportano violazioni di dati personali. L'Agenzia e il Garante possono stipulare appositi protocolli d'intenti che definiscono altresì le modalità della loro collaborazione nell'ambito delle risorse disponibili a legislazione vigente e senza nuovi o maggiori oneri per la finanza pubblica.

5. Identico.

Articolo 8.
(Nucleo per la cybersicurezza)

Articolo 8.
(Nucleo per la cybersicurezza)

1. Presso l'Agenzia è costituito, in via permanente, il Nucleo per la cybersicurezza, a supporto del Presidente del Consiglio dei ministri nella materia della cybersicurezza, per gli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi e per l'attivazione delle procedure di allertamento.

1. Identico.

2. Il Nucleo per la cybersicurezza è presieduto dal direttore generale dell'Agenzia o dal vice direttore generale da lui designato ed è composto dal Consigliere militare del Presidente del Consiglio dei ministri, da un rappresentante, rispettivamente, del DIS, dell'AISE, dell'AISI, di ciascuno dei Ministeri rappresentati nel Comitato di cui all'articolo 5 della legge n. 124 del 2007, del Ministero dell'università e della ricerca, del Ministro delegato per l'innovazione tecnologica e la transizione digitale e del Dipartimento della protezione civile della Presidenza del Consiglio dei ministri. Per gli aspetti relativi alla trattazione di informazioni classificate il Nucleo è integrato da un rappresentante dell'Ufficio centrale per la segretezza di cui all'articolo 9 della legge n. 124 del 2007.

2. Il Nucleo per la cybersicurezza è presieduto dal direttore generale dell'Agenzia o, per sua delega, dal vice direttore generale ed è composto dal Consigliere militare del Presidente del Consiglio dei ministri, da un rappresentante, rispettivamente, del DIS, dell'Agenzia informazioni e sicurezza esterna (AISE), di cui all'articolo 6 della legge 3 agosto 2007, n. 124, dell'Agenzia informazioni e sicurezza interna (AISI), di cui all'articolo 7 della legge n. 124 del 2007, di ciascuno dei Ministeri rappresentati nel CIC e del Dipartimento della protezione civile della Presidenza del Consiglio dei ministri. Per gli aspetti relativi alla trattazione di informazioni classificate il Nucleo è integrato da un rappresentante dell'Ufficio centrale per la segretezza di cui all'articolo 9 della legge n. 124 del 2007.

3. I componenti possono farsi assistere alle riunioni da altri rappresentanti delle rispettive amministrazioni in relazione alle materie oggetto di trattazione. In base agli argomenti delle riunioni possono anche essere chiamati a partecipare rappresentanti di altre amministrazioni, di università o di enti e istituti di ricerca, nonché di operatori privati interessati alla materia della cybersicurezza.

3. I componenti del Nucleo possono farsi assistere alle riunioni da altri rappresentanti delle rispettive amministrazioni in relazione alle materie oggetto di trattazione. In base agli argomenti delle riunioni possono anche essere chiamati a partecipare rappresentanti di altre amministrazioni, di università o di enti e istituti di ricerca, nonché di operatori privati interessati alla materia della cybersicurezza.

4. Il Nucleo può essere convocato in composizione ristretta con la partecipazione dei rappresentanti delle sole amministrazioni e soggetti interessati, anche relativamente ai compiti di gestione delle crisi di cui all'articolo 10.

4. Identico.

4-bis. Ai componenti del Nucleo non spettano compensi, gettoni di presenza, rimborsi di spese o altri emolumenti comunque denominati.

Articolo 9.
(Compiti del Nucleo per la cybersicurezza)

Articolo 9.
(Compiti del Nucleo per la cybersicurezza)

1. Per le finalità di cui all'articolo 8, il Nucleo per la cybersicurezza svolge i seguenti compiti:

1. Identico:

a) può formulare proposte di iniziative in materia di cybersicurezza del Paese, anche nel quadro del contesto internazionale in materia;

a) identica;

b) promuove, sulla base delle direttive di cui all'articolo 2, comma 2, la programmazione e la pianificazione operativa della risposta a situazioni di crisi cibernetica da parte delle amministrazioni e degli operatori privati interessati e l'elaborazione delle necessarie procedure di coordinamento interministeriale, in raccordo con le pianificazioni di difesa civile e di protezione civile, anche nel quadro di quanto previsto dall'articolo 7-bis, comma 5, del decreto-legge n. 174 del 2015, convertito, con modificazioni, dalla legge n. 198 del 2015;

b) promuove, sulla base delle direttive di cui all'articolo 2, comma 2, la programmazione e la pianificazione operativa della risposta a situazioni di crisi cibernetica da parte delle amministrazioni e degli operatori privati interessati e l'elaborazione delle necessarie procedure di coordinamento interministeriale, in raccordo con le pianificazioni di difesa civile e di protezione civile, anche nel quadro di quanto previsto dall'articolo 7-bis, comma 5, del decreto-legge 30 ottobre 2015, n. 174, convertito, con modificazioni, dalla legge 11 dicembre 2015, n. 198;

c) promuove e coordina lo svolgimento di esercitazioni interministeriali, ovvero la partecipazione nazionale in esercitazioni internazionali che riguardano la simulazione di eventi di natura cibernetica al fine di innalzare la resilienza del Paese;

c) promuove e coordina lo svolgimento di esercitazioni interministeriali, ovvero la partecipazione nazionale a esercitazioni internazionali che riguardano la simulazione di eventi di natura cibernetica al fine di innalzare la resilienza del Paese;

d) valuta e promuove, in raccordo con le amministrazioni competenti per specifici profili della cybersicurezza, procedure di condivisione delle informazioni, anche con gli operatori privati interessati, ai fini della diffusione di allarmi relativi ad eventi cibernetici e per la gestione delle crisi;

d) identica;

e) riceve, per il tramite del CSIRT Italia, le comunicazioni circa i casi di violazioni o tentativi di violazione della sicurezza o di perdita dell'integrità significativi ai fini del corretto funzionamento delle reti e dei servizi, dal DIS, dall'AISE e dall'AISI, dalle Forze di polizia e, in particolare, dall'organo del Ministero dell'interno di cui all'articolo 7-bis del decreto-legge n. 144 del 2005, convertito, con modificazioni, dalla legge n. 155 del 2005, dalle strutture del Ministero della difesa, nonché dalle altre amministrazioni che compongono il Nucleo e dai gruppi di intervento per le emergenze informatiche (Computer Emergency Response Team – CERT) istituiti ai sensi della normativa vigente;

e) acquisisce, anche per il tramite del CSIRT Italia, le comunicazioni circa i casi di violazioni o tentativi di violazione della sicurezza o di perdita dell'integrità significativi ai fini del corretto funzionamento delle reti e dei servizi dagli organismi di informazione di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124, dalle Forze di polizia e, in particolare, dall'organo del Ministero dell'interno di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, dalle strutture del Ministero della difesa, nonché dalle altre amministrazioni che compongono il Nucleo e dai gruppi di intervento per le emergenze informatiche (Computer Emergency Response Team – CERT) istituiti ai sensi della normativa vigente;

f) riceve dal CSIRT Italia le notifiche di incidente ai sensi delle disposizioni vigenti;

f) identica;

g) valuta se gli eventi di cui alle lettere e) e f) assumono dimensioni, intensità o natura tali da non poter essere fronteggiati dalle singole amministrazioni competenti in via ordinaria, ma richiedono l'assunzione di decisioni coordinate in sede interministeriale, provvedendo in tal caso a informare tempestivamente il Presidente del Consiglio dei ministri, ovvero l'Autorità delegata, ove istituita, sulla situazione in atto e allo svolgimento delle attività di raccordo e coordinamento di cui all'articolo 10, nella composizione ivi prevista.

g) identica.

Articolo 10.
(Gestione delle crisi che coinvolgono aspetti di cybersicurezza)

Articolo 10.
(Gestione delle crisi che coinvolgono aspetti di cybersicurezza)

1. Nelle situazioni di crisi che coinvolgono aspetti di cybersicurezza, nei casi in cui il Presidente del Consiglio dei ministri convochi il CISR in materia di gestione delle predette situazioni di crisi, alle sedute del Comitato sono chiamati a partecipare il Ministro delegato per l'innovazione tecnologica e la transizione digitale e il direttore generale dell'Agenzia.

1. Identico.

2. Il Nucleo assicura il supporto al CISR e al Presidente del Consiglio dei ministri, nella materia della cybersicurezza, per gli aspetti relativi alla gestione di situazioni di crisi ai sensi del comma 1, nonché per l'esercizio dei poteri attribuiti al Presidente del Consiglio dei ministri, ivi comprese le attività istruttorie e le procedure di attivazione necessarie, ai sensi dell'articolo 5 del decreto-legge perimetro.

2. Soppresso.

3. In situazioni di crisi di natura cibernetica il Nucleo è integrato, in ragione della necessità, con un rappresentante, rispettivamente, del Ministero della salute, del Ministero delle infrastrutture e della mobilità sostenibili, del Ministero dell'interno-Dipartimento dei Vigili del fuoco, del soccorso pubblico e della difesa civile, in rappresentanza anche della Commissione interministeriale tecnica di difesa civile, autorizzati ad assumere decisioni che impegnano la propria amministrazione. Alle riunioni i componenti possono farsi accompagnare da altri funzionari della propria amministrazione. Alle stesse riunioni possono essere chiamati a partecipare rappresentanti di altre amministrazioni, anche locali, ed enti, anche essi autorizzati ad assumere decisioni, e di altri soggetti pubblici o privati eventualmente interessati. Per la partecipazione non sono previsti compensi, gettoni di presenza, rimborsi di spese o altri emolumenti comunque denominati.

3. In situazioni di crisi di natura cibernetica il Nucleo è integrato, in ragione della necessità, con un rappresentante, rispettivamente, del Ministero della salute e del Ministero dell'interno-Dipartimento dei Vigili del fuoco, del soccorso pubblico e della difesa civile, in rappresentanza anche della Commissione interministeriale tecnica di difesa civile, autorizzati ad assumere decisioni che impegnano la propria amministrazione. Alle riunioni i componenti possono farsi accompagnare da altri funzionari della propria amministrazione. Alle stesse riunioni possono essere chiamati a partecipare rappresentanti di altre amministrazioni, anche locali, ed enti, anche essi autorizzati ad assumere decisioni, e di altri soggetti pubblici o privati eventualmente interessati. Per la partecipazione non sono previsti compensi, gettoni di presenza, rimborsi di spese o altri emolumenti comunque denominati.

4. È compito del Nucleo, nella composizione per la gestione delle crisi, di cui al comma 3, assicurare che le attività di reazione e stabilizzazione di competenza delle diverse amministrazioni ed enti rispetto a situazioni di crisi di natura cibernetica, vengano espletate in maniera coordinata secondo quanto previsto dall'articolo 9, comma 1, lettera b).

4. È compito del Nucleo, nella composizione per la gestione delle crisi, di cui al comma 3, assicurare che le attività di reazione e stabilizzazione di competenza delle diverse amministrazioni ed enti rispetto a situazioni di crisi di natura cibernetica vengano espletate in maniera coordinata secondo quanto previsto dall'articolo 9, comma 1, lettera b).

5. Il Nucleo, per l'espletamento delle proprie funzioni e fermo restando quanto previsto ai sensi dell'articolo 7-bis, comma 5, del decreto-legge n. 174 del 2015, convertito, con modificazioni, dalla legge n. 198 del 2015:

5. Il Nucleo, per l'espletamento delle proprie funzioni e fermo restando quanto previsto ai sensi dell'articolo 7-bis, comma 5, del decreto-legge 30 ottobre 2015, n. 174, convertito, con modificazioni, dalla legge 11 dicembre 2015, n. 198:

a) mantiene costantemente informato il Presidente del Consiglio dei ministri, ovvero l'Autorità delegata, ove istituita, sulla crisi in atto, predisponendo punti aggiornati di situazione;

a) identica;

b) assicura il coordinamento per l'attuazione a livello interministeriale delle determinazioni del Presidente del Consiglio dei ministri per il superamento della crisi;

b) identica;

c) raccoglie tutti i dati relativi alla crisi;

c) identica;

d) elabora rapporti e fornisce informazioni sulla crisi e li trasmette ai soggetti pubblici e privati interessati;

d) identica;

e) partecipa ai meccanismi europei di gestione delle crisi cibernetiche, assicurando altresì i collegamenti finalizzati alla gestione della crisi con gli omologhi organismi di altri Stati, della NATO, dell'UE o di organizzazioni internazionali di cui l'Italia fa parte.

e) partecipa ai meccanismi europei di gestione delle crisi cibernetiche, assicurando altresì i collegamenti finalizzati alla gestione della crisi con gli omologhi organismi di altri Stati, della NATO, dell'Unione europea o di organizzazioni internazionali di cui l'Italia fa parte.

Articolo 11.
(Norme di contabilità e disposizioni finanziarie)

Articolo 11.
(Norme di contabilità e disposizioni finanziarie)

1. Con legge di bilancio è determinato lo stanziamento annuale da assegnare all'Agenzia da iscrivere sul capitolo di cui all'articolo 18, comma 1, sulla base della determinazione del fabbisogno annuo operata dal Presidente del Consiglio dei ministri, previamente comunicata al COPASIR.

1. Con la legge di bilancio è determinato lo stanziamento annuale da assegnare all'Agenzia da iscrivere sul capitolo di cui all'articolo 18, comma 1, sulla base della determinazione del fabbisogno annuo operata dal Presidente del Consiglio dei ministri, previamente comunicata al COPASIR.

2. Le entrate dell'Agenzia sono costituite da:

2. Identico:

a) dotazioni finanziarie e contributi ordinari di cui all'articolo 18 del presente decreto;

a) identica;

b) corrispettivi per i servizi prestati a soggetti pubblici o privati;

b) identica;

c) proventi derivanti dallo sfruttamento della proprietà industriale, dei prodotti dell'ingegno e delle invenzioni dell'Agenzia;

c) identica;

d) altri proventi patrimoniali e di gestione;

d) identica;

e) contribuiti dell'Unione europea o di organismi internazionali, anche a seguito della partecipazione a specifici bandi, progetti e programmi di collaborazione;

e) contributi dell'Unione europea o di organismi internazionali, anche a seguito della partecipazione a specifici bandi, progetti e programmi di collaborazione;

f) proventi delle sanzioni irrogate dall'Agenzia ai sensi di quanto previsto dal decreto legislativo NIS, dal decreto-legge perimetro e dal decreto legislativo 1° agosto 2003, n. 259, e relative disposizioni attuative;

f) identica;

g) ogni altra eventuale entrata.

g) identica.

3. Il regolamento di contabilità dell'Agenzia, che ne assicura l'autonomia gestionale e contabile, è adottato con decreto del Presidente del Consiglio dei ministri, di concerto con il Ministro dell'economia e delle finanze, su proposta del direttore generale dell'Agenzia, previo parere del COPASIR e sentito il CIC, entro centoventi giorni dalla data di entrata in vigore della legge di conversione del presente decreto, anche in deroga all'articolo 17 della legge 23 agosto 1988, n. 400, e alle norme di contabilità generale dello Stato e nel rispetto dei princìpi fondamentali da esse stabiliti, nonché delle seguenti disposizioni:

3. Identico:

a) il bilancio preventivo e il bilancio consuntivo adottati dal direttore generale dell'Agenzia sono approvati con decreto del Presidente del Consiglio dei ministri, previo parere del CIC e sono trasmessi alla Corte dei conti che esercita il controllo previsto dall'articolo 3, comma 4, della legge 14 gennaio 1994, n. 20;

a) il bilancio preventivo e il bilancio consuntivo adottati dal direttore generale dell'Agenzia sono approvati con decreto del Presidente del Consiglio dei ministri, previo parere del CIC, e sono trasmessi alla Corte dei conti che esercita il controllo previsto dall'articolo 3, comma 4, della legge 14 gennaio 1994, n. 20;

b) il bilancio consuntivo e la relazione della Corte dei conti sono trasmessi, al COPASIR.

b) il bilancio consuntivo e la relazione della Corte dei conti sono trasmessi alle Commissioni parlamentari competenti e al COPASIR.

4. Con regolamento adottato con decreto del Presidente del Consiglio dei ministri, su proposta del direttore generale dell'Agenzia, entro centoventi giorni dalla data di entrata in vigore della legge di conversione del presente decreto, anche in deroga all'articolo 17 della legge 23 agosto 1988, n. 400, e alle norme in materia di contratti pubblici, previo parere del COPASIR e sentito il CIC, sono definite le procedure per la stipula di contratti di appalti di lavori e forniture di beni e servizi per le attività dell'Agenzia finalizzate alla tutela della sicurezza nazionale nello spazio cibernetico e per quelle svolte in raccordo con il Sistema di informazione per la sicurezza della Repubblica di cui alla legge n. 124 del 2007, ferma restando la disciplina dell'articolo 162 del codice dei contratti pubblici relativi a lavori, servizi e forniture, di cui al decreto legislativo 18 aprile 2016, n. 50.

4. Con regolamento adottato con decreto del Presidente del Consiglio dei ministri, su proposta del direttore generale dell'Agenzia, entro centoventi giorni dalla data di entrata in vigore della legge di conversione del presente decreto, anche in deroga all'articolo 17 della legge 23 agosto 1988, n. 400, e alle norme in materia di contratti pubblici, previo parere del COPASIR e sentito il CIC, sono definite le procedure per la stipula di contratti di appalti di lavori e forniture di beni e servizi per le attività dell'Agenzia finalizzate alla tutela della sicurezza nazionale nello spazio cibernetico, ferma restando la disciplina dell'articolo 162 del codice dei contratti pubblici relativi a lavori, servizi e forniture, di cui al decreto legislativo 18 aprile 2016, n. 50.

Articolo 12.
(Personale)

Articolo 12.
(Personale)

1. Con apposito regolamento è dettata, nel rispetto dei princìpi generali dell'ordinamento giuridico, anche in deroga alle vigenti disposizioni di legge, ivi incluso il decreto legislativo 30 marzo 2001, n. 165, e nel rispetto dei criteri di cui al presente decreto, la disciplina del contingente di personale addetto all'Agenzia, tenuto conto delle funzioni di tutela della sicurezza nazionale nello spazio cibernetico attribuite all'Agenzia e tenuto conto delle attività svolte dalla stessa in raccordo con il Sistema di informazione per la sicurezza della Repubblica di cui alla legge n. 124 del 2007. Il regolamento definisce l'ordinamento e il reclutamento del personale, e il relativo trattamento economico e previdenziale, prevedendo, in particolare, per il personale dell'Agenzia un trattamento economico pari a quello in godimento da parte dei dipendenti della Banca d'Italia, sulla scorta della equiparabilità delle funzioni svolte e del livello di responsabilità rivestito. La predetta equiparazione, sia con riferimento al trattamento economico in servizio che previdenziale, produce effetti avendo riguardo alle anzianità di servizio maturate a seguito dell'inquadramento nei ruoli dell'Agenzia.

1. Con apposito regolamento è dettata, nel rispetto dei princìpi generali dell'ordinamento giuridico, anche in deroga alle vigenti disposizioni di legge, ivi incluso il decreto legislativo 30 marzo 2001, n. 165, e nel rispetto dei criteri di cui al presente decreto, la disciplina del contingente di personale addetto all'Agenzia, tenuto conto delle funzioni volte alla tutela della sicurezza nazionale nello spazio cibernetico attribuite all'Agenzia. Il regolamento definisce l'ordinamento e il reclutamento del personale, e il relativo trattamento economico e previdenziale, prevedendo, in particolare, per il personale dell'Agenzia di cui al comma 2, lettera a), un trattamento economico pari a quello in godimento da parte dei dipendenti della Banca d'Italia, sulla scorta della equiparabilità delle funzioni svolte e del livello di responsabilità rivestito. La predetta equiparazione, con riferimento sia al trattamento economico in servizio che al trattamento previdenziale, produce effetti avendo riguardo alle anzianità di servizio maturate a seguito dell'inquadramento nei ruoli dell'Agenzia.

2. Il regolamento determina, nei limiti delle risorse finanziarie disponibili, in particolare:

2. Il regolamento determina, nell'ambito delle risorse finanziarie destinate all'Agenzia ai sensi dell'articolo 18, comma 1, in particolare:

a) l'istituzione di un ruolo del personale e la disciplina generale del rapporto d'impiego alle dipendenze dell'Agenzia;

a) identica;

b) la possibilità di procedere, oltre che ad assunzioni a tempo indeterminato attraverso modalità concorsuali, ad assunzioni a tempo determinato, con contratti di diritto privato, di soggetti in possesso di alta e particolare specializzazione debitamente documentata, individuati attraverso adeguate modalità selettive, per lo svolgimento di attività assolutamente necessarie all'operatività dell'Agenzia o per specifiche progettualità da portare a termine in un arco di tempo prefissato;

b) identica;

c) la possibilità di avvalersi di un contingente di esperti, non superiore a cinquanta unità, composto da personale collocato fuori ruolo o in posizione di comando o altra analoga posizione, prevista dagli ordinamenti di appartenenza, proveniente da pubbliche amministrazioni di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, con esclusione del personale docente, educativo, amministrativo, tecnico e ausiliario delle istituzioni scolastiche, ovvero da personale non appartenente alla pubblica amministrazione, in possesso di specifica ed elevata competenza in materia di cybersicurezza e di tecnologie digitali innovative, nello sviluppo e gestione di processi complessi di trasformazione tecnologica e delle correlate iniziative di comunicazione e disseminazione, nonché di significativa esperienza in progetti di trasformazione digitale, ivi compreso lo sviluppo di programmi e piattaforme digitali con diffusione su larga scala. Il regolamento, a tali fini, disciplina la composizione del contingente e il compenso spettante per ciascuna professionalità;

c) la possibilità di avvalersi di un contingente di esperti, non superiore a cinquanta unità, composto da personale, collocato fuori ruolo o in posizione di comando o altra analoga posizione prevista dagli ordinamenti di appartenenza, proveniente da pubbliche amministrazioni di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, con esclusione del personale docente, educativo, amministrativo, tecnico e ausiliario delle istituzioni scolastiche, ovvero da personale non appartenente alla pubblica amministrazione, in possesso di specifica ed elevata competenza in materia di cybersicurezza e di tecnologie digitali innovative, nello sviluppo e gestione di processi complessi di trasformazione tecnologica e delle correlate iniziative di comunicazione e disseminazione, nonché di significativa esperienza in progetti di trasformazione digitale, ivi compreso lo sviluppo di programmi e piattaforme digitali con diffusione su larga scala. Il regolamento, a tali fini, disciplina la composizione del contingente e il compenso spettante per ciascuna professionalità;

d) la determinazione della percentuale massima dei dipendenti che è possibile assumere a tempo determinato;

d) identica;

e) la possibilità di impiegare personale del Ministero della difesa, secondo termini e modalità da definire con apposito decreto del Presidente del Consiglio dei ministri;

e) identica;

f) le ipotesi di incompatibilità;

f) identica;

g) le modalità di progressione di carriera all'interno dell'Agenzia;

g) identica;

h) la disciplina e il procedimento per la definizione degli aspetti giuridici e, limitatamente ad eventuali compensi accessori, economici del rapporto di impiego del personale oggetto di negoziazione con le rappresentanze del personale;

h) identica;

i) le modalità applicative delle disposizioni del decreto legislativo 10 febbraio 2005, n. 30, recante il Codice della proprietà industriale, ai prodotti dell'ingegno ed alle invenzioni dei dipendenti dell'Agenzia;

i) identica;

l) i casi di cessazione dal servizio del personale assunto a tempo indeterminato ed i casi di anticipata risoluzione dei rapporti a tempo determinato;

l) identica;

m) quali delle disposizioni possono essere oggetto di revisione per effetto della negoziazione con le rappresentanze del personale.

m) identica.

3. Qualora le assunzioni di cui al comma 2, lettera b), riguardino professori universitari di ruolo o ricercatori universitari confermati si applicano le disposizioni di cui all'articolo 12 del decreto del Presidente della Repubblica 11 luglio 1980, n. 382, anche per quanto riguarda il collocamento in aspettativa.

3. Identico.

4. In sede di prima applicazione delle disposizioni di cui al presente decreto, il numero di posti previsti dalla dotazione organica dell'Agenzia è individuato nella misura complessiva di trecento unità, di cui fino a un massimo di otto di livello dirigenziale generale, fino a un massimo di 24 di livello dirigenziale non generale e fino a un massimo di 268 unità di personale non dirigenziale.

4. Identico.

5. Con decreti del Presidente del Consiglio dei ministri di concerto con il Ministro dell'economia e delle finanze, la dotazione organica può essere rideterminata nei limiti delle risorse finanziarie destinate alle spese per il personale di cui all'articolo 18, comma 1. Dei provvedimenti adottati in materia di dotazione organica dell'Agenzia è data tempestiva e motivata comunicazione al presidente del COPASIR.

5. Con decreti del Presidente del Consiglio dei ministri di concerto con il Ministro dell'economia e delle finanze, la dotazione organica può essere rideterminata nei limiti delle risorse finanziarie destinate alle spese per il personale di cui all'articolo 18, comma 1. Dei provvedimenti adottati in materia di dotazione organica dell'Agenzia è data tempestiva e motivata comunicazione alle Commissioni parlamentari competenti e al COPASIR.

6. Le assunzioni effettuate in violazione delle disposizioni del presente decreto o del regolamento di cui al presente articolo sono nulle, ferma restando la responsabilità personale, patrimoniale e disciplinare di chi le ha disposte.

6. Identico.

7. Fatto salvo quanto previsto dall'articolo 42 della legge n. 124 del 2007, il personale che presta comunque la propria opera alle dipendenze o in favore dell'Agenzia è tenuto, anche dopo la cessazione di tale attività, al rispetto del segreto su ciò di cui sia venuto a conoscenza nell'esercizio o a causa delle proprie funzioni.

7. Il personale che presta comunque la propria opera alle dipendenze o in favore dell'Agenzia è tenuto, anche dopo la cessazione di tale attività, al rispetto del segreto su ciò di cui sia venuto a conoscenza nell'esercizio o a causa delle proprie funzioni.

8. Il regolamento di cui al comma 1 è adottato, entro centoventi giorni dalla data di entrata in vigore della legge di conversione del presente decreto, con decreto del Presidente del Consiglio dei ministri, anche in deroga all'articolo 17 della legge 23 agosto 1988, n. 400, previo parere del COPASIR e sentito il CIC.

8. Il regolamento di cui al comma 1 è adottato, entro centoventi giorni dalla data di entrata in vigore della legge di conversione del presente decreto, con decreto del Presidente del Consiglio dei ministri, anche in deroga all'articolo 17 della legge 23 agosto 1988, n. 400, previo parere delle Commissioni parlamentari competenti per materia e per i profili finanziari e, per i profili di competenza, del COPASIR e sentito il CIC.

Articolo 13.
(Trattamento dei dati personali)

Articolo 13.
(Trattamento dei dati personali)

1. Il trattamento dei dati personali svolto per finalità di sicurezza nazionale in applicazione del presente decreto è effettuato ai sensi dell'articolo 58, commi 2 e 3, del decreto legislativo 30 giugno 2003, n. 196.

Identico.

Articolo 14.
(Relazioni annuali)

Articolo 14.
(Relazioni annuali)

1. Entro il 30 aprile di ogni anno, il Presidente del Consiglio dei ministri trasmette al Parlamento una relazione sull'attività svolta dall'Agenzia nell'anno precedente, in materia di cybersicurezza nazionale.

1. Identico.

2. Entro il 30 giugno di ogni anno, il Presidente del Consiglio dei ministri trasmette al COPASIR una relazione sulle attività svolte nell'anno precedente dall'Agenzia in raccordo con il Sistema di informazione per la sicurezza della Repubblica di cui alla legge n. 124 del 2007, nonché in relazione agli ambiti di attività dell'Agenzia sottoposti al controllo del Comitato ai sensi del presente decreto.

2. Entro il 30 giugno di ogni anno, il Presidente del Consiglio dei ministri trasmette al COPASIR una relazione sulle attività svolte nell'anno precedente dall'Agenzia negli ambiti concernenti la tutela della sicurezza nazionale nello spazio cibernetico relativamente ai profili di competenza del Comitato.

Articolo 15.
(Modificazioni al decreto legislativo NIS)

Articolo 15.
(Modificazioni al decreto legislativo NIS)

1. Al decreto legislativo NIS, sono apportate le seguenti modificazioni:

1. Identico:

a) all'articolo 1, comma 2, lettera a), le parole: «strategia nazionale di sicurezza cibernetica» sono sostituite dalle seguenti: «strategia nazionale di cybersicurezza»;

a) identica;

b) all'articolo 1, comma 2, lettera b), le parole: «delle autorità nazionali competenti» sono sostituite dalle seguenti: «dell'autorità nazionale competente NIS, delle autorità di settore»;

b) identica;

c) all'articolo 3, lettera a), le parole da: «autorità competente NIS» a: «per settore,» sono sostituite dalle seguenti: «autorità nazionale competente NIS, l'autorità nazionale unica, competente»;

c) identica;

d) all'articolo 3, dopo la lettera a), è inserita la seguente: «a-bis) autorità di settore, le autorità di cui all'articolo 7, comma 1, lettere da a) a e)»;

d) identica;

e) all'articolo 4, il comma 6 è sostituito dal seguente:

e) identico:

«6. L'elenco degli operatori di servizi essenziali identificati ai sensi del comma 1 è riesaminato e, se del caso, aggiornato su base regolare, e almeno ogni due anni dopo il 9 maggio 2018, con le seguenti modalità:

«6. Identico:

a) le autorità di settore, in relazione ai settori di competenza, propongono all'autorità nazionale competente NIS le variazioni all'elenco degli operatori dei servizi essenziali, secondo i criteri di cui ai commi 2 e 3;

a) identica;

b) le proposte sono valutate dall'autorità nazionale competente NIS che, con propri provvedimenti, provvede alle variazioni dell'elenco degli operatori dei servizi essenziali, dandone comunicazione, in relazione ai settori di competenza, anche alle autorità di settore.»;

b) le proposte sono valutate ed eventualmente integrate, d'intesa con le autorità di settore, dall'autorità nazionale competente NIS che, con propri provvedimenti, provvede alle variazioni dell'elenco degli operatori dei servizi essenziali, dandone comunicazione, in relazione ai settori di competenza, anche alle autorità di settore.»;

f) all'articolo 6, nella rubrica, le parole: «sicurezza cibernetica» sono sostituite dalle seguenti: «cybersicurezza»; ai commi 1, 2 e 3, le parole: «sicurezza cibernetica» sono sostituite dalla seguente: «cybersicurezza»; al comma 4, le parole: «La Presidenza del Consiglio dei ministri» sono sostituite dalle seguenti: «L'Agenzia per la cybersicurezza» e le parole: «sicurezza cibernetica» sono sostituite dalle seguenti: «cybersicurezza»;

f) all'articolo 6, nella rubrica, le parole: «sicurezza cibernetica» sono sostituite dalla seguente: «cybersicurezza»; ai commi 1, 2 e 3, le parole: «sicurezza cibernetica» sono sostituite dalla seguente: «cybersicurezza»; al comma 4, le parole: «La Presidenza del Consiglio dei ministri» sono sostituite dalle seguenti: «L'Agenzia per la cybersicurezza» e le parole: «sicurezza cibernetica» sono sostituite dalla seguente: «cybersicurezza»;

g) l'articolo 7 è sostituito dal seguente:

g) identico:

«Art. 7. – (Autorità nazionale competente e punto di contatto unico) – 1. L'Agenzia per la cybersicurezza nazionale è designata quale autorità nazionale competente NIS per i settori e sottosettori di cui all'allegato II e per i servizi di cui all'allegato III. Sono designate quali autorità di settore:

«Art. 7. – (Autorità nazionale competente e punto di contatto unico) – 1. Identico:

a) il Ministero dello sviluppo economico, per il settore infrastrutture digitali, sottosettori IXP, DNS, TLD, nonché per i servizi digitali;

a) identica;

b) il Ministero delle infrastrutture e della mobilità sostenibili, per il settore trasporti, sottosettori aereo, ferroviario, per vie d'acqua e su strada;

b) identica;

c) il Ministero dell'economia e delle finanze, per il settore bancario e per il settore infrastrutture dei mercati finanziari, in collaborazione con le autorità di vigilanza di settore, Banca d'Italia e Consob, secondo modalità di collaborazione e di scambio di informazioni stabilite con decreto del Ministro dell'economia e delle finanze;

c) identica;

d) il Ministero della salute, per l'attività di assistenza sanitaria, come definita dall'articolo 3, comma 1, lettera a), del decreto legislativo 4 marzo 2014, n. 38, prestata dagli operatori dipendenti o incaricati dal medesimo Ministero o convenzionati con lo stesso, e le Regioni e le Province autonome di Trento e di Bolzano, direttamente o per il tramite delle Autorità sanitarie territorialmente competenti, per le attività di assistenza sanitaria prestata dagli operatori autorizzati e accreditati delle Regioni o dalle Province autonome negli ambiti territoriali di rispettiva competenza;

d) il Ministero della salute, per l'attività di assistenza sanitaria, come definita dall'articolo 3, comma 1, lettera a), del decreto legislativo 4 marzo 2014, n. 38, prestata dagli operatori dipendenti o incaricati dal medesimo Ministero o convenzionati con lo stesso, e le Regioni e le Province autonome di Trento e di Bolzano, direttamente o per il tramite delle Autorità sanitarie territorialmente competenti, per le attività di assistenza sanitaria prestata dagli operatori autorizzati e accreditati dalle Regioni o dalle Province autonome negli ambiti territoriali di rispettiva competenza;

e) il Ministero della transizione ecologica per il settore energia, sottosettori energia elettrica, gas e petrolio;

e) identica;

f) il Ministero della transizione ecologica e le Regioni e le Province autonome di Trento e di Bolzano, direttamente o per il tramite delle Autorità territorialmente competenti, in merito al settore fornitura e distribuzione di acqua potabile.

f) identica.

2. L'autorità nazionale competente NIS è responsabile dell'attuazione del presente decreto con riguardo ai settori di cui all'allegato II e ai servizi di cui all'allegato III e vigila sull'applicazione del presente decreto a livello nazionale, esercitando altresì le relative potestà ispettive e sanzionatorie.

2. Identico.

3. L'Agenzia per la cybersicurezza nazionale è designata quale punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi.

3. Identico.

4. Il punto di contatto unico svolge una funzione di collegamento per garantire la cooperazione transfrontaliera dell'autorità nazionale competente NIS con le autorità competenti degli altri Stati membri, nonché con il gruppo di cooperazione di cui all'articolo 10 e la rete di CSIRT di cui all'articolo 11.

4. Identico.

5. Il punto di contatto unico collabora nel gruppo di cooperazione in modo effettivo, efficiente e sicuro con i rappresentanti designati dagli altri Stati.

5. Identico.

6. L'Agenzia per la cybersicurezza nazionale, in qualità di autorità nazionale competente NIS e di punto di contatto unico, consulta, conformemente alla normativa vigente, l'autorità di contrasto ed il Garante per la protezione dei dati personali e collabora con essi.

6. Identico.

7. La Presidenza del Consiglio dei ministri comunica tempestivamente alla Commissione europea la designazione del punto di contatto unico e quella dell'autorità nazionale competente NIS, i relativi compiti e qualsiasi ulteriore modifica. Alle designazioni sono assicurate idonee forme di pubblicità.

7. Identico.

8. Agli oneri derivanti dal presente articolo pari a 1.300.000 euro a decorrere dal 2018, si provvede ai sensi dell'articolo 22.»;

8. Agli oneri derivanti dal presente articolo, pari a 1.300.000 euro annui a decorrere dall'anno 2018, si provvede ai sensi dell'articolo 22.»;

h) all'articolo 8, comma 1, le parole da: «la Presidenza» a: «la sicurezza» sono sostituite dalle seguenti: «l'Agenzia di cybersicurezza nazionale»;

h) all'articolo 8, comma 1, le parole da: «la Presidenza» a: «la sicurezza» sono sostituite dalle seguenti: «l'Agenzia per la cybersicurezza nazionale»;

i) l'articolo 9, comma 1, è sostituito dal seguente:

i) identico:

«1. Le autorità di settore collaborano con l'autorità nazionale competente NIS per l'adempimento degli obblighi di cui al presente decreto. A tal fine è istituito presso l'Agenzia per la cybersicurezza nazionale, un Comitato tecnico di raccordo. Il Comitato è presieduto dall'autorità nazionale competente NIS ed è composto dai rappresentanti delle amministrazioni statali individuate quali autorità di settore e da rappresentanti delle Regioni e Province autonome in numero non superiore a due, designati dalle Regioni e Province autonome in sede di Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e di Bolzano. L'organizzazione del Comitato è definita con decreto del Presidente del Consiglio dei ministri, sentita la Conferenza unificata. Per la partecipazione al Comitato tecnico di raccordo non sono previsti gettoni di presenza, compensi o rimborsi spese.»;

«1. Le autorità di settore collaborano con l'autorità nazionale competente NIS per l'adempimento degli obblighi di cui al presente decreto. A tal fine è istituito presso l'Agenzia per la cybersicurezza nazionale un Comitato tecnico di raccordo. Il Comitato è presieduto dall'autorità nazionale competente NIS ed è composto dai rappresentanti delle amministrazioni statali individuate quali autorità di settore e da rappresentanti delle Regioni e Province autonome in numero non superiore a due, designati dalle Regioni e Province autonome in sede di Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e di Bolzano. L'organizzazione del Comitato è definita con decreto del Presidente del Consiglio dei ministri, sentita la Conferenza unificata. Per la partecipazione al Comitato tecnico di raccordo non sono previsti gettoni di presenza, compensi o rimborsi di spese.»;

l) all'articolo 12, comma 5, le parole da: «e, per conoscenza,» a: «NIS,» sono soppresse;

l) identica;

m) all'articolo 14, comma 4, le parole da: «e, per conoscenza,» a: «NIS,» sono soppresse;

m) identica;

n) all'articolo 19, comma 1, le parole: «dalle autorità competenti NIS» sono sostituite dalle seguenti: «dall'autorità nazionale competente NIS»;

n) identica;

o) all'articolo 19, il comma 2 è abrogato;

o) identica;

p) all'articolo 20, comma 1, le parole da: «Le autorità competenti NIS» a: «sono competenti» sono sostituite da: «L'autorità nazionale competente NIS è competente»;

p) identica;

q) all'allegato I:

q) identica.

1) al punto 1, dopo la lettera d) è aggiunta la seguente: «d-bis) il CSIRT Italia conforma i propri servizi e la propria attività alle migliori pratiche internazionalmente riconosciute in materia di prevenzione, gestione e risposta rispetto a eventi di natura cibernetica»;

2) al punto 2, lettera c), dopo la parola: «standardizzate» sono inserite le seguenti: «, secondo le migliori pratiche internazionalmente riconosciute,».

2. Nel decreto legislativo NIS:

2. Identico:

a) ogni riferimento al Ministero dello sviluppo economico, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale, fatta eccezione per le disposizioni di cui all'articolo 7, comma 1, lettera a), del medesimo decreto legislativo;

a) ogni riferimento al Ministero dello sviluppo economico, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale, fatta eccezione per le disposizioni di cui all'articolo 7, comma 1, lettera a), del medesimo decreto legislativo, come sostituito dal comma 1, lettera g), del presente articolo;

b) ogni riferimento al DIS, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale;

b) identica;

c) ogni riferimento alle autorità competenti NIS, ovunque ricorra, deve intendersi riferito all'autorità nazionale competente NIS, fatta eccezione per le disposizioni di cui all'articolo 5, comma 1, del medesimo decreto legislativo;

c) ogni riferimento alle autorità competenti NIS, ovunque ricorra, deve intendersi riferito all'autorità nazionale competente NIS, fatta eccezione per le disposizioni di cui all'articolo 5, comma 1, del medesimo decreto legislativo, come modificato dalla lettera d) del presente comma;

d) all'articolo 5, comma 1, alinea, le parole: «le autorità competenti NIS» sono sostituite dalle seguenti: «l'autorità nazionale competente NIS e le autorità di settore»;

d) identica;

e) agli articoli 6 e 12, le parole: «Comitato interministeriale per la sicurezza della Repubblica (CISR)» sono sostituite dalle seguenti: «Comitato interministeriale per la cybersicurezza (CIC)».

e) identica.

Articolo 16.
(Altre modificazioni)

Articolo 16.
(Altre modificazioni)

1. All'articolo 3, comma 1-bis, della legge n. 124 del 2007, dopo le parole: «della presente legge» sono aggiunte le seguenti: «e in materia di cybersicurezza».

1. All'articolo 3, comma 1-bis, della legge 3 agosto 2007, n. 124, dopo le parole: «della presente legge» sono aggiunte le seguenti: «e in materia di cybersicurezza».

2. All'articolo 38 della legge n. 124 del 2007, il comma 1-bis è abrogato.

2. All'articolo 38 della legge n. 124 del 2007, il comma 1-bis è abrogato a decorrere dal 1° gennaio 2023.

3. La denominazione: «CSIRT Italia» sostituisce, ad ogni effetto e ovunque presente in provvedimenti legislativi e regolamentari, la denominazione: «CSIRT Italiano».

3. Identico.

4. Nel decreto-legge perimetro le parole: «Comitato interministeriale per la sicurezza della Repubblica (CISR)» e «CISR», ovunque ricorrano, sono rispettivamente sostituite dalle seguenti: «Comitato interministeriale per la cybersicurezza (CIC)» e «CIC», fatta eccezione per le disposizioni di cui all'articolo 5 del medesimo decreto-legge.

4. Identico.

5. Nel decreto-legge perimetro ogni riferimento al Dipartimento delle informazioni per la sicurezza, o al DIS, ovunque ricorra, è da intendersi riferito all'Agenzia per la cybersicurezza nazionale e ogni riferimento al Nucleo per la sicurezza cibernetica è da intendersi riferito al Nucleo per la cybersicurezza.

5. Nel decreto-legge perimetro ogni riferimento al Dipartimento delle informazioni per la sicurezza, o al DIS, ovunque ricorra, è da intendersi riferito all'Agenzia per la cybersicurezza nazionale, fatta eccezione per le disposizioni dell'articolo 1, commi 2, lettera b), e 2-ter, del medesimo decreto-legge perimetro, e ogni riferimento al Nucleo per la sicurezza cibernetica è da intendersi riferito al Nucleo per la cybersicurezza.

6. Nel decreto-legge perimetro:

6. Identico.

a) ogni riferimento al Ministero dello sviluppo economico e alla Presidenza del Consiglio dei ministri, ovunque ricorra, è da intendersi riferito all'Agenzia per la cybersicurezza nazionale;

b) all'articolo 1, comma 8, lettera a), le parole da: «definite dalla Presidenza del Consiglio dei ministri» a: «decreto legislativo 18 maggio 2018, n. 65» sono sostituite dalle seguenti: «definite dall'Agenzia per la cybersicurezza nazionale»;

c) all'articolo 1, comma 8, lettera b), le parole: «all'autorità competente» sono sostituite dalle seguenti: «autorità nazionale competente NIS».

7. Nei provvedimenti di natura regolamentare e amministrativa la cui adozione è prevista dall'articolo 1 del decreto-legge perimetro, ogni riferimento al CISR e al DIS deve intendersi rispettivamente riferito al CIC e all'Agenzia per la cybersicurezza nazionale.

7. Identico.

8. Nei provvedimenti di natura regolamentare e amministrativa la cui adozione è prevista dall'articolo 1 del decreto-legge perimetro, ogni riferimento al Ministero dello sviluppo economico e alla struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale, fatta eccezione per le disposizioni di cui agli articoli 3 del decreto del Presidente del Consiglio dei ministri n. 131 del 2020.

8. Nei provvedimenti di natura regolamentare e amministrativa la cui adozione è prevista dall'articolo 1 del decreto-legge perimetro, ogni riferimento al Ministero dello sviluppo economico e alla struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale, fatta eccezione per le disposizioni di cui all'articolo 3 del decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131.

9. Al decreto-legge perimetro sono apportate le seguenti modificazioni:

9. Identico:

a) all'articolo 1, comma 6, lettera a), dopo il primo periodo è inserito il seguente: «L'obbligo di comunicazione di cui alla presente lettera è efficace a decorrere dal trentesimo giorno successivo alla pubblicazione nella Gazzetta Ufficiale della Repubblica italiana del decreto del Presidente del Consiglio dei ministri che, sentita l'Agenzia per la cybersicurezza nazionale, attesta l'operatività del CVCN e comunque dal 30 giugno 2022.»;

a) identica;

a-bis) all'articolo 1, comma 7, lettera c), le parole: «dell'organismo tecnico di supporto al CISR» sono sostituite dalle seguenti: «del Tavolo interministeriale di cui all'articolo 6 del decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131»;

a-ter) all'articolo 1, comma 2, la lettera b) è sostituita dalla seguente:

«b) sono definiti, sulla base di un'analisi del rischio e di un criterio di gradualità che tenga conto delle specificità dei diversi settori di attività, i criteri con i quali i soggetti di cui al comma 2-bis predispongono e aggiornano con cadenza almeno annuale un elenco delle reti, dei sistemi informativi e dei servizi informatici di cui al comma 1, di rispettiva pertinenza, comprensivo della relativa architettura e componentistica, fermo restando che, per le reti, i sistemi informativi e i servizi informatici attinenti alla gestione delle informazioni classificate, si applica quanto previsto dal regolamento adottato ai sensi dell'articolo 4, comma 3, lettera l), della legge 3 agosto 2007, n. 124; all'elaborazione di tali criteri provvede, adottando opportuni moduli organizzativi, il Tavolo interministeriale di cui all'articolo 6 del regolamento di cui al decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131; entro sei mesi dalla data della comunicazione, prevista dal comma 2-bis, a ciascuno dei soggetti iscritti nell'elenco di cui al medesimo comma, i soggetti pubblici e quelli di cui all'articolo 29 del codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, nonché quelli privati, di cui al citato comma 2-bis, trasmettono tali elenchi all'Agenzia per la cybersicurezza nazionale, anche per le attività di prevenzione, preparazione e gestione di crisi cibernetiche affidate al Nucleo per la cybersicurezza; il Dipartimento delle informazioni per la sicurezza, l'Agenzia informazioni e sicurezza esterna (AISE) e l'Agenzia informazioni e sicurezza interna (AISI) ai fini dell'esercizio delle funzioni istituzionali previste dagli articoli 1, comma 3-bis, 4, 6 e 7 della legge n. 124 del 2007, nonché l'organo del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, accedono a tali elenchi per il tramite della piattaforma digitale di cui all'articolo 9, comma 1, del regolamento di cui al decreto del Presidente del Consiglio dei ministri n. 131 del 2020, costituita presso l'Agenzia per la cybersicurezza nazionale»;

a-quater) all'articolo 1, dopo il comma 2-bis è inserito il seguente:

«2-ter. Gli elenchi dei soggetti di cui alla lettera a) del comma 2 del presente articolo sono trasmessi al Dipartimento delle informazioni per la sicurezza, che provvede anche a favore dell'AISE e dell'AISI ai fini dell'esercizio delle funzioni istituzionali previste dagli articoli 1, comma 3-bis, 4, 6 e 7 della legge 3 agosto 2007, n. 124»;

b) all'articolo 3, il comma 2 è abrogato;

b) identica;

c) a decorrere dalla data in cui diviene efficace l'obbligo di comunicazione disciplinato dalla lettera a), all'articolo 3:

c) identico:

1) il comma 1 è sostituito dal seguente: «1. I soggetti che intendono procedere all'acquisizione, a qualsiasi titolo, di beni, servizi e componenti di cui all'articolo 1-bis, comma 2, del decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, sono obbligati ad effettuare la comunicazione di cui all'articolo 1, comma 6, lettera a), per lo svolgimento delle verifiche di sicurezza da parte del CVCN sulla base delle procedure, modalità e termini previsti dal regolamento di attuazione. Ai fornitori di predetti beni, servizi e componenti si applica l'articolo 1, comma 6, lettera b).»;

1) il comma 1 è sostituito dal seguente: «1. I soggetti che intendono procedere all'acquisizione, a qualsiasi titolo, di beni, servizi e componenti di cui all'articolo 1-bis, comma 2, del decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, sono obbligati ad effettuare la comunicazione di cui all'articolo 1, comma 6, lettera a), per lo svolgimento delle verifiche di sicurezza da parte del CVCN sulla base delle procedure, modalità e termini previsti dal regolamento di attuazione. Ai fornitori dei predetti beni, servizi e componenti si applica l'articolo 1, comma 6, lettera b).»;

2) il comma 3 è abrogato;

2) identico;

10. A decorrere dalla data in cui diviene efficace l'obbligo di comunicazione disciplinato dal comma 9, lettera a), al decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, il comma 3-bis dell'articolo 1-bis è sostituito dal seguente: «3-bis. Entro dieci giorni dalla conclusione di un contratto o accordo di cui al comma 2, l'impresa che ha acquisito, a qualsiasi titolo, i beni o i servizi di cui allo stesso comma notifica alla Presidenza del Consiglio dei ministri un'informativa completa, contenente anche la comunicazione del Centro di valutazione e certificazione nazionale (CVCN), relativa all'esito della valutazione e alle eventuali prescrizioni, in modo da consentire l'eventuale esercizio del potere di veto o l'imposizione di specifiche prescrizioni o condizioni. Qualora il contratto sia stato stipulato antecedentemente alla conclusione dei test imposti dal CVCN, il termine di cui al primo periodo decorre dalla comunicazione di esito positivo della valutazione effettuata dal CVCN. Entro trenta giorni dalla notifica, il Presidente del Consiglio dei ministri comunica l'eventuale veto ovvero l'imposizione di specifiche prescrizioni o condizioni. I poteri speciali sono esercitati nella forma dell'imposizione di specifiche prescrizioni o condizioni ogniqualvolta ciò sia sufficiente ad assicurare la tutela degli interessi essenziali della difesa e della sicurezza nazionale. Decorsi i predetti termini, i poteri speciali si intendono non esercitati. Qualora si renda necessario richiedere informazioni all'acquirente, tale termine è sospeso, per una sola volta, fino al ricevimento delle informazioni richieste, che sono rese entro il termine di dieci giorni. Qualora si renda necessario formulare richieste istruttorie a soggetti terzi, il predetto termine di trenta giorni è sospeso, per una sola volta, fino al ricevimento delle informazioni richieste, che sono rese entro il termine di venti giorni. Le richieste di informazioni e le richieste istruttorie a soggetti terzi successive alla prima non sospendono i termini. In caso di incompletezza della notifica, il termine di trenta giorni previsto dal presente comma decorre dal ricevimento delle informazioni o degli elementi che la integrano. Fermo restando quanto previsto in materia di sanzioni al presente comma, nel caso in cui l'impresa notificante abbia iniziato l'esecuzione del contratto o dell'accordo oggetto della notifica prima che sia decorso il termine per l'esercizio dei poteri speciali, ovvero abbia eseguito il contratto o accordo in violazione del decreto di esercizio dei poteri speciali, il Governo può ingiungere all'impresa di ripristinare a proprie spese la situazione anteriore. Salvo che il fatto costituisca reato, chiunque non osservi gli obblighi di notifica di cui al presente articolo ovvero le disposizioni contenute nel provvedimento di esercizio dei poteri speciali è soggetto alla sanzione amministrativa pecuniaria fino al 150 per cento del valore dell'operazione e comunque non inferiore al 25 per cento del medesimo valore. Nei casi di violazione degli obblighi di notifica di cui al presente articolo, anche in assenza della notifica, la Presidenza del Consiglio dei ministri può avviare il procedimento ai fini dell'eventuale esercizio dei poteri speciali. A tale scopo, trovano applicazione i termini e le norme procedurali previsti dal presente comma. Il termine di trenta giorni di cui al presente comma decorre dalla conclusione del procedimento di accertamento della violazione dell'obbligo di notifica».

10. A decorrere dalla data in cui diviene efficace l'obbligo di comunicazione disciplinato dal comma 9, lettera a), al decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, il comma 3-bis dell'articolo 1-bis è sostituito dal seguente: «3-bis. Entro dieci giorni dalla conclusione di un contratto o accordo di cui al comma 2, l'impresa che ha acquisito, a qualsiasi titolo, i beni o i servizi di cui allo stesso comma notifica alla Presidenza del Consiglio dei ministri un'informativa completa, contenente anche la comunicazione del Centro di valutazione e certificazione nazionale (CVCN), relativa all'esito della valutazione e alle eventuali prescrizioni, in modo da consentire l'eventuale esercizio del potere di veto o l'imposizione di specifiche prescrizioni o condizioni. Qualora il contratto sia stato stipulato antecedentemente alla conclusione dei test imposti dal CVCN, il termine di cui al primo periodo decorre dalla comunicazione di esito positivo della valutazione effettuata dal CVCN. Entro trenta giorni dalla notifica, il Presidente del Consiglio dei ministri comunica l'eventuale veto ovvero l'imposizione di specifiche prescrizioni o condizioni. I poteri speciali sono esercitati nella forma dell'imposizione di specifiche prescrizioni o condizioni ogniqualvolta ciò sia sufficiente ad assicurare la tutela degli interessi essenziali della difesa e della sicurezza nazionale. Decorsi i predetti termini, i poteri speciali si intendono non esercitati. Qualora si renda necessario richiedere informazioni all'acquirente, tale termine è sospeso, per una sola volta, fino al ricevimento delle informazioni richieste, che sono rese entro il termine di dieci giorni. Qualora si renda necessario formulare richieste istruttorie a soggetti terzi, il predetto termine di trenta giorni è sospeso, per una sola volta, fino al ricevimento delle informazioni richieste, che sono rese entro il termine di venti giorni. Le richieste di informazioni e le richieste istruttorie a soggetti terzi successive alla prima non sospendono i termini. In caso di incompletezza della notifica, il termine di trenta giorni previsto dal presente comma decorre dal ricevimento delle informazioni o degli elementi che la integrano. Fermo restando quanto previsto in materia di sanzioni al presente comma, nel caso in cui l'impresa notificante abbia iniziato l'esecuzione del contratto o dell'accordo oggetto della notifica prima che sia decorso il termine per l'esercizio dei poteri speciali, ovvero abbia eseguito il contratto o accordo in violazione del decreto di esercizio dei poteri speciali, il Governo può ingiungere all'impresa di ripristinare a proprie spese la situazione anteriore. Salvo che il fatto costituisca reato, chiunque non osservi gli obblighi di notifica di cui al presente articolo ovvero le disposizioni contenute nel provvedimento di esercizio dei poteri speciali è soggetto alla sanzione amministrativa pecuniaria del pagamento di una somma fino al 150 per cento del valore dell'operazione e comunque non inferiore al 25 per cento del medesimo valore. Nei casi di violazione degli obblighi di notifica di cui al presente articolo, anche in assenza della notifica, la Presidenza del Consiglio dei ministri può avviare il procedimento ai fini dell'eventuale esercizio dei poteri speciali. A tale scopo, trovano applicazione i termini e le norme procedurali previsti dal presente comma. Il termine di trenta giorni di cui al presente comma decorre dalla conclusione del procedimento di accertamento della violazione dell'obbligo di notifica».

11. All'articolo 135 del decreto legislativo 2 luglio 2010, n. 104, dopo la lettera h), è aggiunta la seguente: «h-bis) le controversie aventi ad oggetto i provvedimenti dell'Agenzia per la cybersicurezza nazionale;».

11. All'articolo 135, comma 1, del codice del processo amministrativo, di cui all'allegato 1 al decreto legislativo 2 luglio 2010, n. 104, dopo la lettera h), è aggiunta la seguente: «h-bis) le controversie aventi ad oggetto i provvedimenti dell'Agenzia per la cybersicurezza nazionale;» e alla lettera o) le parole: «e dell'AISE» sono sostituite dalle seguenti: «, dell'AISE e dell'Agenzia per la cybersicurezza nazionale».

12. Alla legge 22 aprile 2021, n. 53, sono apportate le seguenti modificazioni:

12. Identico.

a) all'articolo 4, comma 1, lettera b), dopo le parole: «Ministero dello sviluppo economico» sono aggiunte le seguenti: «e l'Agenzia per la cybersicurezza nazionale»;

b) all'articolo 18, ogni riferimento al Ministero dello sviluppo economico, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale.

13. All'articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, le parole: «L'AgID» sono sostituite dalle seguenti: «L'Agenzia per la cybersicurezza nazionale».

13. All'articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, le parole: «L'AgID» sono sostituite dalle seguenti: «L'Agenzia per la cybersicurezza nazionale» e sono aggiunte, in fine, le seguenti parole: «nonché le modalità del procedimento di qualificazione dei servizi cloud per la pubblica amministrazione».

14. Al decreto legislativo 1° agosto 2003, n. 259, sono apportate le seguenti modificazioni:

14. Identico.

a) agli articoli 16-bis e 16-ter, ogni riferimento al Ministero dello sviluppo economico, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale;

b) all'articolo 16-ter, comma 1, le parole: «Ministro dello sviluppo economico» sono sostituite dalle seguenti: «Presidente del Consiglio dei ministri»;

c) all'articolo 16-ter, comma 2, lettera b), le parole: «, in collaborazione con gli Ispettorati territoriali del Ministero dello sviluppo economico,» sono soppresse.

Articolo 17.
(Disposizioni transitorie e finali)

Articolo 17.
(Disposizioni transitorie e finali)

1. Per lo svolgimento delle funzioni ispettive, di accertamento delle violazioni e di irrogazione delle sanzioni, di cui all'articolo 7, l'Agenzia può provvedere, oltre che con proprio personale, con l'ausilio dell'organo centrale del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155.

1. Identico.

2. Per lo svolgimento delle funzioni relative all'attuazione e al controllo dell'esecuzione dei provvedimenti assunti da parte del Presidente del Consiglio dei ministri ai sensi dell'articolo 5 del decreto-legge perimetro, l'Agenzia provvede con l'ausilio dell'organo centrale del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155.

2. Identico.

3. Il personale dell'Agenzia, nello svolgimento delle funzioni ispettive, di accertamento delle violazioni e di irrogazione delle sanzioni, di cui all'articolo 7, nonché delle funzioni relative all'attuazione e al controllo dell'esecuzione dei provvedimenti assunti da parte del Presidente del Consiglio dei ministri ai sensi dell'articolo 5 del decreto-legge perimetro, riveste la qualifica di pubblico ufficiale.

3. Identico.

4. Il personale dell'Agenzia addetto al CSIRT Italia, nello svolgimento delle proprie funzioni, riveste la qualifica di pubblico ufficiale. La trasmissione delle notifiche di incidente ricevute dal CSIRT Italia all'organo centrale del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, costituisce adempimento dell'obbligo di cui all'articolo 331 del codice di procedura penale.

4. Identico.

5. Con uno o più decreti del Presidente del Consiglio dei ministri, di concerto con il Ministro dell'economia e delle finanze, da adottare entro centottanta giorni dalla data di entrata in vigore della legge di conversione del presente decreto, sono definiti i termini e le modalità:

5. Identico:

a) per assicurare la prima operatività dell'Agenzia, mediante l'individuazione di appositi spazi, in via transitoria e per un massimo di ventiquattro mesi, secondo opportune intese con le amministrazioni interessate, per l'attuazione delle disposizioni del presente decreto;

a) identica;

b) mediante opportune intese con le amministrazioni interessate, per il trasferimento delle funzioni di cui all'articolo 7, nonché per il trasferimento dei beni strumentali e della documentazione, anche di natura classificata, per l'attuazione delle disposizioni del presente decreto e la corrispondente riduzione di risorse finanziarie ed umane da parte delle amministrazioni cedenti.

b) mediante opportune intese con le amministrazioni interessate, nel rispetto delle specifiche norme riguardanti l'organizzazione e il funzionamento, per il trasferimento delle funzioni di cui all'articolo 7, nonché per il trasferimento dei beni strumentali e della documentazione, anche di natura classificata, per l'attuazione delle disposizioni del presente decreto e la corrispondente riduzione di risorse finanziarie ed umane da parte delle amministrazioni cedenti.

5-bis. Fino alla scadenza dei termini indicati nel decreto o nei decreti di cui al comma 5, lettera b), la gestione delle risorse finanziarie relative alle funzioni trasferite, compresa la gestione dei residui passivi e perenti, è esercitata dalle amministrazioni cedenti. A decorrere dalla medesima data sono trasferiti in capo all'Agenzia i rapporti giuridici attivi e passivi relativi alle funzioni trasferite.

6. In relazione al trasferimento delle funzioni di cui all'articolo 7, comma 1, lettera m), dall'AgID all'Agenzia, i decreti di cui al comma 5 definiscono, altresì, i raccordi tra le due amministrazioni, per le funzioni che restano di competenza di AgID.

6. In relazione al trasferimento delle funzioni di cui all'articolo 7, comma 1, lettera m), dall'AgID all'Agenzia, i decreti di cui al comma 5 definiscono, altresì, i raccordi tra le due amministrazioni, per le funzioni che restano di competenza dell'AgID. Nelle more dell'adozione dei decreti di cui al comma 5, il regolamento di cui all'articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, è adottato dall'AgID, d'intesa con la competente struttura della Presidenza del Consiglio dei ministri.

7. Al fine di assicurare la prima operatività dell'Agenzia, il direttore generale dell'Agenzia, fino all'adozione dei regolamenti di cui all'articolo 11, commi 3 e 5, identifica e assume gli impegni di spesa che verranno liquidati a cura del DIS, nell'ambito delle risorse destinate all'Agenzia. Entro 90 giorni dall'approvazione dei regolamenti di cui all'articolo 11, commi 3 e 5, delle spese effettuate ai sensi del presente comma, il Presidente del Consiglio dei ministri ne dà informazione al COPASIR.

7. Al fine di assicurare la prima operatività dell'Agenzia, il direttore generale dell'Agenzia, fino all'adozione dei regolamenti di cui all'articolo 11, commi 3 e 4, identifica, assume e liquida gli impegni di spesa che verranno pagati a cura del DIS, nell'ambito delle risorse destinate all'Agenzia. A tale fine è istituito un apposito capitolo nel bilancio del DIS. Entro 90 giorni dall'approvazione dei regolamenti di cui all'articolo 11, commi 3 e 4, il Presidente del Consiglio dei ministri dà informazione al COPASIR delle spese effettuate ai sensi del presente comma.

8. In sede di prima applicazione delle disposizioni di cui al presente decreto e per un periodo massimo di sei mesi, prorogabile una sola volta per un massimo di ulteriori sei mesi, dalla data della nomina del direttore generale dell'Agenzia, l'Agenzia si avvale di un nucleo di personale, non superiore al 30 per cento della dotazione organica complessiva iniziale, di unità appartenenti al Ministero dello sviluppo economico, all'Agenzia per l'Italia digitale, al DIS, ad altre pubbliche amministrazioni e ad autorità indipendenti, messo a disposizione dell'Agenzia stessa su specifica richiesta e secondo modalità individuate mediante intese con le rispettive amministrazioni di appartenenza. Il relativo onere resta a carico dell'amministrazione di appartenenza.

8. Al fine di assicurare la prima operatività dell'Agenzia, dalla data della nomina del direttore generale dell'Agenzia e nel limite del 30 per cento della dotazione organica complessiva iniziale di cui all'articolo 12, comma 4:

a) il DIS mette a disposizione il personale impiegato nell'ambito delle attività relative allo svolgimento delle funzioni oggetto di trasferimento, con modalità da definire mediante intese con lo stesso Dipartimento;

b) l'Agenzia si avvale, altresì, di unità di personale appartenenti al Ministero dello sviluppo economico, all'Agenzia per l'Italia digitale, ad altre pubbliche amministrazioni e ad autorità indipendenti, per un periodo massimo di sei mesi, prorogabile una sola volta per un massimo di ulteriori sei mesi, messo a disposizione dell'Agenzia stessa su specifica richiesta e secondo modalità individuate mediante intese con le rispettive amministrazioni di appartenenza.

8-bis. Gli oneri derivanti dall'attuazione del comma 8 restano a carico dell'amministrazione di appartenenza.

9. Il regolamento di cui all'articolo 12, comma 1, prevede apposite modalità selettive per l'inquadramento, nella misura massima del 50 per cento della dotazione organica complessiva, del personale di cui al comma 8 e del personale di cui all'articolo 12, comma 2, lettera b), ove già appartenente alla pubblica amministrazione, nel contingente di personale addetto all'Agenzia di cui al medesimo articolo 12, che tengano conto delle mansioni svolte e degli incarichi ricoperti durante il periodo di servizio presso l'Agenzia, nonché delle competenze possedute e dei requisiti di professionalità ed esperienza richiesti per le specifiche posizioni. Gli inquadramenti conseguenti alle procedure selettive di cui al presente comma, relative al personale di cui al comma 8, decorrono allo scadere dei sei mesi o della relativa proroga e, comunque, non oltre il 30 giugno 2022.

9. Il regolamento di cui all'articolo 12, comma 1, prevede apposite modalità selettive per l'inquadramento, nella misura massima del 50 per cento della dotazione organica complessiva, del personale di cui al comma 8 del presente articolo e del personale di cui all'articolo 12, comma 2, lettera b), ove già appartenente alla pubblica amministrazione, nel contingente di personale addetto all'Agenzia di cui al medesimo articolo 12, che tengano conto delle mansioni svolte e degli incarichi ricoperti durante il periodo di servizio presso l'Agenzia, nonché delle competenze possedute e dei requisiti di professionalità ed esperienza richiesti per le specifiche posizioni. Il personale di cui al comma 8, lettera a), è inquadrato, a decorrere dal 1° gennaio 2022, nel ruolo di cui all'articolo 12, comma 2, lettera a), secondo le modalità definite dal regolamento di cui all'articolo 12, comma 1. Gli inquadramenti conseguenti alle procedure selettive di cui al presente comma, relative al personale di cui al comma 8, lettera b), decorrono allo scadere dei sei mesi o della relativa proroga e, comunque, non oltre il 30 giugno 2022.

10. L'Agenzia si avvale del patrocinio dell'Avvocatura dello Stato, ai sensi dell'articolo 1 del testo unico approvato con regio decreto 30 ottobre 1933, n. 1611.

10. Identico.

10-bis. In sede di prima applicazione del presente decreto:

a) la prima relazione di cui all'articolo 14, comma 1, è trasmessa entro il 30 novembre 2022;

b) entro il 31 ottobre 2022, il Presidente del Consiglio dei ministri trasmette alle Camere una relazione che dà conto dello stato di attuazione, al 30 settembre 2022, delle disposizioni di cui al presente decreto, anche al fine di formulare eventuali proposte in materia.

10-ter. I pareri delle Commissioni parlamentari competenti per materia e per i profili finanziari e del COPASIR previsti dal presente decreto sono resi entro il termine di trenta giorni dalla trasmissione dei relativi schemi di decreto, decorso il quale il Presidente del Consiglio dei ministri può comunque procedere all'adozione dei relativi provvedimenti.

Articolo 18.
(Disposizioni finanziarie)

Articolo 18.
(Disposizioni finanziarie)

1. Per l'attuazione degli articoli da 5 a 7 è istituito, nello stato di previsione del Ministero dell'economia e delle finanze, un apposito capitolo con una dotazione di 2.000.000 di euro per l'anno 2021, 41.000.000 di euro per l'anno 2022, 70.000.000 di euro per l'anno 2023, 84.000.000 di euro per l'anno 2024, 100.000.000 di euro per l'anno 2025, 110.000.000 di euro per l'anno 2026 e 122.000.000 di euro annui a decorrere dall'anno 2027.

1. Identico.

2. Agli oneri di cui al comma 1, si provvede mediante corrispondete riduzione dell'autorizzazione di spesa di cui all'articolo 1, comma 200, della legge 23 dicembre 2014, n. 190.

2. Agli oneri di cui al comma 1, si provvede mediante corrispondente riduzione del Fondo di cui all'articolo 1, comma 200, della legge 23 dicembre 2014, n. 190.

3. Le risorse iscritte sui bilanci delle amministrazioni interessate, correlate alle funzioni ridefinite ai sensi del presente decreto a decorrere dall'entrata in servizio dell'Agenzia di cui all'articolo 5, sono accertate, anche in conto residui, con decreto del Ministro dell'economia e delle finanze, di concerto con i Ministri responsabili, e portate ad incremento del Fondo di cui all'articolo 1, comma 200, della legge 23 dicembre 2014, n. 190, anche mediante versamento all'entrata del bilancio dello Stato e successiva riassegnazione in spesa.

3. Le risorse iscritte sui bilanci delle amministrazioni interessate, correlate alle funzioni ridefinite ai sensi del presente decreto a decorrere dall'inizio del funzionamento dell'Agenzia di cui all'articolo 5, sono accertate, anche in conto residui, con decreto del Ministro dell'economia e delle finanze, di concerto con i Ministri responsabili, e portate ad incremento del Fondo di cui all'articolo 1, comma 200, della legge 23 dicembre 2014, n. 190, anche mediante versamento all'entrata del bilancio dello Stato e successiva riassegnazione alla spesa.

4. I proventi di cui all'articolo 11, comma 2, sono versati all'entrata del bilancio dello Stato, per essere riassegnati al capitolo di cui al comma 1.

4. I proventi di cui all'articolo 11, comma 2, sono versati all'entrata del bilancio dello Stato, per essere riassegnati al capitolo di cui al comma 1 del presente articolo.

5. Ai fini dell'immediata attuazione delle disposizioni del presente decreto il Ministro dell'economia e delle finanze è autorizzato ad apportare, con propri decreti, anche in conto residui, le occorrenti variazioni di bilancio per l'attuazione del presente decreto.

5. Ai fini dell'immediata attuazione delle disposizioni del presente decreto il Ministro dell'economia e delle finanze è autorizzato ad apportare, con propri decreti, anche in conto residui, le occorrenti variazioni di bilancio.

Articolo 19.
(Entrata in vigore)

1. Il presente decreto entra in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana e sarà presentato alle Camere per la conversione in legge.

Il presente decreto, munito del sigillo dello Stato, sarà inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. È fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.

Dato a Roma, addì 14 giugno 2021

MATTARELLA

Draghi, Presidente del Consiglio dei ministri

Visto, il Guardasigilli: Cartabia

torna su