Dopo il comma 3 aggiungere i seguenti:

  3-bis. Al fine di garantire adeguata tutela e protezione dai rischi di accesso abusivo ai dati contenuti in sistemi informatici delle pubbliche amministrazioni, per l'accesso alle banche di dati pubbliche da parte di addetti tecnici e di soggetti incaricati del trattamento dei dati in esse contenuti è richiesto l'utilizzo di specifici sistemi di autenticazione informatica, consistenti nell'uso combinato di almeno due differenti tecnologie di autenticazione, una delle quali sia basata sull'elaborazione di caratteristiche biometriche.
  3-ter. Ai fini del comma 3-bis, si intendono per «addetti tecnici» gli operatori tecnici aventi funzioni di amministratori di sistema, di rete o di archivio di dati.
  3-quater. Limitatamente ai casi di interventi indifferibili relativi a malfunzionamenti, guasti, installazione di hardware e software, aggiornamento e riconfigurazione dei sistemi, che determinino la necessità di accesso ai sistemi informatici di cui al comma 3-bis, l'accesso alle banche di dati pubbliche da parte dei soggetti di cui al comma 3-ter è consentito anche senza l'utilizzo di due differenti tecnologie di autenticazione o di una tecnologia di autenticazione biometrica, in deroga alle disposizioni del comma 3-bis, per le operazioni che richiedono la presenza fisica dell'addetto che procede all'intervento in prossimità del sistema di elaborazione.
  3-quinquies. Fatti salvi gli obblighi in materia di credenziali di cui al decreto legislativo 18 maggio 2018, n. 51, gli accessi di cui al comma 3-quater sono annotati in un apposito registro unitamente alle motivazioni che li hanno determinati e alla descrizione sintetica delle operazioni svolte, anche mediante l'utilizzo di apparecchiature elettroniche. Il registro degli accessi di cui al primo periodo è detenuto dal soggetto o dall'ente titolare della banca di dati, che lo aggiorna periodicamente, lo custodisce presso le sedi di elaborazione e lo mette a disposizione delle autorità, su richiesta, nel caso di ispezioni o controlli, unitamente all'elenco nominativo dei soggetti abilitati all'accesso ai sistemi di elaborazione titolari delle funzioni di cui al comma 3-ter.
  3-sexies. Le pubbliche amministrazioni adottano le misure di cui ai commi 3-bis e 3-quinquies del presente articolo entro dodici mesi dalla data di entrata in vigore della presente legge. All'attuazione delle disposizioni del presente articolo si provvede con le risorse umane, finanziarie e strumentali disponibili a legislazione vigente.

  Conseguentemente, alla rubrica, sostituire le parole: . Referente per la cybersicurezza con le seguenti: , referente per la cybersicurezza e rafforzamento della sicurezza delle modalità di accesso a banche di dati pubbliche.