CAMERA DEI DEPUTATI
Mercoledì 2 ottobre 2019
247.
XVIII LEGISLATURA
BOLLETTINO
DELLE GIUNTE E DELLE COMMISSIONI PARLAMENTARI
Comitato per la legislazione
COMUNICATO
Pag. 3

ESAME AI SENSI DELL'ARTICOLO 96-BIS, COMMA 1, DEL REGOLAMENTO

  Mercoledì 2 ottobre 2019. — Presidenza del presidente Paolo RUSSO.

  La seduta comincia alle 13.

Conversione in legge del decreto-legge 21 settembre 2019, n. 105, recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica. C. 2100 Governo.
(Parere alle Commissioni riunite I e IX).
(Esame e conclusione – Parere con osservazioni e raccomandazioni).

  Il Comitato inizia l'esame del provvedimento.

  Stefano CECCANTI, relatore, dopo aver illustrato sinteticamente i contenuti del provvedimento, formula la seguente proposta di parere:

  «Il Comitato per la legislazione,
   esaminato il disegno di legge n. 2100 e rilevato che:

  sotto il profilo della specificità, dell'omogeneità e dei limiti di contenuto previsti dalla legislazione vigente:
   il decreto-legge, composto da 7 articoli, per un totale di 33 commi, appare caratterizzato dalla ratio unitaria dell'individuazione di un perimetro di amministrazioni pubbliche e operatori pubblici e privati per i quali definire specifiche misure di sicurezza contro eventuali attacchi informatici, anche in relazione all'utilizzo della rete 5G;
   con riferimento al rispetto del requisito dell'immediata applicabilità delle norme contenute nei decreti-legge, di cui all'articolo 15, comma 3, della legge n. 400 del 1988, si segnala che 6 dei 33 commi rinviano a provvedimenti successivi; per ulteriori due commi l'entrata in vigore delle disposizioni ivi previste è subordinata all'entrata in vigore di alcuni dei provvedimenti successivi contemplati; si deve anche segnalare il carattere rilevante, alla luce della ratio del provvedimento, delle misure affidate a successivi provvedimenti: in particolare, i commi da 2 a 5 dell'articolo 1 affidano a DPCM sia l'individuazione delle amministrazioni pubbliche e degli operatori pubblici e privati per i quali prevedere speciali misure di sicurezza cibernetica sia l'individuazione di tali misure;Pag. 4
   merita anche rilevare la stratificazione legislativa della materia, che rischia di risolversi in un aumento della complessità normativa: in materia sono infatti intervenuti, da ultimo, sia il decreto-legge n. 22 del 2019 sia il decreto-legge n. 64 del 2019; quest'ultimo è quindi decaduto per mancata conversione il 9 settembre 2019; tuttavia, in attuazione di tale ultimo decreto-legge, il Consiglio dei ministri, nella riunione del 5 settembre 2019, ha deliberato l'esercizio di poteri speciali, rendendo quindi necessario regolare gli effetti giuridici prodotti dal decreto non convertito; in tal senso si è intervenuti con una disposizione inserita nel disegno di legge di conversione del decreto-legge n. 75/2019 che prevede, appunto, una sanatoria degli effetti prodotti dal decreto-legge n. 64;

  sotto il profilo della semplicità, chiarezza e proprietà della formulazione:
   il comma 12 dell'articolo 1 prevede che “le autorità competenti per l'accertamento delle violazioni e per l'irrogazione delle sanzioni” siano la Presidenza del Consiglio dei ministri per le amministrazioni pubbliche e per gli operatori nazionali pubblici e privati e il Ministero dello sviluppo economico per i soggetti privati; al riguardo andrebbe però specificato che si fa riferimento alle sanzioni amministrative di cui ai commi 9 e 10 e non già anche all'ipotesi di delitto di cui al comma 11, il cui accertamento compete all'autorità giudiziaria;
   al comma 4 dell'articolo 2 andrebbe chiarito se nel limite di 4 unità (vale a dire il 40 per cento delle 10 unità di personale previste al comma 3) rientrino anche gli esperti o consulenti o solo le unità di personale non dirigenziale appartenente alle pubbliche amministrazioni;

  sotto il profilo dell'efficacia del testo per la semplificazione e il riordinamento della legislazione vigente:
   come già si è accennato i commi da 2 a 5 dell'articolo 1 attribuiscono a DPCM, adottati su proposta del Comitato interministeriale per la sicurezza della Repubblica (CISR), sia l'individuazione delle amministrazioni pubbliche e degli operatori pubblici e privati per i quali prevedere speciali misure di sicurezza cibernetica sia l'individuazione di tali misure; in proposito il Comitato non può però che ribadire, in coerenza con precedenti pareri, che il DPCM risulta allo stato, nell'ordinamento, un atto atipico; pertanto un suo frequente utilizzo in materie rilevanti rischia di tradursi in un impiego non corretto delle fonti del diritto; al riguardo – e ferma restando l'esigenza di una riflessione generale sullo strumento del DPCM – si ricorda altresì che, in materia analoga, l'articolo 43 della legge n. 124/2007, istitutiva del Sistema di informazione per la sicurezza della Repubblica, dispone che, salvo ove sia diversamente previsto, le disposizioni regolamentari attuative della legge sono adottate con DPCM (a tal fine la norma prevede una deroga esplicita all'articolo 17 della legge n. 400/1988), previo parere del CISR e del Comitato parlamentare per la sicurezza della Repubblica; mutuare, con i necessari adattamenti, tale procedura per il caso in commento potrebbe quindi contribuire ad aumentare la coerenza delle norme con l'ordinamento vigente;
   il comma 11 dell'articolo 1 interviene tra le altre cose in materia di responsabilità dell'ente privato per l'ipotesi di delitto prevista dal medesimo comma (ostacolo a procedimenti connessi alla definizione del perimetro di sicurezza cibernetica); al riguardo, si osserva che tale previsione dovrebbe trovare più opportuna collocazione all'interno del decreto legislativo n. 231 del 2001 recante disciplina della responsabilità amministrativa delle persone giuridiche;
   il provvedimento non è corredato della relazione sull'analisi tecnico-normativa (ATN); esso, in quanto recante disposizioni direttamente incidenti su interessi fondamentali in materia di sicurezza interna ed esterna dello Stato, è poi esente dalla relazione sull'analisi di impatto della Pag. 5regolamentazione (AIR), ai sensi dell'articolo 6 del regolamento in materia di AIR di cui al DPCM n. 169 del 2017;
   formula, per la conformità ai parametri stabiliti dagli articoli 16-bis e 96-bis del Regolamento, le seguenti osservazioni:

  sotto il profilo della semplicità, chiarezza e proprietà della formulazione:
   valutino le Commissioni di merito, per le ragioni esposte in premessa, l'opportunità:
    di aggiungere, all'articolo 1, comma 12, dopo le parole: “l'accertamento delle violazioni” le seguenti: “di cui ai commi 9 e 10” e dopo le parole: “l'irrogazione delle sanzioni” aggiungere le seguenti: “previste dai medesimi commi”;
    di approfondire la formulazione dell'articolo 2, comma 4;

  sotto il profilo dell'efficacia del testo per la semplificazione e il riordinamento della legislazione vigente:
   valutino le Commissioni di merito, per le ragioni esposte in premessa, l'opportunità di:
    all'articolo 1, comma 2, sostituire le parole da: “con decreto” fino alla fine dell'alinea con le seguenti: “in deroga all'articolo 17 della legge 23 agosto 1988, n. 400, con decreto del Presidente del Consiglio dei ministri di natura regolamentare, adottato su proposta del Comitato interministeriale per la sicurezza della Repubblica e previo parere del Comitato parlamentare per la sicurezza della Repubblica”;
    all'articolo 1, comma 3, sostituire le parole da: “con decreto” fino alla fine dell'alinea con le seguenti: “in deroga all'articolo 17 della legge 23 agosto 1988, n. 400, con decreto del Presidente del Consiglio dei ministri di natura regolamentare, che ne disciplina altresì i relativi termini e modalità attuative, adottato su proposta del Comitato interministeriale per la sicurezza della Repubblica e previo parere del Comitato parlamentare per la sicurezza della Repubblica”;
    collocare la previsione contenuta all'articolo 1, comma 11, e relativa alla responsabilità dell'ente per il delitto previsto dal medesimo comma 11 all'interno del decreto legislativo n. 231 del 2001 recante disciplina della responsabilità amministrativa delle persone giuridiche.

  Il Comitato formula altresì le seguenti raccomandazioni:
   abbia cura il Legislatore di evitare la successione di interventi su una medesima materia in un arco eccessivamente ristretto di tempo, fattispecie che rischia di determinare un'eccessiva stratificazione normativa e un aumento della complessità del sistema normativo;
   provveda il Legislatore ad avviare una riflessione sullo strumento del decreto del Presidente del Consiglio dei ministri, che allo stato rappresenta ancora – nonostante il suo frequente utilizzo nell'ordinamento – una fonte atipica, anche prendendo in considerazione l'ipotesi di un'integrazione, a tal fine, del contenuto della legge n. 400 del 1988.».

  Il Comitato approva la proposta di parere.

  La seduta termina alle 13.10.