Aquí está el borrador del decreto ley sobre ciberseguridad con el establecimiento de la Agencia Nacional de Ciberseguridad (Acn)
El establecimiento de la Agencia Nacional de Ciberseguridad (Acn) está listo después de que el gobierno de Draghi destruyera el proyecto del ex primer ministro Giuseppe Conte de la agencia interna Dis que había sido diseñado por el ex número uno de Dis, Gennaro Vecchione , torpedeado por el gobierno de Draghi. quien nombró a Elisabetta Belloni .
Aquí están todos los detalles sobre el esquema de ciberdecreto-ley con el establecimiento de la Agencia Nacional de Ciberseguridad (Acn).
El gobierno acelera sobre la Agencia Nacional de Ciberseguridad (Acn), organismo público con autonomía regulatoria, administrativa, patrimonial, organizativa, prevista en el borrador de 19 artículos, incompletos y sujetos a cambios, del decreto ley de Ciberseguridad que debe llegar al Consejo. de ministros.
Dada "la vulnerabilidad de las redes, sistemas de información, servicios informáticos y comunicaciones electrónicas de entidades públicas y privadas que pueden ser explotadas con el fin de provocar el mal funcionamiento total o parcial o la interrupción de funciones esenciales del Estado y servicios esenciales para el mantenimiento de la , actividades sociales o económicas fundamentales para los intereses del Estado ", el gobierno quiere redefinir la arquitectura de ciberseguridad italiana también previendo el establecimiento de una agencia especial para" adaptarla a la evolución tecnológica, al contexto de amenaza del ciberespacio, así como al marco normativo europeo, y tener que vincular, también, también para proteger la unidad jurídica del ordenamiento jurídico, las disposiciones sobre seguridad de redes, sistemas de información, servicios informáticos y comunicaciones electrónicas ”.
Además del Acn, el decreto establece, en el Palazzo Chigi, un comité interministerial de ciberseguridad (Cics) "con las funciones de consultar, proponer y deliberar sobre políticas de ciberseguridad, también con el propósito de proteger la seguridad nacional en el ciberespacio ".
La disposición también prevé la contratación de personal ad hoc, incluso aquellos que no provengan de la administración pública. El núcleo de ciberseguridad, instalado en la ACN, una especie de primera línea que asegura el apoyo al primer ministro en caso de crisis, está compuesto por el asesor militar del primer ministro, un representante, respectivamente, del Dis, la Aise, la Aisi y cada uno de los ministerios representados en el comité interministerial para la seguridad de la república (Cisr), así como un representante del ministerio de la universidad, el ministro delegado para la innovación tecnológica y transición digital, y un representante de la departamento de protección civil del Palazzo Chigi.
El Presidente del Consejo de Ministros tiene asignado exclusivamente: la alta dirección y la responsabilidad general de las políticas de ciberseguridad, también con el propósito de proteger la seguridad nacional en el ciberespacio; la adopción de la estrategia nacional de ciberseguridad, previa consulta al comité interministerial de ciberseguridad (Cics); el nombramiento y cese del Director General y Subdirector General de la Agencia Nacional de Ciberseguridad.
El Presidente del Consejo de Ministros, previa consulta a la Cics, emite las directivas de ciberseguridad y emite todas las disposiciones necesarias para la organización y funcionamiento de la Agencia Nacional de Ciberseguridad. La propuesta de la Agencia de Ciberseguridad fue entregada en las últimas horas a Copasir, llamada a opinar sobre el texto.
+++
ESQUEMA DE UN DECRETO-LEY QUE CONTIENE DISPOSICIONES URGENTES EN EL ÁMBITO DE LA CIBER SEGURIDAD, DEFINICIÓN DE LA ARQUITECTURA NACIONAL DE CIBERSEGURIDAD Y ESTABLECIMIENTO DE LA AGENCIA NACIONAL DE CIBERSEGURIDAD.
EL PRESIDENTE DE LA REPÚBLICA
VISTOS los artículos 77 y 87 de la Constitución;
DADA la ley del 23 de agosto de 1988, n. 400, que contiene la disciplina de la actividad del Gobierno y el orden de la Presidencia del Consejo de Ministros;
CONSIDERANDO que las vulnerabilidades de las redes, sistemas de información, servicios informáticos y comunicaciones electrónicas de entidades públicas y privadas pueden ser explotadas con el fin de provocar el mal funcionamiento total o parcial o la interrupción de funciones esenciales del Estado y servicios esenciales para el mantenimiento de la civil, actividades sociales o económicas imprescindibles para los intereses del Estado, así como los servicios de utilidad pública, con repercusiones potencialmente graves para los ciudadanos, las empresas y las administraciones públicas, hasta el punto de causar perjuicio a la seguridad nacional;
CONSIDERANDO la extraordinaria necesidad y urgencia, en el marco regulatorio actual y de cara a la implantación en curso de importantes y estratégicas infraestructuras tecnológicas, también en relación a los recientes ataques a las redes de países europeos y importantes socios internacionales capaces de efectos determinantes, incluyendo de de carácter sistémico y que subrayan aún más cómo el dominio cibernético constituye un campo de comparación con las reflexiones sobre la seguridad nacional, para racionalizar las habilidades en esta área, para asegurar una coordinación más efectiva, para implementar medidas destinadas a hacer que el país sea más seguro y resiliente también en el dominio digital, disponer de las herramientas más adecuadas para la intervención inmediata que permitan afrontar las situaciones de emergencia que involucren perfiles de ciberseguridad con la máxima eficacia y rapidez;
CONSIDERANDO también la necesidad y urgencia de implementar el Plan Nacional de Recuperación y Resiliencia, aprobado por el Consejo de Ministros en la reunión del 29 de abril de 2021, que prevé proyectos específicos en el campo de la ciberseguridad, en particular para el establecimiento de una ciberseguridad nacional, como factor necesario para asegurar el desarrollo y crecimiento de la economía y la industria nacionales, colocando la ciberseguridad en la base de la transformación digital;
CONSIDERANDO, por tanto, que es necesario intervenir urgentemente para redefinir la arquitectura de ciberseguridad italiana, previendo también el establecimiento de una Agencia Nacional de Ciberseguridad específica, para adaptarla a la evolución tecnológica, al contexto de amenazas provenientes del ciberespacio, así como al marco regulador europeo, y tener que vincular, también, también para proteger la unidad jurídica del ordenamiento jurídico, las disposiciones sobre seguridad de redes, sistemas de información, servicios informáticos y comunicaciones electrónicas;
DADO el acuerdo del Consejo de Ministros, adoptado en la reunión de ……. 2021; A propuesta del Presidente del Consejo de Ministros;
Emite el siguiente decreto-ley:
Art. I (Definiciones)
1. Para los efectos de este decreto, se aplican las siguientes definiciones:
a) ciberseguridad, el conjunto de actividades necesarias para proteger y asegurar la disponibilidad, confidencialidad e integridad de las redes; sistemas de información, servicios informáticos y comunicaciones electrónicas frente a ciberamenazas, garantizando también su resiliencia;
b) decreto-ley de perímetro, el decreto-ley de 21 de septiembre de 2019, n. 105, convertido, con modificaciones, por ley 18 de noviembre de 2019, n. 133, que contiene disposiciones urgentes sobre el perímetro de la ciberseguridad nacional y la regulación de competencias especiales en sectores de importancia estratégica;
c) decreto legislativo NlS, el decreto legislativo 18 de mayo de 2018, n. 65, por la que se aplica la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas para un alto nivel común de seguridad de las redes y los sistemas de información en la Unión;
d) CISR, el Comité Interministerial para la Seguridad de la República a que se refiere el artículo 5 de la Ley núm. 124;
e) DIS, el Departamento de Información de Seguridad a que se refiere el artículo 4 de la Ley n. 124 de 2007;
j) AlSE, la agencia externa de información y seguridad a que se refiere el artículo 6 de la ley núm. 124 de 2007; g) AISI, la agencia de información y seguridad interna a que se refiere el artículo 7 de la ley núm. 124 de 2007; h) COPASIR, la Comisión Parlamentaria para la seguridad de la República a que se refiere el artículo 30 de la Ley núm. 124 de 2007; i) estrategia nacional de ciberseguridad, la estrategia a la que se refiere el artículo 6 del decreto legislativo del NJS.
Art. 2 (Atribuciones del Presidente del Consejo de Ministros)
1. El Presidente del Consejo de Ministros tiene atribuciones exclusivas:
a) la alta dirección y la responsabilidad general de las políticas de seguridad cibernética, incluso con el fin de proteger la seguridad nacional en el ciberespacio;
b) la adopción de la estrategia nacional de ciberseguridad, previa consulta al Comité Interministerial de Ciberseguridad (CICS) a que se refiere el artículo 4;
c) El nombramiento y cese del Director General y Subdirector General de la Agencia Nacional de Ciberseguridad a que se refiere el artículo 5.
2. A los efectos del ejercicio de las competencias a que se refiere la letra a) y la implementación de la estrategia nacional de ciberseguridad, el Presidente del Consejo de Ministros, previa consulta a la CICS, emite las directivas de ciberseguridad y emite las disposiciones necesarias para la organización y funcionamiento. de la Agencia Nacional de Ciberseguridad.
Art. 3 (autoridad delegada)
1. El Presidente del Consejo de Ministros, cuando lo considere apropiado, podrá delegar en la autoridad delegada a que se refiere el artículo 3 de la ley núm. 124 de 2007, cuando se establezcan, las funciones a que se refiere este decreto que no le sean atribuidas exclusivamente.
2. El Presidente del Consejo de Ministros es constantemente informado por la Autoridad delegada sobre los procedimientos para el ejercicio de las funciones delegadas en virtud de este decreto y, sin perjuicio de la potestad directiva, podrá en cualquier momento invocar el ejercicio de todas o algunas de las ellos.
3. La Autoridad Delegada, en relación con las funciones delegadas en virtud de este decreto, participa en las reuniones del Comité Interministerial para la transición digital a que se refiere el artículo 8 del decreto-ley 1 de marzo de 2021, n. 22, convertido, con modificaciones, por ley 22 de abril de 2021, n. 55. 2 borrador 08/06/2021
Art. 4 (Comité Interministerial de Ciberseguridad)
1. El Comité Interministerial de Ciberseguridad (CICS) se constituye en la Presidencia del Consejo de Ministros, con las funciones de asesorar, proponer y deliberar sobre políticas de ciberseguridad, también con el propósito de proteger la seguridad nacional en el ciberespacio.
2. El Comité:
a) propone al presidente del Consejo de Ministros las orientaciones generales a seguir en el marco de las políticas nacionales de ciberseguridad;
b) realiza una alta vigilancia sobre la implementación de la estrategia nacional de ciberseguridad;
c) promueve la adopción de las iniciativas necesarias para fomentar la colaboración efectiva, a nivel nacional e internacional, entre sujetos institucionales y operadores privados interesados en la ciberseguridad, así como para el intercambio de información y para la adopción de mejores prácticas y medidas dirigidas a la objetivo de la ciberseguridad y el desarrollo industrial, tecnológico y científico en el campo de la ciberseguridad;
d) delibera y se pronuncia sobre el presupuesto y los balances finales de la Agencia Nacional de Ciberseguridad.
3. El Comité está presidido por el Presidente del Consejo de Ministros y está integrado por la Autoridad delegada, en su caso, el Ministro de Relaciones Exteriores y Cooperación Internacional, el Ministro del Interior, el Ministro de Justicia, el Ministro de Defensa, el Ministro de Economía y Finanzas, el Ministro de Desarrollo Económico, el Ministro de Transición Ecológica, el Ministro de Universidad e Investigación y el Ministro Delegado de Innovación Tecnológica y Transición Digital
4. El Director General de la Agencia desempeña las funciones de Secretario del Comité.
5. El Presidente del Consejo de Ministros podrá convocar a otros miembros del Consejo de Ministros, al director general del DIS, al director de la AISE, al director a participar en las reuniones del Comité, también a solicitud de éstos, sin derecho al voto. de la AISI, así como de otras autoridades civiles y militares cuya presencia se considere necesaria en cada momento en relación con los temas a tratar.
6. El Comité también cumple las funciones ya atribuidas a la CISR por el Decreto-Ley de perímetro y las medidas de ejecución conexas, con excepción de las previstas en el artículo 5 del mismo Decreto-Ley de perímetro.
Art. 5 (Agencia Nacional de Ciberseguridad)
1. Para proteger los intereses nacionales en el campo de la ciberseguridad, también con el fin de proteger la seguridad nacional en el ciberespacio, se crea la Agencia Nacional de Ciberseguridad (ACN), denominada a los efectos del presente decreto "Agencia", con sede en Roma.
2. La Agencia tiene personalidad jurídica de derecho público y está dotada de autonomía normativa, administrativa, patrimonial, organizativa, contable y financiera, dentro de los límites de lo dispuesto en este decreto. La normativa prevista en este decreto también podrá contener disposiciones en derogación a la normativa vigente, en relación con el desempeño de las funciones de protección de la seguridad nacional en el ciberespacio atribuido a la propia Agencia y teniendo en cuenta las actividades desarrolladas en conexión con el Sistema de Información para la seguridad de la República a que se refiere la ley núm. 124 de 2007.
3. El Presidente del Consejo de Ministros y la Autoridad Delegada, en su caso, hacen uso de la Agencia para el ejercicio de las competencias a que se refiere el presente decreto.
4. La dirección general de la Agencia está a cargo de un alto directivo de la administración del Estado o equivalente, identificado entre personas de especial y probada cualificación profesional en el ámbito de la ciberseguridad y en posesión de una experiencia documentada de alto nivel en la gestión de procesos de innovación. . Los cargos de director general y director general adjunto tienen una duración máxima de cuatro años y son renovables, con medidas posteriores, por una duración total máxima de otros cuatro años. Según lo previsto en este decreto, el Director General de la Agencia es la persona de contacto directo del Presidente del Consejo de Ministros y de la Autoridad Delegada, cuando se establezca, y está jerárquica y funcionalmente superior al personal de la Agencia. El Director General es el representante legal de la Agencia.
5. La actividad de la Agencia está regulada por este decreto y por las disposiciones cuya adopción prevé el mismo.
6. La Agencia podrá solicitar, también en base a convenios específicos y en el cumplimiento de las áreas de especial competencia, la colaboración de otros órganos del Estado, otras administraciones, cuerpos policiales u organismos públicos para el desempeño de sus funciones institucionales.
Art. 6 (Organización de la Agencia Nacional de Ciberseguridad)
1. La organización y el funcionamiento de la Agencia están definidos por un reglamento específico que prevé, en particular, su división en oficinas de nivel de gestión general, así como en estructuras de nivel de gestión no general.
2. El Director General y la Junta de Auditores son órganos de la Agencia. El reglamento mencionado en el párrafo 1 también regula:
a) las funciones de Director General y Director General Adjunto de la Agencia;
b) la composición y funcionamiento de la Junta de Auditores;
c) el establecimiento de oficinas secundarias.
3. El reglamento a que se refiere el apartado 1 se aprueba, dentro de los ciento veinte días contados a partir de la fecha de entrada en vigor de la ley que convierte este decreto, por decreto del Presidente del Consejo de Ministros, también mediante derogación del artículo 17 de la ley de 23 de agosto de 1988, núm. 400, previa consulta a COPASIR, previa consulta a CICS.
Art. 7 (Funciones de la Agencia Nacional de Ciberseguridad)
1. La Agencia:
a) es la Autoridad Nacional de Ciberseguridad y, en relación con esta función, vela por el cumplimiento de las competencias que la legislación vigente atribuye a otras administraciones, la coordinación entre las entidades públicas implicadas en el ámbito de la ciberseguridad a nivel nacional y promueve la implantación de acciones municipales encaminadas a garantizar la ciberseguridad y la resiliencia para el desarrollo de la digitalización del país, el sistema productivo y las administraciones públicas, así como para la consecución de la autonomía, nacional y europea, en cuanto a productos y procesos informáticos de importancia estratégica para protección de los intereses nacionales en el sector. Para redes, sistemas de información y servicios de TI relacionados con la gestión de información clasificada, las disposiciones del reglamento adoptado de conformidad con el artículo 4, párrafo 3, letra I), de la ley núm. 124 de 2007, así como las responsabilidades de la Oficina Central para el secreto a que se refiere el artículo 9 de la Ley núm. 124 de 2007;
b) prepara la estrategia nacional de ciberseguridad;
c) realiza todas las actividades de apoyo necesarias para el funcionamiento de la Unidad de Ciberseguridad, a que se refiere el artículo 8 de este decreto;
d) es la autoridad nacional competente y punto de contacto único para la seguridad de las redes y sistemas de información, para los fines a que se refiere el decreto legislativo NIS, para proteger la unidad jurídica del sistema legal, y es competente para determinar las violaciones y para la imposición de las sanciones administrativas previstas en el mismo decreto;
e) es la Autoridad Nacional de Certificación de Ciberseguridad de conformidad con el artículo 58 del Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo de 17 de abril de 2019, y asume todas las tareas relativas a la certificación de ciberseguridad ya asignadas al Ministerio de Economía. La evolución de la legislación vigente, incluidas las relativas a la constatación de violaciones y la imposición de sanciones;
f) asume todas las tareas de ciberseguridad ya asignadas por las disposiciones vigentes al Ministerio de Desarrollo Económico, incluidas las relativas a:
1) el perímetro de la ciberseguridad nacional, a que se refiere el decreto-ley de perímetro y las medidas de ejecución conexas, incluidas las funciones atribuidas al Centro Nacional de Evaluación y Certificación de conformidad con el decreto-ley de perímetro, las actividades de inspección y verificación a que se refiere el artículo 1 , apartado 6, letra e), del decreto-ley de perímetro y los relativos a la constatación de las infracciones y la imposición de las sanciones administrativas previstas en el mismo decreto, sin perjuicio de las referidas en el artículo 3 del reglamento adoptado mediante decreto. del Presidente del Consejo de Ministros n. 131 de 2020;
2) la seguridad e integridad de las comunicaciones electrónicas, según los artículos 16-bis y 16-ter del decreto legislativo del 1 de agosto de 2003, n. 259 y disposiciones de ejecución relacionadas;
3) la seguridad de las redes y sistemas de información, según el decreto legislativo NlS;
g) participa, para las áreas de competencia, en el grupo de coordinación establecido de conformidad con los reglamentos a que se refiere el artículo 1, párrafo 8, del decreto-ley de 15 de marzo de 2012, n. 21, convertido, con modificaciones, por ley 11 de mayo de 2012, n. 56;
h) Asume todas las tareas ya asignadas a la Presidencia del Consejo de Ministros en relación con el perímetro nacional de ciberseguridad, de acuerdo con el decreto-ley de perímetro y las medidas de ejecución relacionadas, incluidas las actividades de inspección y verificación a que se refiere el artículo 1, párrafo 6. , letra e), del decreto-ley de perímetro y los relativos a la constatación de las infracciones y la imposición de las sanciones administrativas previstas en el mismo decreto, sin perjuicio de los a que se refiere el artículo 3 del reglamento adoptado por decreto de la Presidencia. del Consejo de Ministros n. 131 de 2020;
i) asume todas las tareas ya asignadas al DIS por el decreto-ley de perímetro y las medidas de ejecución conexas y apoya al presidente del Consejo de Ministros para los efectos del artículo 1, párrafo 19-bis, del decreto-ley de perímetro;
l) sobre la base de las actividades que sean de la competencia de la Unidad de Ciberseguridad a que se refiere el artículo 8 de este decreto, establecer las actividades necesarias para la implementación y control de la ejecución de las medidas adoptadas por el Presidente del Consejo de Ministros. de conformidad con el artículo 5 del decreto-ley de perímetro;
m) asume todas las tareas relacionadas con la ciberseguridad ya asignadas a la Agencia para la Italia Digital por las disposiciones vigentes y, en particular, las mencionadas en el artículo 51 del Decreto Legislativo n. 82, así como sobre la adopción de lineamientos que contengan normas técnicas de ciberseguridad de conformidad con el artículo 71 del mismo decreto legislativo. La Agencia también asume las funciones a que se refiere el artículo 33-septies, párrafo 4, del decreto ley núm. 179, convertido, con modificaciones, por ley 17 de diciembre de 2012, n. 221, ya atribuido a la Agencia para la Italia Digital;
n) desarrolla capacidades nacionales de prevención, monitoreo, detección, análisis y respuesta, para prevenir y gestionar incidentes de seguridad de TI y ataques de TI, también a través del CSJRT Italia mencionado en el artículo 8 del decreto legislativo NlS;
o) participar en ejercicios nacionales e internacionales que se relacionen con la simulación de eventos cibernéticos con el fin de incrementar la resiliencia del país;
p) cuida y promueve la definición y mantenimiento de un marco legal nacional actualizado y coherente en el ámbito de la ciberseguridad, teniendo en cuenta también los lineamientos y desarrollos en el ámbito internacional. Con este fin, la Agencia emite opiniones no vinculantes sobre iniciativas legislativas o reglamentarias relativas a la ciberseguridad;
q) coordina, en conjunto con el Ministerio de Relaciones Exteriores y Cooperación Internacional, la cooperación internacional en el campo de la ciberseguridad. Dentro de la Unión Europea e internacionalmente, la Agencia se ocupa de las relaciones con los órganos, instituciones y entidades competentes, así como el seguimiento de las cuestiones de ciberseguridad en las oficinas institucionales competentes, excepto en los ámbitos en los que la ley asigna competencias específicas a otras administraciones. En tales casos, se asegura en todo caso el enlace con la Agencia para garantizar posiciones nacionales unificadas y coherentes con las políticas de ciberseguridad definidas por el Presidente del Consejo de Ministros;
r) persiguiendo objetivos de excelencia, apoya el desarrollo de habilidades y habilidades industriales, tecnológicas y científicas en las áreas de competencia, a través de la participación de la academia, la investigación y el sistema productivo nacional. A estos efectos, la Agencia puede promover, desarrollar y financiar proyectos e iniciativas específicas, también dirigidas a promover la transferencia tecnológica de los resultados de la investigación en el sector. La Agencia asegura las sinergias adecuadas con las demás administraciones a las que la ley atribuye competencias en el ámbito de la ciberseguridad; s) estipula acuerdos bilaterales y multilaterales, también a través de la participación del sector privado e industrial, con instituciones, organismos y organizaciones de otros países para la participación de Italia en programas de ciberseguridad, asegurando sinergias apropiadas con otras administraciones a las que la ley asigna experiencia en el campo de ciberseguridad;
t) promueve, apoya y coordina la participación italiana en proyectos e iniciativas de la Unión Europea e internacionales, también a través de la participación de entidades públicas y privadas nacionales, en el campo de la ciberseguridad y los servicios de aplicaciones relacionados. La Agencia asegura las sinergias adecuadas con las demás administraciones a las que la ley atribuye competencias en el ámbito de la ciberseguridad;
u) realiza actividades de comunicación y promoción de la conciencia en materia de ciberseguridad, con el fin de contribuir al desarrollo de una cultura nacional en la materia;
v) promueve la formación, el crecimiento técnico-profesional y la calificación de los recursos humanos en el campo de la ciberseguridad, también a través de la asignación de becas, doctorados y ayudas a la investigación, en base a convenios específicos con entidades públicas y privadas;
z) para los fines a que se refiere este artículo, podrá constituir y participar en sociedades público-privadas en el territorio nacional, así como, previa autorización del Presidente del Consejo de Ministros, en consorcios, fundaciones o empresas con sujetos públicos y privados, italianos y extranjeros.
aa) está designado como Centro Nacional de Coordinación de conformidad con el artículo 6 del Reglamento (UE) 2021/887 del Parlamento Europeo y del Consejo, de 20 de mayo de 2021, por el que se crea el Centro Europeo de Competencia en Ciberseguridad en el ámbito industrial, tecnológico y de investigación y la red de centros nacionales de coordinación.
2. En el marco de la Agencia, el representante nacional y su adjunto son nombrados, por decreto del presidente del Consejo de Ministros, al Consejo de Gobierno del Centro Europeo de Competencia en Ciberseguridad en el Sector Industrial, Tecnológico y de Investigación. , de conformidad con el artículo 12 del Reglamento (UE) 2021/887.
3. El CSIRT italiano mencionado en el artículo 8 del decreto legislativo NIS se transfiere a la Agencia y toma el nombre de: "CSIRT Italia"
4. El Centro Nacional de Evaluación y Certificación, creado en el Ministerio de Desarrollo Económico, se transfiere a la Agencia.
5. En cumplimiento de las competencias del Garante para la protección de datos personales, la Agencia, para los fines a que se refiere este decreto, consulta al Garante y colabora con él, también en relación con accidentes que involucren violaciones de datos personales. La Agencia y el Garante pueden estipular protocolos específicos de intención que también definen los métodos de su colaboración.
Art. 8 (Núcleo para la ciberseguridad)
1. El Núcleo de Ciberseguridad está implantado de forma permanente en la Agencia, en apoyo del Presidente del Consejo de Ministros en materia de ciberseguridad, para los aspectos relacionados con la prevención y preparación ante situaciones de crisis y para los procedimientos de alerta de activación.
2. El Núcleo de Ciberseguridad está presidido por el Director General de la Agencia o por el Director General Adjunto designado por él y está integrado por el Asesor Militar del Presidente del Consejo de Ministros, representante, respectivamente, del DIS, AISE, 'AISI, de cada uno de los Ministerios representados en el Comité a que se refiere el artículo 5 de la Ley núm. 124 de 2007, del Ministerio de Universidad e Investigación, del Ministro delegado para Innovación Tecnológica y Transición Digital, del Departamento de Protección Civil de la Presidencia del Consejo de Ministros. Para los aspectos relacionados con el manejo de información clasificada, la Unidad se complementa con un representante de la Oficina Central para el secreto a que se refiere el artículo 9 de la Ley núm. 124 de 2007.
3. Los miembros podrán ser asistidos en las reuniones por otros representantes de sus respectivas administraciones en relación con los asuntos que se traten. En base a los temas de las reuniones, también podrán ser convocados a participar representantes de otras administraciones, universidades o organismos e institutos de investigación, así como operadores privados interesados en el tema de la ciberseguridad.
4. El Núcleo podrá ser convocado en composición restringida con la participación de los representantes de las administraciones y las partes interesadas únicamente, también en relación con las tareas de gestión de crisis a que se refiere el artículo 10.
Art. 9 (Funciones de la Unidad de Ciberseguridad)
1. A los efectos a que se refiere el artículo 8, la Unidad de Ciberseguridad realiza las siguientes tareas:
a) podrá formular propuestas de iniciativas en el campo de la ciberseguridad del país, también en el marco del contexto internacional en la materia;
b) promueve, sobre la base de las directivas contempladas en el artículo 2, apartado 2, la programación y planificación operativa de la respuesta a situaciones de cibercrisis por parte de las administraciones y operadores privados interesados y el desarrollo de los procedimientos de coordinación interministerial necesarios, en relación con los planes de protección civil y protección civil, también en el marco de lo dispuesto en el artículo 7-bis, párrafo 5, del decreto ley núm. 174 de 2015, convertido, con modificaciones, por ley n. 198 de 2015;
c) promueve y coordina la realización de ejercicios interministeriales, o la participación nacional en ejercicios internacionales de simulación de eventos cibernéticos para incrementar la resiliencia del país;
d) evalúa y promueve, junto con las administraciones competentes para perfiles específicos de ciberseguridad, los procedimientos de intercambio de información, incluso con operadores privados interesados, con el fin de difundir alertas relacionadas con ciberataques y para la gestión de crisis;
e) recibe, a través del CSIRT Italia, comunicaciones sobre casos de violaciones o intentos de vulneración de la seguridad o pérdida de integridad significativos para el correcto funcionamiento de las redes y servicios, de DIS, AISE y 'AISI, por parte de las fuerzas policiales y , en particular, por el órgano del Ministerio del Interior al que se refiere el artículo 7-bis del decreto ley núm. 144 de 2005, convertida, con modificaciones, por ley núm. 155 de 7 anteproyecto 08/06/2021 2005, por las estructuras del Ministerio de Defensa, así como por las demás administraciones que integran la Unidad y por los CERT establecidos de conformidad con la legislación vigente; j) recibe notificaciones de accidentes del CSIRT Italia de acuerdo con las disposiciones vigentes;
g) evalúa si los hechos a que se refieren las letras e) yj) asumen tales dimensiones, intensidad o naturaleza que no pueden ser tratados por las distintas Administraciones competentes de forma ordinaria, sino que requieren la toma de decisiones coordinadas en el ámbito interministerial. contexto, disponiendo en este caso informar sin demora al Presidente del Consejo de Ministros, oa la Autoridad delegada, en su caso, sobre la situación actual y sobre el desempeño de las actividades de conexión y coordinación a que se refiere el artículo 10, en la composición prevista en el mismo. .
Art.10 (Gestione delle crisi che coinvolgono aspetti di cybersicurezza)
1. Nelle situazioni di crisi che coinvolgono aspetti di cybersicurezza, nei casi in cui il Presidente del Consiglio dei ministri convochi il CISR in materia di gestione delle predette situazioni di crisi, alle sedute del Comitato sono chiamati a partecipare il Ministro delegato per l'innovazione tecnologica e la transizione digitale e il direttore generale dell'Agenzia.
2. Il Nucleo assicura il supporto al CISR e al Presidente del Consiglio dei ministri, nella materia della cybersicurezza, per gli aspetti relativi alla gestione di situazioni di crisi ai sensi del comma 1, nonché per l'esercizio dei poteri attribuiti al Presidente del Consiglio dei ministri, ivi comprese le attività istruttorie e le procedure di attivazione necessarie, ai sensi dell'articolo 5 del decreto-legge perimetro.
3. In situazioni di crisi di natura cibernetica il Nucleo è integrato, in ragione della necessità, con un rappresentante, rispettivamente, del Ministero della salute, del Ministero delle infrastrutture e della mobilità sostenibili, del Dipartimento dei Vigili del fuoco, del soccorso pubblico e della difesa civile, in rappresentanza anche della Commissione interministeriale tecnica di difesa civile, autorizzati ad assumere decisioni che impegnano la propria amministrazione. Alle riunioni i componenti possono farsi accompagnare da altri funzionari della propria amministrazione. Alle stesse riunioni possono essere chiamati a partecipare rappresentanti di altre amministrazioni, anche locali, ed enti, anche essi autorizzati ad assumere decisioni, e di altri soggetti pubblici o privati eventualmente interessati.
4. È compito del Nucleo, nella composizione per la gestione delle crisi, di cui al comma 3, assicurare che le attività di reazione e stabilizzazione di competenza delle diverse amministrazioni ed enti rispetto a situazioni di crisi di natura cibernetica, vengano espletate in maniera coordinata secondo quanto previsto dall'articolo 9, comma I, lettera b).
5. Il Nucleo, per l'espletamento delle proprie funzioni e fermo restando quanto previsto ai sensi dell'articolo 7-bis, comma 5, del decreto-legge n. 174 del 2015, convertito, con modificazioni, dalla legge n. 198 del 2015:
a) mantiene costantemente informato il Presidente del Consiglio dei ministri, ovvero l'Autorità delegata, ove istituita, sulla crisi in atto, predisponendo punti aggiornati di situazione;
b) assicura il coordinamento per l'attuazione a livello interministeriale delle determinazioni del Presidente del Consiglio dei ministri per il superamento della crisi;
c) raccoglie tutti i dati relativi alla crisi;
d) elabora rapporti e fornisce informazioni sulla crisi e li trasmette ai soggetti pubblici e privati interessati;
e) partecipa ai meccanismi europei di gestione delle crisi cibernetiche, assicurando altresì i collegamenti finalizzati alla gestione della crisi con gli omologhi organismi di altri Stati, della NATO, dell'UE o di organizzazioni internazionali di cui l'Italia fa parte.
Art.11 (Norme di contabilità e disposizioni finanziarie)
1. Al Presidente del Consiglio dei ministri è attribuita, in via esclusiva, la determinazione del fabbisogno annuo delle risorse finanziarie dell'Agenzia, di cui dà comunicazione al COPASIR. Nello stato di previsione della spesa del Ministero dell'economia e delle finanze è assegnato lo stanziamento annuale delle risorse finanziarie per l'Agenzia.
2. Le entrate dell'Agenzia sono costituite da:
a) dotazioni finanziarie e contributi ordinari di cui all 'articolo 18 del presente decreto;
b) corrispettivi per i servizi prestati a soggetti pubblici o privati;
c) proventi derivanti dallo sfruttamento della proprietà industriale, dei prodotti dell'ingegno e delle invenzioni dell'Agenzia;
d) altri proventi patrimoniali e di gestione;
e) contribuiti dell'Unione europea o di organismi internazionali, anche a seguito della partecipazione a specifici bandi, progetti e programmi di collaborazione;
f) proventi delle sanzioni ai sensi di quanto previsto dall'articolo 18, comma 3;
g) ogni altra eventuale entrata.
3. Il regolamento di contabilità dell'Agenzia, che ne assicura l'autonomia gestionale e contabile, è adottato con decreto del Presidente del Consiglio dei ministri, su proposta dal direttore generale dell'Agenzia, entro centoventi giorni dalla data di entrata in vigore della legge di conversione del presente decreto, anche in deroga alle norme di contabilità generale dello Stato, anche in deroga all'articolo 17 della legge 23 agosto 1988, n. 400, previo parere del COPASIR e sentito il CICS, previa verifica di regolarità contabile del Collegio dei revisori e nel rispetto dei princìpi fondamentali da esse stabiliti, nonché delle seguenti disposizioni:
a) il bilancio preventivo e il bilancio consuntivo adottati dal direttore generale dell'Agenzia sono approvati con decreto del Presidente del Consiglio dei ministri, previa deliberazione del CICS;
b) i bilanci preventivo e consuntivo sono inviati per il controllo della legittimità e regolarità della gestione, alla Corte dei conti. La Corte dei conti è competente per il controllo di legittimità su atti, ai sensi dell'articolo 3, comma 4, della legge 14 gennaio 1994, n. 20;
c) il consuntivo della gestione finanziaria è trasmesso, insieme con la relazione della Corte dei conti, al COPASIR.
4. Con regolamento adottato con decreto del Presidente del Consiglio dei ministri, su proposta del direttore generale dell'Agenzia, entro centoventi giorni dalla data di entrata in vigore della legge di conversione del presente decreto, anche in deroga all 'articolo 17 della legge 23 agosto 1988, n. 400, previo parere del COPASIR e sentito il CICS, sono definite le procedure per la stipula di contratti di appalti di lavori e forniture di beni e servizi per le attività dell'Agenzia finalizzate alla tutela della sicurezza nazionale nello spazio cibernetico e per quelle svolte in raccordo con il Sistema di informazione per la sicurezza della Repubblica di cui alla legge n. 124 del 2007, ferma restando la disciplina nel rispetto delle disposizioni dell'articolo 162 del codice dei contratti pubblici relativi a lavori, servizi e forniture, di cui al decreto legislativo 18 aprile 2016, n. 50.
Art.12 (Personale)
1. Con apposito regolamento è dettata, nel rispetto dei criteri di cui al presente decreto, la disciplina del contingente di personale addetto all'Agenzia. Il regolamento definisce l'ordinamento e il reclutamento del personale, e il relativo trattamento economico e previdenziale, prevedendo, in particolare, per il personale dell'Agenzia un trattamento economico pari a quello in godimento da parte dei dipendenti della Banca d'Italia, sulla scorta della equiparabilità delle funzioni svolte e del livello di responsabilità rivestito.
2. Il regolamento determina, nei limiti delle risorse finanziarie disponibili, in particolare:
a) l'istituzione di un ruolo del personale e la disciplina generale del rapporto d'impiego alle dipendenze dell'Agenzia;
b) la possibilità di procedere, oltre che ad assunzioni a tempo indeterminato attraverso modalità concorsuali, ad assunzioni a tempo determinato, con contratti di diritto privato, di soggetti in possesso di alta e particolare specializzazione debitamente documentata, individuati attraverso adeguate modalità selettive, per lo svolgimento di attività assolutamente necessarie all'operatività dell'Agenzia o per specifiche progettualità da portare a termine in un arco di tempo prefissato;
c) la possibilità di avvalersi di un contingente di esperti, non superiore a cinquanta unità, composto da personale in posizione di fuori ruolo, comando o altra analoga posizione, prevista dagli ordinamenti di appartenenza, proveniente da ministeri, da altre pubbliche amministrazioni, ovvero da personale non appartenente alla pubblica amministrazione, in possesso di specifica ed elevata competenza in materia di cybersicurezza e di tecnologie digitali innovative, nello sviluppo e gestione di processi complessi di trasformazione tecnologica e delle correlate iniziative di comunicazione e disseminazione, nonché di significativa esperienza in progetti di trasformazione digitale, ivi compreso lo sviluppo di programmi e piattaforme digitali con diffusione su larga scala. li regolamento, a tali fini, disciplina le modalità di formazione del contingente e il compenso spettante per ciascuna professionalità;
d) la determinazione della percentuale massima dei dipendenti che sarà possibile assumere [è stato previsto alla lettera e il limite di n. 50 unità];
e) la possibilità di impiegare personale del Ministero della difesa, secondo termini e modalità da definire con apposito decreto del Presidente del Consiglio dei ministri di natura non regolamentare;
f) le ipotesi di incompatibilità;
g) le modalità di svolgimento della carriera all'interno dell'Agenzia;
h) la disciplina e il procedimento per la definizione degli aspetti giuridici e, limitatamente ad eventuali compensi accessori, economici del rapporto di impiego del personale oggetto di negoziazione con le rappresentanze del personale;
i) le modalità applicative delle disposizioni del decreto legislativo 10 febbraio 2005, n. 30, recante il Codice della proprietà industriale, ai prodotti dell'ingegno ed alle invenzioni dei dipendenti dell'Agenzia;
l) i casi di cessazione dal servizio del personale assunto a tempo indeterminato ed i casi di anticipata risoluzione dei rapporti a tempo determinato.
3. Qualora le assunzioni di cui al comma 2, lettera b), riguardino professori universitari di ruolo o ricercatori universitari confermati si applicano le disposizioni di cui all'articolo 12 del decreto del Presidente della Repubblica 11 luglio 1980, n. 382, anche per quanto riguarda il collocamento in aspettativa.
4. In sede di prima applicazione delle disposizioni di cui al presente decreto, il numero di posti previsti dalla pianta organica dell'Agenzia è individuato nella misura complessiva di trecento unità. Il regolamento individua quali delle disposizioni ivi contenute possono essere oggetto di revisione per effetto della negoziazione con le rappresentanze del personale.
5. Con successivi decreti del Presidente del Consiglio dei ministri, la dotazione organica è rideterminata in quattrocentocinquanta unità nel 2024, in seicento unità nel 2025, in settecento unità nel 2026 e in ottocento unità nel 2027.
6. Le assunzioni effettuate in violazione dei divieti previsti dal presente decreto o dal regolamento sono nulle, ferma restando la responsabilità personale, patrimoniale e disciplinare di chi le ha disposte.
7. Fatto salvo quanto previsto dall'articolo 42 della legge n. 124 del 2007, il personale che presta comunque la propria opera alle dipendenze o in favore dell'Agenzia è tenuto, anche dopo la cessazione di tale attività, al rispetto del segreto su ciò di cui sia venuto a conoscenza nell'esercizio oa causa delle proprie funzioni.
8. Il regolamento di cui al presente articolo è adottato, entro centoventi giorni dalla data di conversione in legge del presente decreto, con decreto del Presidente del Consiglio dei ministri, anche in deroga all'articolo 17 della legge 23 agosto 1988, n. 400, previo parere del COPASIR e sentito il CICS.
Art.13 (Trattamento dei dati personali)
1. Il trattamento dei dati personali svolto per finalità di sicurezza nazionale in applicazione del presente decreto è effettuato ai sensi dell'articolo 58, commi 2 e 3, del decreto legislativo 30 giugno 2003 , n. 196.
Art. 14 (Relazioni annuali)
1. Entro il 30 aprile di ogni anno, il Presidente del Consiglio dei ministri trasmette al Parlamento una relazione sull'attività svolta dall'Agenzia nell'anno precedente, in materia di cybersicurezza nazionale.
2. Entro il 30 giugno di ogni anno, il Presidente del Consiglio dei ministri trasmette al COPASIR una relazione sulle attività svolte nell'anno precedente dall'Agenzia in raccordo con il Sistema di informazione per la sicurezza della Repubblica di cui alla legge n. 124 del 2007, nonché in relazione agli ambiti di attività dell'Agenzia sottoposti al controllo del Comitato ai sensi del presente decreto.
Art. 15 (Modificazioni al decreto legislativo NIS)
1. Al decreto legislativo NIS, sono apportate le seguenti modificazioni:
a) all'articolo 3, lettera a), le parole da: “autorità competente NIS” a: “per settore,” sono sostituite dalle seguenti: “autorità nazionale competente NIS, l'autorità nazionale unica, competente”;
b) all'articolo 3, dopo la lettera a), è inserita la seguente: “a-bis) autorità di settore, le autorità di cui all'articolo 7, comma 1, lettere da a) ae)”;
c) all'articolo 4, il comma 6 è sostituito dal seguente: “6. L'elenco degli operatori di servizi essenziali identificati ai sensi del comma 1 è riesaminato e, se del caso, aggiornato su base regolare, e almeno ogni due anni dopo il 9 maggio 2018, con le seguenti modalità: a) le autorità di settore, in relazione ai settori di competenza, propongono all'autorità nazionale competente NIS le variazioni all 'elenco degli operatori dei servizi essenziali, secondo i criteri di cui ai commi 2 e 3; b) le proposte sono valutate dall'autorità nazionale competente NIS che, con propri provvedimenti, provvede alle variazioni dell'elenco degli operatori dei servizi essenziali, dandone comunicazione, in relazione ai settori di competenza, anche alle autorità di settore.”;
d) all'articolo 6, nella rubrica, le parole: “sicurezza cibernetica” sono sostituite dalle seguenti: “cybersicurezza”; ai commi 1, 2 e 3, le parole: “sicurezza cibernetica” sono sostituite dalla seguente: “e cybersicurezza” ; al comma 4, le parole: “La Presidenza del Consiglio dei ministri” sono sostituite dalle seguenti: “L'Agenzia per la cybersicurezza” e le parole: “sicurezza cibernetica” sono sostituite dalle seguenti: “cybersicurezza”;
e) l'articolo 7 è sostituito dal seguente:
“Art. 7 (Autorità nazionale competente e punto di contatto unico)
1. L'Agenzia per la cybersicurezza nazionale è designata quale autorità nazionale competente NIS per i settori e sottosettori di cui all'allegato II e per i servizi di cui all'allegato III. Sono designate quali autorità di settore:
a) il Ministero dello sviluppo economico, per il settore infrastrutture digitali, sottosettori IXP, DNS, TLD, nonché per i servizi digitali;
b) il Ministero delle infrastrutture e della mobilità sostenibili, per il settore trasporti, sottosettori aereo, ferroviario, per vie d'acqua e su strada;
c) il Ministero dell'economia e delle finanze, per il settore bancario e per il settore infrastrutture dei mercati finanziari, in collaborazione con le autorità di vigilanza di settore, Banca d'Italia e Consob, secondo modalità di collaborazione e di scambio di informazioni stabilite con decreto del Ministro dell'economia e delle finanze;
d) il Ministero della salute, per l'attività di assistenza sanitaria, come definita dall'articolo 3, comma 1, lettera a), del decreto legislativo 4 marzo 2014, n. 38, prestata dagli operatori dipendenti o incaricati dal medesimo Ministero o convenzionati con lo stesso, e le Regioni e le Province autonome di Trento e di Bolzano, direttamente o per il tramite delle Autorità sanitarie territorialmente competenti, per le attività di assistenza sanitaria prestata dagli operatori autorizzati e accreditati delle Regioni o dalle Province autonome negli ambiti territoriali di rispettiva competenza;
e) il Ministero della transizione ecologica per il settore energia, sottosettori energia elettrica, gas e petrolio;
f) il Ministero della transizione ecologica e le Regioni e le Province autonome di Trento e di Bolzano, direttamente o per il tramite delle Autorità territorialmente competenti, in merito al settore fornitura e distribuzione di acqua potabile.
2. L'autorità nazionale competente NIS è responsabile dell'attuazione del presente decreto con riguardo ai settori di cui all'allegato II e ai servizi di cui all'allegato III e vigila sull'applicazione del presente decreto a livello nazionale, esercitando altresì le relative potestà ispettive e sanzionatorie.
3. L'Agenzia per la cybersicurezza nazionale è designata quale punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi.
4. Il punto di contatto unico svolge una funzione di collegamento per garantire la cooperazione transfrontaliera dell'autorità nazionale competente NIS con le autorità competenti degli altri Stati membri, nonché con il gruppo di cooperazione di cui all'articolo 10 e la rete di CSIRT di cui all'articolo 11.
5. Il punto di contatto unico collabora nel gruppo di cooperazione in modo effettivo, efficiente e sicuro con i rappresentanti designati dagli altri Stati.
6. L'autorità nazionale competente NIS e il punto di contatto unico consultano, conformemente alla normativa vigente, l'autorità di contrasto ed il Garante per la protezione dei dati personali e collaborano con essi.
7. La Presidenza del Consiglio dei ministri comunica tempestivamente alla Commissione europea la designazione del punto di contatto unico e quella dell'autorità nazionale competente NIS, i relativi compiti e qualsiasi ulteriore modifica. Alle designazioni sono assicurate idonee forme di pubblicità.
8. Agli oneri derivanti dal presente articolo pari a 1.300.000 euro a decorrere dal 2018, si provvede ai sensi dell'articolo 22.”;
f) all'articolo 8, comma I, le parole da: “la Presidenza” a: ” la sicurezza” sono sostituite da: “l'Agenzia di cybersicurezza nazionale”;
g) l'articolo 9, comma I, è sostituito dal seguente
1. Le autorità di settore collaborano con l'autorità nazionale competente NIS per l'adempimento degli obblighi di cui al presente decreto. A tal fine è istituito presso l'Agenzia per la cybersicurezza nazionale, un Comitato tecnico di raccordo. Il Comitato è presieduto dall'autorità nazionale competente NIS ed è composto dai rappresentanti delle amministrazioni statali individuate quali autorità di settore e da rappresentanti delle Regioni e Province autonome in numero non superiore a due, designati dalle Regioni e Province autonome in sede di Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e di Bolzano. L'organizzazione del Comitato è definita con decreto del Presidente del Consiglio dei ministri, di natura non regolamentare, sentita la Conferenza unificata. Per la partecipazione al Comitato tecnico di raccordo non sono previsti gettoni di presenza, compensi o rimborsi spese.”;
h) all'articolo 12, comma 5, le parole da: “e, per conoscenza,” a: “NIS,” sono eliminate;
i) all'articolo 14, comma 4, le parole da: “e, per conoscenza,” a: “NIS,” sono eliminate;
l) all'articolo 19, comma 1, le parole: “dalle autorità competenti NIS” sono sostituite dalle seguenti: “dall'autorità nazionale competente NIS”;
m) all'articolo 19, il comma 2 è soppresso;
n) all'articolo 20, comma 1, le parole da: “Le autorità competenti NIS” a: “sono competenti” sono sostituite da: “L'autorità nazionale competente NIS è competente”;
o) all'allegato I:
1) al punto 1, dopo la lettera d) è aggiunta la seguente: “e) il CSIRT Italia conforma i propri servizi e la propria attività alle migliori pratiche internazionalmente riconosciute in materia di prevenzione, gestione e risposta rispetto a eventi di natura cibernetica”;
2) al punto 2, lettera e), dopo la parola: “standardizzate” sono inserite le seguenti: “, secondo le migliori pratiche internazionalmente riconosciute,”.
2. Nel decreto legislativo NIS:
a) ogni riferimento al Ministero dello sviluppo economico, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale, fatta eccezione per le disposizioni di cui all'articolo 7, comma 1, lettera a), del medesimo decreto legislativo;
b) ogni riferimento al DIS, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale;
c) ogni riferimento alle autorità competenti NIS, ovunque ricorra, deve intendersi riferito all'autorità nazionale competente NIS, fatta eccezione per le disposizioni di cui all'articolo 5, comma 1, del medesimo decreto legislativo;
d) all'articolo 5, comma 1, alinea, le parole: “le autorità competenti NIS” sono sostituite dalle seguenti : “l'autorità nazionale competente NIS e le autorità di settore”;
e) agli articoli 6 e 12, le parole: “Comitato interministeriale per la sicurezza della Repubblica (CISR)” sono sostituite dalle seguenti: “Comitato interministeriale per la cybersicurezza (CICS)” .
Art. 16 (Altre modificazioni)
1. All'articolo 3, comma I-bis, della legge n. 124 del 2007, dopo le parole: “della presente legge” sono aggiunte le seguenti: “e in materia di cybersicurezza”.
2. All'articolo 38 della legge n. 124 del 2007, il comma I-bis è abrogato.
3. La denominazione: “CSIRT Italia” sostituisce, ad ogni effetto e ovunque presente m provvedimenti legislativi e regolamentari, la denominazione: “CSIRT Italiano”.
4. Nel decreto-legge perimetro le parole: “Comitato interministeriale per la sicurezza della Repubblica (CISR)” e “CISR”, ovunque ricorrano, sono rispettivamente sostituite dalle seguenti: “Comitato interministeriale per la cybersicurezza (CICS)” e “CICS”, fatta eccezione per le disposizioni di cui all'articolo 5 del medesimo decreto-legge.
5. Nel decreto-legge perimetro ogni riferimento al Dipartimento delle informazioni per la sicurezza, o al DIS, ovunque ricorra, è da intendersi riferito all'Agenzia per la cybersicurezza nazionale.
6. Nel decreto-legge perimetro ogni riferimento al Ministero dello sviluppo economico e alla Presidenza del Consiglio dei ministri, ovunque ricorra, è da intendersi riferito all'Agenzia per la cybersicurezza nazionale.
7. Nei provvedimenti di natura regolamentare e amministrativa la cui adozione è prevista dall'articolo 1 del decreto-legge perimetro, ogni riferimento al CJSR e al DIS deve intendersi rispettivamente riferito al CICS e all'Agenzia per la cybersicurezza nazionale.
8. Nei provvedimenti di natura regolamentare e amministrativa la cui adozione è prevista dall'articolo 1 del decreto-legge perimetro, ogni riferimento al Ministero dello sviluppo economico e alla struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale, fatta eccezione per le disposizioni di cui agli articoli 3 del decreto del Presidente del Consiglio dei ministri n. 131 del 2020.
9. Al decreto-legge perimetro sono apportate le seguenti modificazioni: a) all'articolo 1, comma 6, lettera a), dopo le parole “anche in relazione all'ambito di impiego” è aggiunto il seguente periodo: “L'obbligo di comunicazione di cui alla presente lettera è efficace a decorrere dal trentesimo giorno successivo alla pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana del decreto del Presidente del Consiglio dei ministri che, sentita l'Agenzia per la cybersicurezza nazionale, attesta l'operatività del CVCN e comunque dal 30 giugno 2022.”;
b) all'articolo 3, il comma 2 è abrogato;
c) a decorrere dalla data in cui diviene efficace l'obbligo di comunicazione disciplinato dalla precedente lettera a), all'articolo 3:
1) il comma I è sostituito dal seguente: “1. I soggetti che intendono procedere all'acquisizione, a qualsiasi titolo, di beni, servizi e componenti di cui all'articolo i-bis, comma 2, del decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, sono obbligati ad effettuare la comunicazione di cui all'articolo 1, comma 6, lettera a), per lo svolgimento delle verifiche di sicurezza da parte del CVCN sulla base delle procedure, modalità e termini previsti dal regolamento di attuazione. Ai fornitori di predetti beni, servizi e componenti si applica l'articolo 1, comma 6, lettera b).”;
2) il comma 3 è abrogato;
10. A decorrere dalla data in cui diviene efficace l'obbligo di comunicazione disciplinato dal comma 9, lettera a), al decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, il comma 3-bis dell'articolo 1-bis è sostituito dal seguente: “Entro dieci giorni dalla conclusione di un contratto o accordo di cui al comma 2, l'impresa che ha acquisito, a qualsiasi titolo, i beni oi servizi di cui allo stesso comma notifica alla Presidenza del Consiglio dei ministri un'informativa completa, contenente anche la comunicazione del Centro di valutazione e certificazione nazionale (CVCN), relativa all'esito della valutazione e alle eventuali prescrizioni, in modo da consentire l'eventuale esercizio del potere di veto o l'imposizione di specifiche prescrizioni o condizioni. Qualora il contratto sia stato stipulato antecedentemente alla conclusione dei test imposti dal CVCN, il termine di cui al primo periodo decorre dalla comunicazione di esito positivo della valutazione effettuata dal CVCN Entro 30 giorni dalla notifica, il Presidente del Consiglio dei ministri comunica l'eventuale veto ovvero l'imposizione di specifiche prescrizioni o condizioni. I poteri speciali sono esercitati nella forma dell'imposizione di specifiche prescrizioni o condizioni ogniqualvolta ciò sia sufficiente ad assicurare la tutela degli interessi essenziali della difesa e della sicurezza nazionale. Decorsi i predetti termini, i poteri speciali si intendono non esercitati. Qualora si renda necessario richiedere informazioni all'acquirente, tale termine è sospeso, per una sola volta, fino al ricevimento delle informazioni richieste, che sono rese entro il termine di dieci giorni. Qualora si renda necessario formulare richieste istruttorie a soggetti terzi, il predetto termine di trenta giorni è sospeso, per una sola volta, fino al ricevimento delle informazioni richieste, che sono rese entro il termine di venti giorni. Le richieste di informazioni e le richieste istruttorie a soggetti terzi successive alla prima non sospendono i termini. In caso di incompletezza della notifica, il termine di trenta giorni previsto dal presente comma decorre dal ricevimento delle informazioni o degli elementi che la integrano. Fermo restando quanto previsto in materia di sanzioni al presente comma, nel caso in cui l'impresa notificante abbia iniziato l'esecuzione del contratto o dell'accordo oggetto della notifica prima che sia decorso il termine per l'esercizio dei poteri speciali, ovvero abbia eseguito il contratto o accordo in violazione del decreto di esercizio dei poteri speciali, il Governo può ingiungere all'impresa di ripristinare a proprie spese la situazione anteriore. Salvo che il fatto costituisca reato, chiunque non osservi gli obblighi di notifica di cui al presente articolo ovvero le disposizioni contenute nel provvedimento di esercizio dei poteri speciali è soggetto alla sanzione amministrativa pecuniaria fino al 150 per cento del valore dell'operazione e comunque non inferiore al 25 per cento del medesimo valore. Nei casi di violazione degli obblighi di notifica di cui al presente articolo, anche in assenza della notifica, la Presidenza del Consiglio dei ministri può avviare il procedimento ai fini dell'eventuale esercizio dei poteri speciali. A tale scopo, trovano applicazione i termini e le norme procedurali previsti dal presente comma. Il termine di trenta giorni di cui al presente comma decorre dalla conclusione del procedimento di accertamento della violazione dell'obbligo di notifica”.
11. All'articolo 135 del decreto legislativo 2 luglio 2010, n. 104, dopo la lettera h), è aggiunta la seguente: “h-bis) le controversie aventi ad oggetto i provvedimenti dell'Agenzia per la cybersicurezza nazionale;”.
12. Alla legge 22 aprile 2021 , n. 53, sono apportate le seguenti modificazioni:
a) all'articolo 4, comma 1, lettera b), dopo le parole: “Ministero dello sviluppo economico” sono aggiunte le seguenti: ” e l'Agenzia per la cybersicurezza nazionale”;
b) all'articolo 18, ogni riferimento al Ministero dello sviluppo economico, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale.
13. All'articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, le parole: “L'AgID” sono sostituite dalle seguenti: “L'Agenzia per la cybersicurezza nazionale”.
14. Al decreto legislativo 1° agosto 2003, n. 259, sono apportate le seguenti modificazioni:
a) agli articoli 16-bis e 16-ter, ogni riferimento al Ministero dello sviluppo economico, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale;
b) all'articolo 16-ter, comma 1, le parole: “Ministro dello sviluppo economico” sono sostituite dalle seguenti: “Presidente del Consiglio dei ministri”;
c) all'articolo 16-ter, comma 2, lettera b), le parole: “in collaborazione con gli Ispettorati territoriali del Ministero dello sviluppo economico,” sono soppresse.
Art. 17 (Disposizioni transitorie e finli)
1. Per lo svolgimento delle funzioni ispettive, di accertamento delle violazioni e di irrogazione delle sanzioni, di cui all'articolo 7, l'Agenzia può provvedere, oltre che con proprio personale, con l'ausilio dell'organo centrale del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155.
2. Per lo svolgimento delle funzioni relative all 'attuazione e al controllo dell'esecuzione dei provvedimenti assunti da parte del Presidente del Consiglio dei ministri ai sensi dell'articolo 5 del decreto-legge perimetro, l'Agenzia provvede con l'ausilio dell'organo centrale del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155.
3. Il personale dell'Agenzia, nello svolgimento delle funzioni ispettive, di accertamento delle violazioni e di irrogazione delle sanzioni, di cui all'articolo 7, nonché delle funzioni relative all'attuazione e al controllo dell'esecuzione dei provvedimenti assunti da parte del Presidente del Consiglio dei ministri ai sensi dell'articolo 5 del decreto-legge perimetro, riveste la qualifica di pubblico ufficiale.
4. Il personale dell'Agenzia addetto al CSIRT Italia, nello svolgimento delle proprie funzioni, riveste la qualifica di pubblico ufficiale. La trasmissione delle notifiche di incidente ricevute dal CSIRT Italia all'organo centrale del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. I 55, costituisce adempimento dell'obbligo di cui all'articolo 33 I del codice di procedura penale.
5. Con uno o più decreti del Presidente del Consiglio dei ministri di natura non regolamentare, da adottare entro centottanta giorni dalla data di entrata in vigore della legge di conversione del presente decreto, sono definiti i termini e le modalità:
a) per assicurare la prima operatività dell'Agenzia, mediante l'individuazione di appositi spazi, in via transitoria e per un massimo di ventiquattro mesi, secondo opportune intese con le amministrazioni interessate, per l'attuazione delle disposizioni del presente decreto;
b) per il trasferimento, anche mediante opportune intese con le amministrazioni interessate, delle funzioni di cui all'articolo 7, nonché per il trasferimento dei beni strumentali e della documentazione, anche di natura classificata, per l'attuazione delle disposizioni del presente decreto.
6. In relazione al trasferimento delle funzioni di cui all'articolo 7, comma 1, lettera m dall'AgID all'Agenzia, i decreti di cui al comma 5 definiscono, altresì, i raccordi tra le due amministrazioni, per le funzioni che restano di competenza di AgID.
7. Dalla data di nomina del direttore generale dell'Agenzia e fino all'adozione dei regolamenti di cui all'articolo 11 , commi 3 e 5, alle spese occorrenti per assicurare la prima operatività dell'Agenzia provvede il DIS, nell'ambito delle risorse destinate all'Agenzia. Entro 90 giorni dall'approvazione dei regolamenti di cui all'articolo 11 , commi 3 e 5, delle spese effettuate ai sensi del presente comma, il Presidente del Consiglio dei ministri ne dà informazione al COPASIR.
8. In sede di prima applicazione delle disposizioni di cui al presente decreto e per un periodo massimo di diciotto mesi dalla data di conversione in legge, l'Agenzia si avvale di un nucleo di personale, non superiore al 30 per cento della dotazione organica complessiva iniziale, di unità appartenenti al Ministero dello sviluppo economico, all'Agenzia per l'Italia digitale, al DIS, ad altre pubbliche amministrazioni e ad autorità indipendenti, messo a disposizione dell'Agenzia stessa su specifica richiesta, anche nominativa, e secondo modalità individuate mediante intese con le rispettive amministrazioni di appartenenza. Il relativo onere resta a carico dell'amministrazione di appartenenza.
9. Il regolamento di cui all 'articolo 12, comma I , prevede apposite modalità selettive per l'nquadramento, nella misura massima del 50 per cento della dotazione organica complessiva, del personale di cui al comma 8 e del personale di cui all'articolo 12, comma 2, lettera b), ove già appartenente alla pubblica amministrazione, nel contingente di personale addetto all'Agenzia di cui al medesimo articolo 12, che tengano conto delle mansioni svolte e degli incarichi ricoperti durante il periodo di servizio presso l'Agenzia, nonché delle competenze possedute e dei requisiti di professionalità ed esperienza richiesti per le specifiche posizioni. Gli inquadramenti conseguenti alle procedure selettive di cui al presente comma, relative al personale di cui al comma 8, decorrono dal 30 settembre 2022.
10. LìAgenzia può avvalersi del patrocinio dell'Avvocatura dello Stato, ai sensi dell'rticolo 43 del testo unico approvato con regio decreto 30 ottobre 1933, n. 1611.
Art.18 (Copertura finanziaria)
[MEF]
All'onere derivante dall'applicazione del presente decreto, valutato in euro … per l'anno 2021 , euro … per l'anno 2022 ed euro … a decorrere dall'anno 2022, si provvede a valere sul Fondo di cui all'art .. ..
2. Il Ministro dell'economia e delle finanze è autorizzato ad apportare, con propri decreti, le occorrenti variazioni di bilancio per l'attuazione del presente decreto.
3. I proventi delle sanzioni irrogate dall'Agenzia ai sensi di quanto previsto dal decreto legislativo NIS, dal decreto-legge perimetro e dal decreto legislativo 1° agosto 2003 , n. 259, e relative disposizioni attuative, sono versati al Fondo di cui al comma 1 del presente articolo.
Art. 19 (Entrata in vigore)
1. Il presente decreto entra in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana e sarà presentato alle Camere per la conversione in legge. Il presente decreto, munito del sigillo dello Stato, sarà inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. È fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.
Esta es una traducción automática de una publicación publicada en StartMag en la URL https://www.startmag.it/mondo/tutto-sullagenzia-per-la-cybersicurezza-nazionale-acn-che-cosa-prevede-il-decreto/ el Thu, 10 Jun 2021 09:22:21 +0000.