Normattiva - Il portale della legge vigente

Testo in vigore dal: 24-6-2018

al: 14-6-2021

 
 
                   IL PRESIDENTE DELLA REPUBBLICA 
 
  Visti gli articoli 76 e 87, quinto comma, della Costituzione; 
  Vista la legge 24 dicembre 2012, n.  234,  recante  norme  generali
sulla partecipazione dell'Italia  alla  formazione  e  all'attuazione
della normativa e delle politiche dell'Unione europea; 
  Vista la legge 25 ottobre 2017, n. 163, recante delega  al  Governo
per il recepimento delle direttive europee e  l'attuazione  di  altri
atti dell'Unione europea - Legge di delegazione europea 2016-2017; 
  Vista la direttiva (UE) 1148/2016  del  Parlamento  europeo  e  del
Consiglio, del 6 luglio 2016, recante misure per  un  livello  comune
elevato  di  sicurezza  delle  reti   e   dei   sistemi   informativi
nell'Unione; 
  Visto il regolamento (CE) 910/2014 del  Parlamento  europeo  e  del
Consiglio,  del  23  luglio  2014,  in  materia  di   identificazione
elettronica e servizi fiduciari per le transazioni  elettroniche  nel
mercato interno e che abroga la direttiva 1999/93/CE; 
  Vista  la  direttiva  2013/40/UE  del  Parlamento  europeo  e   del
Consiglio, del 12  agosto  2013,  relativa  agli  attacchi  contro  i
sistemi  di  informazione  e  che  sostituisce  la  decisione  quadro
2005/222/GAI del Consiglio; 
  Vista la  raccomandazione  2003/361/CE  della  Commissione,  del  6
maggio 2003, relativa alla definizione delle microimprese, piccole  e
medie imprese; 
  Visto il Regolamento di esecuzione della Commissione n. 2018/151/UE
del 30 gennaio 2018 recante modalita' di applicazione della direttiva
(UE) 2016/1148 del Parlamento europeo  e  del  Consiglio  per  quanto
riguarda l'ulteriore specificazione degli elementi che i fornitori di
servizi digitali devono prendere  in  considerazione  ai  fini  della
gestione dei rischi posti alla sicurezza delle  reti  e  dei  sistemi
informativi e  dei  parametri  per  determinare  l'eventuale  impatto
rilevante di un incidente; 
  Visto il decreto-legge 27 luglio  2005,  n.  144,  convertito,  con
modificazioni, dalla legge 31 luglio 2005,  n.  155,  recante  misure
urgenti per il contrasto del terrorismo internazionale; 
  Visto  il  decreto  legislativo  4  marzo  2014,  n.  39,   recante
attuazione della direttiva  2011/93/UE  relativa  alla  lotta  contro
l'abuso e lo  sfruttamento  sessuale  dei  minori  e  la  pornografia
minorile, che sostituisce la decisione quadro 2004; 
  Vista  la  legge  3  agosto  2007,  n.  124,  recante  sistema   di
informazione per la sicurezza della Repubblica e nuova disciplina del
segreto; 
  Visto il decreto-legge 30 ottobre 2015,  n.  174,  convertito,  con
modificazioni, dalla legge 11 dicembre 2015, n. 198, recante  proroga
delle missioni  internazionali  delle  Forze  armate  e  di  polizia,
iniziative di cooperazione allo sviluppo e sostegno  ai  processi  di
ricostruzione e partecipazione alle iniziative  delle  organizzazioni
internazionali per il  consolidamento  dei  processi  di  pace  e  di
stabilizzazione; 
  Visto il decreto-legge 22  giugno  2012,  n.  83,  convertito,  con
modificazioni, dalla legge 7 agosto  2012,  n.  134,  recante  misure
urgenti per la crescita del Paese, e, in particolare, l'articolo  19,
che ha istituito l'Agenzia per l'Italia digitale (AgID); 
  Visto il decreto legislativo 7 marzo 2005, n. 82, recante il codice
dell'amministrazione digitale e, in particolare, le  disposizioni  in
materia di funzioni dell'AgID e di sicurezza informatica; 
  Visto il decreto legislativo 11 aprile 2011, n. 61, attuativo della
direttiva 2008/114/CE, recante  l'individuazione  e  la  designazione
delle  infrastrutture  critiche  europee  e  la   valutazione   della
necessita' di migliorarne la protezione; 
  Visto il  regolamento  adottato  con  decreto  del  Presidente  del
Consiglio dei ministri 6 novembre 2015, n.  5,  recante  disposizioni
per  la  tutela  amministrativa  del  segreto  di   Stato   e   delle
informazioni classificate e a diffusione esclusiva; 
  Vista  la  direttiva  adottata  con  decreto  del  Presidente   del
Consiglio dei ministri del 17 febbraio 2017, recante indirizzi per la
protezione  cibernetica  e  la   sicurezza   informatica   nazionali,
pubblicato nella Gazzetta Ufficiale n. 87 del 13 aprile 2017; 
  Visto il decreto legislativo 30 giugno 2003,  n.  196,  recante  il
codice in materia di protezione dei dati personali; 
  Visto il decreto legislativo 1° agosto 2003,  n.  259,  recante  il
codice delle comunicazioni elettroniche; 
  Visto il decreto  legislativo  23  giugno  2011,  n.  118,  recante
disposizioni in materia di armonizzazione  dei  sistemi  contabili  e
degli schemi di bilancio delle Regioni, degli enti locali e dei  loro
organismi, a norma degli articoli 1 e 2 della legge 5 maggio 2009, n.
42; 
  Vista la preliminare  deliberazione  del  Consiglio  dei  ministri,
adottata nella riunione dell'8 febbraio 2018; 
  Acquisito il parere della Conferenza Unificata di cui  all'articolo
8 del decreto legislativo 28 agosto 1997, n. 281, reso  nella  seduta
del 19 aprile 2018; 
  Acquisiti i pareri delle competenti Commissioni  della  Camera  dei
deputati e del Senato della Repubblica; 
  Vista la deliberazione del Consiglio dei ministri,  adottata  nella
riunione del 16 maggio 2018; 
  Sulla proposta del Presidente del  Consiglio  dei  ministri  e  del
Ministro dello sviluppo economico, di concerto con i  Ministri  degli
affari esteri e della cooperazione internazionale,  della  giustizia,
dell'interno, della difesa, della  salute  e  dell'economia  e  delle
finanze; 
 
                                Emana 
 
  il seguente decreto legislativo: 
 
                               Art. 1 
 
                  Oggetto e ambito di applicazione 
 
  1. Il presente decreto stabilisce  misure  volte  a  conseguire  un
livello elevato di sicurezza della rete e dei sistemi informativi  in
ambito nazionale, contribuendo ad incrementare il livello  comune  di
sicurezza nell'Unione europea. 
  2. Ai fini del comma 1, il presente decreto prevede: 
    a)  l'inclusione   nella   strategia   nazionale   di   sicurezza
cibernetica di previsioni in materia di sicurezza delle  reti  e  dei
sistemi  informativi  rientranti  nell'ambito  di  applicazione   del
presente decreto; 
    b) la designazione delle autorita'  nazionali  competenti  e  del
punto di contatto unico, nonche' del  Gruppo  di  intervento  per  la
sicurezza  informatica  in  caso  di  incidente  (CSIRT)  in   ambito
nazionale per lo svolgimento dei compiti di cui all'allegato I; 
    c) il rispetto di obblighi da parte degli  operatori  di  servizi
essenziali  e  dei  fornitori  di  servizi   digitali   relativamente
all'adozione di misure di sicurezza e di notifica degli incidenti con
impatto rilevante; 
    d) la partecipazione nazionale al gruppo di cooperazione europeo,
nell'ottica della collaborazione e dello scambio di informazioni  tra
Stati  membri  dell'Unione  europea,  nonche'  dell'incremento  della
fiducia tra di essi; 
    e) la partecipazione nazionale alla  rete  CSIRT  nell'ottica  di
assicurare una cooperazione tecnico-operativa rapida ed efficace. 
  3. Le disposizioni in materia di misure di sicurezza e di  notifica
degli incidenti di cui al presente  decreto  non  si  applicano  alle
imprese soggette agli obblighi di cui agli articoli 16-bis  e  16-ter
del decreto legislativo 1° agosto 2003, n. 259, ne' ai prestatori  di
servizi fiduciari soggetti agli obblighi di cui all'articolo  19  del
regolamento (UE) n. 910/2014. 
  4. Il presente decreto si applica fatto salvo quanto  previsto  dal
decreto  legislativo  11  aprile  2011,  n.  61,  e  dalla  direttiva
2013/40/UE relativa agli attacchi contro i sistemi di informazione  e
che sostituisce la decisione quadro 2005/222/GAI, del Consiglio. 
  5. Fatto salvo quanto previsto dall'articolo 346 del  trattato  sul
funzionamento dell'Unione europea, le informazioni riservate  secondo
quanto disposto dalla normativa dell'Unione europea e  nazionale,  in
particolare per quanto concerne la riservatezza  degli  affari,  sono
scambiate con la Commissione europea e con altre autorita' competenti
NIS solo nella misura in cui tale  scambio  sia  necessario  ai  fini
dell'applicazione del presente  decreto.  Le  informazioni  scambiate
sono pertinenti e commisurate allo scopo. Lo scambio di  informazioni
ne tutela la riservatezza e protegge la  sicurezza  e  gli  interessi
commerciali degli operatori di servizi essenziali e dei fornitori  di
servizi digitali. 
  6. Il presente decreto lascia impregiudicate le misure adottate per
salvaguardare le funzioni essenziali dello Stato, in  particolare  di
tutela della sicurezza nazionale, comprese le misure volte a tutelare
le informazioni,  nei  casi  in  cui  la  divulgazione  sia  ritenuta
contraria agli interessi essenziali di sicurezza  e  di  mantenimento
dell'ordine pubblico, in particolare a fini di indagine, accertamento
e perseguimento di reati. 
  7. Qualora gli obblighi  previsti  per  gli  operatori  di  servizi
essenziali o  i  fornitori  di  servizi  digitali  di  assicurare  la
sicurezza delle loro  reti  e  dei  loro  sistemi  informativi  o  di
notificare  gli  incidenti  siano  oggetto  di  uno  specifico   atto
giuridico dell'Unione europea, si applicano le disposizioni di  detto
atto giuridico nella misura in cui gli effetti di tali obblighi siano
almeno equivalenti  a  quelli  degli  obblighi  di  cui  al  presente
decreto. 

                                    N O T E 
 
          Avvertenza: 
              - Il testo delle note qui pubblicato e'  stato  redatto
          dall'amministrazione  competente  per  materia   ai   sensi
          dell'art. 10, comma 3 del testo  unico  delle  disposizioni
          sulla  promulgazione  delle  leggi,   sull'emanazione   dei
          decreti   del   Presidente   della   Repubblica   e   sulle
          pubblicazioni   ufficiali   della   Repubblica    italiana,
          approvato con decreto del Presidente  della  Repubblica  28
          dicembre 1985, n. 1092,  al  solo  fine  di  facilitare  la
          lettura delle disposizioni di legge modificate o alle quali
          e'  operato  il  rinvio.  Restano  invariati  il  valore  e
          l'efficacia degli atti legislativi qui trascritti. 
              - Per gli atti dell'Unione europea vengono forniti  gli
          estremi   di   pubblicazione   nella   Gazzetta   Ufficiale
          dell'Unione Europea (G.U.U.E.). 
          Note alle premesse: 
              -  L'art.  76   della   Costituzione   stabilisce   che
          l'esercizio della  funzione  legislativa  non  puo'  essere
          delegato al Governo se non con determinazione di principi e
          criteri direttivi e  soltanto  per  tempo  limitato  e  per
          oggetti definiti. 
              - L'art. 87 della Costituzione conferisce, tra l'altro,
          al Presidente della Repubblica il potere di  promulgare  le
          leggi e di emanare i decreti aventi valore di  legge  ed  i
          regolamenti. 
              - La legge 24 dicembre 2012, n.  234,  recante:  «Norme
          generali sulla partecipazione dell'Italia alla formazione e
          all'attuazione   della   normativa   e   delle    politiche
          dell'Unione  europea»,   e'   pubblicata   nella   Gazzetta
          Ufficiale 4 gennaio 2013, n. 3. 
              - La legge 25 ottobre 2017, n. 163, recante: «Delega al
          Governo  per  il  recepimento  delle  direttive  europee  e
          l'attuazione di altri atti dell'Unione europea -  legge  di
          delegazione  europea  2016-2017»,   e'   pubblicata   nella
          Gazzetta Ufficiale 6 novembre 2017, n. 259. 
              - La direttiva (UE) 1148/2016 del Parlamento europeo  e
          del Consiglio, del 6 luglio 2016,  recante  misure  per  un
          livello comune  elevato  di  sicurezza  delle  reti  e  dei
          sistemi  informativi  nell'Unione,  e'   pubblicata   nella
          G.U.U.E. 19 luglio 2016, n. L 194. 
              - Il regolamento (CE) 910/2014 del Parlamento europeo e
          del  Consiglio,  del  23  luglio  2014,   in   materia   di
          identificazione elettronica  e  servizi  fiduciari  per  le
          transazioni elettroniche nel mercato interno e  che  abroga
          la direttiva 1999/93/CE, e' pubblicato  nella  G.U.C.E.  28
          agosto 2014, n. L 257. 
              - La direttiva (UE) 2013/40/UE del Parlamento europeo e
          del Consiglio, del 12 agosto 2013, relativa  agli  attacchi
          contro i sistemi  di  informazione  e  che  sostituisce  la
          decisione quadro 2005/222/GAI del Consiglio, e'  pubblicata
          nella G.U.U.E. 14 agosto 2013, n. L 218. 
              - La raccomandazione 2003/361/CE della Commissione, del
          6   maggio   2003,   relativa   alla   definizione    delle
          microimprese, piccole e medie imprese, e' pubblicata  nella
          G.U.C.E. 20 maggio 2003, n. L 124. 
              - Il regolamento  di  esecuzione  (UE)  2018/151  della
          Commissione, del 30  gennaio  2018,  recante  modalita'  di
          applicazione della direttiva (UE) 2016/1148 del  Parlamento
          europeo e del Consiglio, per  quanto  riguarda  l'ulteriore
          specificazione degli elementi che i  fornitori  di  servizi
          digitali devono prendere in considerazione  ai  fini  della
          gestione dei rischi posti alla sicurezza delle reti  e  dei
          sistemi  informativi  e  dei  parametri   per   determinare
          l'eventuale  impatto  rilevante   di   un   incidente,   e'
          pubblicato nella G.U.U.E. 31 gennaio 2018, n. L 26. 
              - Il decreto-legge 27 luglio  2005,  n.  144,  recante:
          «Misure   urgenti   per   il   contrasto   del   terrorismo
          internazionale», pubblicato  nella  Gazzetta  Ufficiale  27
          luglio 2005, n.  173,  e'  convertito,  con  modificazioni,
          dalla legge. 31  luglio  2005,  n.  155,  pubblicata  nella
          Gazzetta Ufficiale 1° agosto 2005, n. 177. 
              - Il decreto legislativo 4 marzo 2014, n. 39,  recante:
          «Attuazione della direttiva 2011/93/UE relativa alla  lotta
          contro l'abuso e lo sfruttamento sessuale dei minori  e  la
          pornografia minorile, che sostituisce la  decisione  quadro
          2004/68/GAI», e' pubblicato  nella  Gazzetta  Ufficiale  22
          marzo 2014, n. 68. 
              - La legge 3 agosto 2007, n. 124,  recante:«Sistema  di
          informazione per la  sicurezza  della  Repubblica  e  nuova
          disciplina  del  segreto»,  e'  pubblicata  nella  Gazzetta
          Ufficiale 13 agosto 2007, n. 187. 
              - Il decreto-legge 30 ottobre 2015,  n.  174,  recante:
          «Proroga delle missioni internazionali delle Forze armate e
          di polizia, iniziative  di  cooperazione  allo  sviluppo  e
          sostegno ai processi di ricostruzione e partecipazione alle
          iniziative  delle  organizzazioni  internazionali  per   il
          consolidamento dei processi di pace e di  stabilizzazione»,
          pubblicato nella Gazzetta Ufficiale  30  ottobre  2015,  n.
          253, e'  convertito,  con  modificazioni,  dalla  legge  11
          dicembre 2015, n. 198, pubblicata nella Gazzetta  Ufficiale
          16 dicembre 2015, n. 292. 
              - Il decreto-legge 22  giugno  2012,  n.  83,  recante:
          «Misure urgenti per  la  crescita  del  Paese»,  pubblicato
          nella Gazzetta Ufficiale 26 giugno 2012, n. 147,  S.O.,  e'
          convertito, con modificazioni, dalla legge 7  agosto  2012,
          n. 134, pubblicata nella Gazzetta Ufficiale 11 agosto 2012,
          n. 187, S.O. 
              - Il decreto legislativo 7 marzo 2005, n. 82,  recante:
          «Codice dell'amministrazione digitale», e' pubblicato nella
          Gazzetta Ufficiale 16 maggio 2005, n. 112, S.O. 
              -  Il  decreto  legislativo  11  aprile  2011,  n.  61,
          recante: «Attuazione della  Direttiva  2008/114/CE  recante
          l'individuazione e  la  designazione  delle  infrastrutture
          critiche europee  e  la  valutazione  della  necessita'  di
          migliorarne la protezione», e'  pubblicato  nella  Gazzetta
          Ufficiale 4 maggio 2011, n. 102. 
              - Il decreto del Presidente del Consiglio dei  ministri
          6 novembre  2015,  recante:  «Disposizioni  per  la  tutela
          amministrativa del segreto di Stato  e  delle  informazioni
          classificate e a diffusione esclusiva», e' pubblicato nella
          Gazzetta Ufficiale 5 dicembre 2015, n. 284, S.O. 
              - Il decreto del Presidente del Consiglio dei  ministri
          17 febbraio  2017:  (Direttiva  recante  indirizzi  per  la
          protezione   cibernetica   e   la   sicurezza   informatica
          nazionali),  e'  pubblicato  nella  Gazzetta  Ufficiale  13
          aprile 2017, n. 87. 
              - Il  decreto  legislativo  30  giugno  2003,  n.  196,
          recante:  «Codice  in  materia  di  protezione   dei   dati
          personali»,  e'  pubblicato  nella  Gazzetta  Ufficiale  29
          luglio 2003, n. 174, S.O. 
              - Il  decreto  legislativo  1°  agosto  2003,  n.  259,
          recante:  «Codice  delle  comunicazioni  elettroniche»,  e'
          pubblicato nella Gazzetta Ufficiale 15 settembre  2003,  n.
          214, S.O. 
              - Il  decreto  legislativo  23  giugno  2011,  n.  118,
          recante: «Disposizioni in  materia  di  armonizzazione  dei
          sistemi contabili e degli schemi di bilancio delle Regioni,
          degli enti locali e  dei  loro  organismi,  a  norma  degli
          articoli 1 e 2 della  legge  5  maggio  2009,  n.  42»,  e'
          pubblicato nella Gazzetta Ufficiale 26 luglio 2011, n. 172. 
 
          Note all'art. 1: 
              - Si riporta il testo degli articoli  16-bis  e  16-ter
          del decreto legislativo 1° agosto 2003,  n.  259,  recante:
          «Codice delle comunicazioni elettroniche»: 
              «Art. 16-bis (Sicurezza e integrita'). - 1. Fatte salve
          le competenze dell'Autorita' previste dall'art. 1, comma 6,
          lettera a), numero 3), della legge 31 luglio 1997, n.  249,
          il  Ministero,  sentite  le  imprese  che  forniscono  reti
          pubbliche  di  comunicazioni  o  servizi  di  comunicazione
          elettronica accessibili al pubblico e  tenuto  conto  delle
          misure tecniche di attuazione eventualmente adottate  dalla
          Commissione europea, ai sensi dell'art.  13-bis,  comma  4,
          della direttiva 2002/21/CE, individua: 
                a) adeguate misure di natura tecnica e  organizzativa
          per assicurare la sicurezza delle reti  e  dei  servizi  di
          comunicazione elettronica accessibili al pubblico,  nonche'
          per garantire l'integrita' delle  reti.  Tali  misure  sono
          anche finalizzate a prevenire e limitare le conseguenze per
          gli utenti e le  reti  interconnesse  degli  incidenti  che
          pregiudicano la sicurezza; 
                b) i casi in cui  le  violazioni  della  sicurezza  o
          perdita dell'integrita' siano da considerarsi significative
          ai  fini  del  corretto  funzionamento  delle  reti  o  dei
          servizi. 
              2.  Le  imprese  che  forniscono  reti   pubbliche   di
          comunicazioni  o  servizi  di   comunicazione   elettronica
          accessibili al pubblico: 
                a) adottano le misure individuate  dal  Ministero  di
          cui al comma 1,  lettera  a),  al  fine  di  conseguire  un
          livello  di  sicurezza  delle  reti  adeguato  al   rischio
          esistente, e di garantire la  continuita'  della  fornitura
          dei servizi su tali reti; 
                b)  comunicano  al   Ministero   ogni   significativa
          violazione  della  sicurezza  o   perdita   dell'integrita'
          secondo quanto previsto al comma 1, lettera b). 
              3. Nei casi di cui al comma 2, lettera b), il Ministero
          informa  le   altre   autorita'   nazionali   eventualmente
          interessate per le relative iniziative di competenza, e, se
          del caso, informa le autorita'  degli  altri  Stati  membri
          nonche' l'ENISA. 
              4. Il Ministero, anche su impulso dell'Autorita',  puo'
          informare il pubblico o imporre all'impresa di  farlo,  ove
          accerti che la divulgazione  della  violazione  di  cui  al
          comma 2, lettera b), sia nell'interesse pubblico.  Anche  a
          tal fine, presso il Ministero e'  individuato  il  Computer
          Emergency Response Team (CERT) nazionale, avvalendosi delle
          risorse umane, strumentali e finanziarie e disponibili, con
          compiti di assistenza tecnica in caso  di  segnalazioni  da
          parte di utenti  e  di  diffusione  di  informazioni  anche
          riguardanti le contromisure adeguate per i tipi piu' comuni
          di incidente. 
              5. Il Ministero trasmette ogni  anno  alla  Commissione
          europea e all'ENISA una relazione sintetica delle notifiche
          ricevute e delle azioni adottate conformemente al  presente
          articolo.». 
              «Art. 16-ter (Attuazione e controllo).  -  1.Le  misure
          adottate ai fini dell'attuazione del  presente  articolo  e
          dell'art. 16-bissono approvate  con  decreto  del  Ministro
          dello sviluppo economico. 
              2.Ai fini del controllo del rispetto dell'art. 16-bisle
          imprese che forniscono reti pubbliche  di  comunicazioni  o
          servizi  di  comunicazione   elettronica   accessibili   al
          pubblico sono tenute a: 
                a)   fornire   al   Ministero,   e   se    necessario
          all'Autorita', le informazioni necessarie per  valutare  la
          sicurezza e l'integrita' dei  loro  servizi  e  delle  loro
          reti, in particolare i documenti relativi alle politiche di
          sicurezza; nonche'; 
                b)  sottostare  a  una   verifica   della   sicurezza
          effettuata dal Ministero, anche su impulso  dell'Autorita',
          in collaborazione  con  gli  Ispettorati  territoriali  del
          Ministero dello  sviluppo  economico,  o  da  un  organismo
          qualificato indipendente designato dal Ministero. L'impresa
          si assume l'onere finanziario della verifica. 
              3.Il Ministero  e  l'Autorita'  hanno  la  facolta'  di
          indagare i casi  di  mancata  conformita'  nonche'  i  loro
          effetti sulla sicurezza e l'integrita' delle reti. 
              4.Nel caso in cui  il  Ministero  riscontri,  anche  su
          indicazione    dell'Autorita',    il    mancato    rispetto
          degliarticoli   16-biso16-terovvero   delle    disposizioni
          attuative previste dal comma 1 da parte delle  imprese  che
          forniscono reti pubbliche di  comunicazioni  o  servizi  di
          comunicazione  elettronica  accessibili  al  pubblico,   si
          applicano le sanzioni di cui all'art.  98,  commi  da  4  a
          12.». 
              - Per i riferimenti normativi del  decreto  legislativo
          11 aprile 2011, n. 61, si veda nelle note alle premesse. 
              -  Per  i   riferimenti   normativi   della   direttiva
          2013/40/UE, si veda nelle note alle premesse. 
              - La decisione quadro 2005/222/GAI del  Consiglio,  del
          24 febbraio 2005, relativa agli attacchi contro  i  sistemi
          di informazione, e'  pubblicata  nella  G.U.U.E.  16  marzo
          2005, n. L 69. 
              - Si riporta il testo dell'art. 346  del  Trattato  sul
          funzionamento dell'Unione europea  (versione  consolidata),
          pubblicato nella G.U.U.E. 26 ottobre 2012, n. C 326: 
              «Art. 346 (ex art. 296 del TCE). - 1.  Le  disposizioni
          dei trattati non ostano alle norme seguenti: 
                a)  nessuno  Stato  membro  e'   tenuto   a   fornire
          informazioni  la  cui   divulgazione   sia   dallo   stesso
          considerata  contraria  agli  interessi  essenziali   della
          propria sicurezza; 
                b) ogni Stato membro  puo'  adottare  le  misure  che
          ritenga necessarie alla tutela degli  interessi  essenziali
          della  propria  sicurezza  e  che   si   riferiscano   alla
          produzione o al commercio di armi,  munizioni  e  materiale
          bellico; tali misure non devono alterare le  condizioni  di
          concorrenza nel  mercato  interno  per  quanto  riguarda  i
          prodotti che non  siano  destinati  a  fini  specificamente
          militari. 
              2. Il Consiglio, deliberando all'unanimita' su proposta
          della Commissione, puo' apportare modificazioni all'elenco,
          stabilito il 15 aprile 1958, dei prodotti cui si  applicano
          le disposizioni del paragrafo 1, lettera b).».