DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 9 dicembre 2021, n. 223

Regolamento di organizzazione e funzionamento dell'Agenzia per la cybersicurezza nazionale. (21G00246)

note: Entrata in vigore del provvedimento: 28/12/2021
vigente al 16/05/2022
Testo in vigore dal: 28-12-2021
 
                            IL PRESIDENTE 
                     DEL CONSIGLIO DEI MINISTRI 
 
  Vista la legge 23 agosto 1988, n. 400; 
  Visto il decreto-legge 14  giugno  2021,  n.  82,  convertito,  con
modificazioni,  dalla  legge  4  agosto   2021,   n.   109,   recante
«Disposizioni  urgenti  in  materia  di  cybersicurezza,  definizione
dell'architettura   nazionale   di   cybersicurezza   e   istituzione
dell'Agenzia per la cybersicurezza nazionale»  che,  in  particolare,
istituisce l'Agenzia per la cybersicurezza nazionale  (nel  prosieguo
«Agenzia») anche ai fini della tutela  della  sicurezza  nazionale  e
dell'interesse nazionale nello spazio cibernetico e, in  particolare,
l'articolo 6; 
  Vista la legge 7 agosto 1990, n. 241; 
  Visto il decreto legislativo  7  marzo  2005,  n.  82,  recante  il
«Codice dell'amministrazione digitale»; 
  Visto il decreto-legge  15  marzo  2012,  n.  21,  convertito,  con
modificazioni, dalla legge 11 maggio 2012, n. 56; 
  Visto il decreto legislativo 18 maggio 2018, n. 65,  di  attuazione
della  direttiva  (UE)  2016/1148  del  Parlamento  europeo   e   del
Consiglio, del 6 luglio 2016, recante misure per  un  livello  comune
elevato  di  sicurezza  delle  reti   e   dei   sistemi   informativi
nell'Unione; 
  Visto il decreto-legge 21 settembre 2019,  n.  105,  convertito  in
legge, con modificazioni, dalla  legge  18  novembre  2019,  n.  133,
recante «Disposizioni urgenti in materia di  perimetro  di  sicurezza
nazionale cibernetica e di disciplina dei poteri speciali nei settori
di rilevanza strategica»; 
  Visti gli articoli 2, comma 2, e 5, comma 2, secondo  periodo,  del
decreto-legge  n.  82  del  2021,  che  prevedono,  in   particolare,
rispettivamente,  che  il  Presidente  del  Consiglio  dei  ministri,
sentito il CIC, impartisce le  direttive  per  la  cybersicurezza  ed
emana  ogni  disposizione  necessaria  per  l'organizzazione   e   il
funzionamento dell'Agenzia, e che il  Presidente  del  Consiglio  dei
ministri  e  l'Autorita'  delegata,  ove  istituita,   si   avvalgano
dell'Agenzia per l'esercizio delle  competenze  di  cui  allo  stesso
decreto-legge; 
  Visti altresi' gli articoli 5, comma 2, primo periodo, e 12,  comma
1, del decreto-legge n. 82 del 2021, che prevedono,  in  particolare,
rispettivamente, che l'Agenzia e' dotata di autonomia  regolamentare,
amministrativa e organizzativa e  che  per  il  personale  del  ruolo
dell'Agenzia, di cui  all'articolo  12,  comma  2,  lettera  a),  del
richiamato decreto-legge, tenuto  conto  delle  funzioni  volte  alla
tutela  della  sicurezza  nazionale,  ne  sia  dettata  la   relativa
disciplina con apposito regolamento adottato  anche  in  deroga  alle
vigenti disposizioni di legge, ivi incluso il decreto legislativo  30
marzo  2001,   n.   165,   nel   rispetto   dei   principi   generali
dell'ordinamento  giuridico,  prevedendo,  infine,   un   trattamento
economico pari a quello in godimento da parte  dei  dipendenti  della
Banca d'Italia,  sulla  scorta  dell'equiparabilita'  delle  funzioni
svolte e del livello di responsabilita' rivestito; 
  Visto il  regolamento  adottato  con  decreto  del  Presidente  del
Consiglio dei ministri 30 luglio 2020, n. 131; 
  Visto il decreto del  Presidente  del  Consiglio  dei  ministri  13
settembre  2021,  recante  «Delega  di   funzioni   in   materia   di
cybersicurezza  all'Autorita'  delegata  per   la   sicurezza   della
Repubblica, prefetto Franco Gabrielli»; 
  Ritenuto di dare attuazione all'articolo 6, individuando un assetto
organizzativo e funzionale dell'Agenzia efficiente, coerente  con  la
missione istituzionale, raccordato e compatibile con le previsioni di
cui al richiamato articolo 12, comma 1, e che  consenta  di  disporre
delle   necessarie    dinamicita',    modularita'    e    gradualita'
nell'attivazione delle strutture  e  articolazioni  dell'Agenzia,  al
fine di assicurarne un pronto avvio  nel  rispetto  dei  principi  di
efficienza ed economicita'; 
  Visto l'articolo 6, comma 3, del decreto-legge n. 82 del 2021,  che
consente  l'adozione  del  presente  regolamento   in   deroga   alle
disposizioni dell'articolo 17 della legge 23 agosto 1988, n.  400  e,
dunque, anche in assenza del parere del Consiglio di Stato; 
  Acquisiti i pareri delle Commissioni I (Affari costituzionali) e IX
(Trasporti) riunite, IV (Difesa) e  V  (Bilancio)  della  Camera  dei
deputati, delle Commissioni 1ª (Affari costituzionali), 5ª (Bilancio)
e 8ª (Lavori pubblici, comunicazione) del Senato della  Repubblica  e
del Comitato parlamentare per la sicurezza della Repubblica; 
  Sentito il Comitato interministeriale per la cybersicurezza (CIC); 
  Di concerto con il Ministro dell'economia e delle finanze; 
 
                               Adotta 
                      il seguente regolamento: 
 
                               Art. 1 
 
                             Definizioni 
 
  1. Ai fini del presente regolamento si intende per: 
    a)  decreto-legge,  il  decreto-legge  14  giugno  2021,  n.  82,
convertito, con modificazioni, dalla legge 4  agosto  2021,  n.  109,
recante  disposizioni   urgenti   in   materia   di   cybersicurezza,
definizione   dell'architettura   nazionale   di   cybersicurezza   e
istituzione dell'Agenzia per la cybersicurezza nazionale; 
    b) Autorita' delegata, il Sottosegretario di Stato o il  Ministro
senza portafoglio di cui all'articolo 3 del decreto-legge; 
    c) CIC, il Comitato interministeriale per  la  cybersicurezza  di
cui all'articolo 4 del decreto-legge; 
    d) decreto legislativo NIS,  il  decreto  legislativo  18  maggio
2018, n.  65,  di  attuazione  della  direttiva  (UE)  2016/1148  del
Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure
per un livello comune elevato di sicurezza delle reti e  dei  sistemi
informativi  nell'Unione,  come  modificato  dall'articolo   15   del
decreto-legge; 
    e) decreto-legge perimetro, il decreto-legge 21  settembre  2019,
n. 105, convertito, con modificazioni, dalla legge 18 novembre  2019,
n. 133, recante disposizioni  urgenti  in  materia  di  perimetro  di
sicurezza nazionale cibernetica e di disciplina dei  poteri  speciali
nei settori di rilevanza strategica; 
    f) Tavolo Perimetro, il Tavolo interministeriale per l'attuazione
del perimetro di sicurezza nazionale cibernetica di cui  all'articolo
6, comma 1, del regolamento adottato con decreto del  Presidente  del
Consiglio dei ministri 30 luglio 2020, n. 131; 
    g) Comitato tecnico-scientifico, il Comitato di cui  all'articolo
7, comma 1-bis, del decreto-legge; 
    h) Comitato tecnico di raccordo, il Comitato di cui  all'articolo
9, comma 1, del decreto legislativo NIS; 
    i) CSIRT Italia, il Computer security incident response team,  di
cui all'articolo 8 del decreto legislativo NIS; 
    l) CVCN, il Centro di valutazione e certificazione  nazionale  di
cui all'articolo 1, comma 6, lettera a), del decreto-legge perimetro; 
    m) Centro di coordinamento, il Centro nazionale di  coordinamento
ai sensi  dell'articolo  6  del  regolamento  (UE)  n.  2021/887  del
Parlamento europeo e del Consiglio del 20 maggio 2021, che istituisce
il Centro europeo di competenza  per  la  cybersicurezza  nell'ambito
industriale, tecnologico  e  della  ricerca  e  la  rete  dei  centri
nazionali di coordinamento; 
    n) articolazioni: le Divisioni di cui all'articolo 4, comma 4,  e
gli altri gruppi di progetto, di studio e ricerca,  settori  e  altri
gruppi di cui all'articolo 4, comma 5, secondo periodo. 
          NOTE 
          Avvertenza: 
              - Il testo delle note qui pubblicato e'  stato  redatto
          dall'amministrazione  competente  per  materia,  ai   sensi
          dell'art. 10, comma 3, del testo unico  delle  disposizioni
          sulla  promulgazione  delle  leggi,   sull'emanazione   dei
          decreti   del   Presidente   della   Repubblica   e   sulle
          pubblicazioni   ufficiali   della   Repubblica    italiana,
          approvato con decreto del Presidente  della  Repubblica  28
          dicembre 1985, n. 1092,  al  solo  fine  di  facilitare  la
          lettura delle disposizioni di legge alle quali  e'  operato
          il rinvio. Restano invariati il valore e l'efficacia  degli
          atti legislativi qui trascritti. 
              - Per le direttive CEE vengono forniti gli  estremi  di
          pubblicazione  nella  Gazzetta  Ufficiale  delle  Comunita'
          europee (GUUE). 
          Note alle premesse: 
              -  La  legge  23  agosto  1988,  n.   400   (Disciplina
          dell'attivita' di Governo e  ordinamento  della  Presidenza
          del Consiglio dei ministri) e'  pubblicata  nella  Gazzetta
          Ufficiale 12 settembre 1988, n. 214, S.O. 
              - Il decreto-legge 14 giugno 2021, n. 82  (Disposizioni
          urgenti   in   materia   di   cybersicurezza,   definizione
          dell'architettura nazionale di cybersicurezza e istituzione
          dell'Agenzia per la cybersicurezza nazionale),  convertito,
          con modificazioni, dalla legge 4 agosto 2021,  n.  109,  e'
          pubblicato nella Gazzetta Ufficiale 14 giugno 2021, n. 140. 
              - La legge 7  agosto  1990,  n.  241  (Nuove  norme  in
          materia di procedimento  amministrativo  e  di  diritto  di
          accesso ai documenti amministrativi)  e'  pubblicata  nella
          Gazzetta Ufficiale 18 agosto 1990, n. 192. 
              - Il decreto legislativo 7 marzo 2005,  n.  82  (Codice
          dell'amministrazione digitale) e' pubblicato nella Gazzetta
          Ufficiale 16 maggio 2005, n. 112, S.O. 
              - Il decreto legge 15  marzo  2012,  n.  21  (Norme  in
          materia di poteri  speciali  sugli  assetti  societari  nei
          settori della difesa e della sicurezza  nazionale,  nonche'
          per  le  attivita'  di  rilevanza  strategica  nei  settori
          dell'energia,  dei  trasporti   e   delle   comunicazioni),
          convertito, con modificazioni, dalla legge 11 maggio  2012,
          n. 56, e' pubblicato  nella  Gazzetta  Ufficiale  15  marzo
          2012, n. 63. 
              -  Il  decreto  legislativo  18  maggio  2018,  n.  65,
          (Attuazione della direttiva (UE) 2016/1148  del  Parlamento
          europeo e del Consiglio, del 6 luglio 2016, recante  misure
          per un livello comune elevato di sicurezza delle reti e dei
          sistemi  informativi  nell'Unione)  e'   pubblicato   nella
          Gazzetta Ufficiale 9 giugno 2018, n. 132. 
              -  Il  decreto-legge  21   settembre   2019,   n.   105
          (Disposizioni urgenti in materia di perimetro di  sicurezza
          nazionale cibernetica e di disciplina dei  poteri  speciali
          nei  settori  di  rilevanza  strategica),  convertito,  con
          modificazioni, dalla legge 18 novembre  2019,  n.  133,  e'
          pubblicato nella Gazzetta Ufficiale 21 settembre  2019,  n.
          222. 
              - Si riporta il testo dell'articolo 2  e  del  comma  2
          dell'articolo 5 del citato decreto-legge 14 giugno 2021, n.
          82 (Disposizioni  urgenti  in  materia  di  cybersicurezza,
          definizione dell'architettura nazionale di cybersicurezza e
          istituzione dell'Agenzia per la cybersicurezza nazionale): 
                «Art. 2. (Competenze del Presidente del Consiglio dei
          ministri). - 1. Al Presidente del  Consiglio  dei  ministri
          sono attribuite in via esclusiva: 
                  a) l'alta direzione e la  responsabilita'  generale
          delle politiche di cybersicurezza; 
                  b)  l'adozione   della   strategia   nazionale   di
          cybersicurezza, sentito il Comitato  interministeriale  per
          la cybersicurezza (CIC) di cui all'articolo 4; 
                  c) la nomina e la revoca del direttore  generale  e
          del   vice   direttore   generale   dell'Agenzia   per   la
          cybersicurezza nazionale  di  cui  all'articolo  5,  previa
          deliberazione del Consiglio dei ministri. 
              2. Ai fini dell'esercizio delle competenze  di  cui  al
          comma 1, lettera  a),  e  dell'attuazione  della  strategia
          nazionale di cybersicurezza, il  Presidente  del  Consiglio
          dei ministri, sentito il CIC, impartisce le  direttive  per
          la cybersicurezza ed emana ogni disposizione necessaria per
          l'organizzazione e il  funzionamento  dell'Agenzia  per  la
          cybersicurezza nazionale. 
              3. Il Presidente del  Consiglio  dei  ministri  informa
          preventivamente il Comitato parlamentare per  la  sicurezza
          della Repubblica (COPASIR), di cui all' articolo  30  della
          legge 3 agosto 2007, n. 124, e le Commissioni  parlamentari
          competenti circa le nomine di cui al comma 1,  lettera  c),
          del presente articolo.». 
              «2. L'Agenzia  ha  personalita'  giuridica  di  diritto
          pubblico  ed  e'   dotata   di   autonomia   regolamentare,
          amministrativa, patrimoniale,  organizzativa,  contabile  e
          finanziaria, nei limiti di  quanto  previsto  dal  presente
          decreto.  Il  Presidente  del  Consiglio  dei  ministri   e
          l'Autorita'   delegata,   ove   istituita,   si   avvalgono
          dell'Agenzia per l'esercizio delle  competenze  di  cui  al
          presente decreto.». 
              - Si riporta il testo dell'articolo 12,  comma  1,  del
          citato decreto legge 14 giugno 2021, n. 82: 
                «Art. 12. (Personale). - 1. Con apposito  regolamento
          e'   dettata,   nel   rispetto   dei   principi    generali
          dell'ordinamento giuridico, anche in  deroga  alle  vigenti
          disposizioni di legge, ivi incluso il  decreto  legislativo
          30 marzo 2001, n. 165, e nel rispetto dei criteri di cui al
          presente  decreto,  la  disciplina   del   contingente   di
          personale addetto all'Agenzia, tenuto conto delle  funzioni
          volte alla tutela della sicurezza  nazionale  nello  spazio
          cibernetico   attribuite   all'Agenzia.   Il    regolamento
          definisce l'ordinamento e il reclutamento del personale,  e
          il  relativo   trattamento   economico   e   previdenziale,
          prevedendo, in particolare, per il  personale  dell'Agenzia
          di cui al comma 2, lettera  a),  un  trattamento  economico
          pari a quello in godimento da parte  dei  dipendenti  della
          Banca d'Italia, sulla scorta  della  equiparabilita'  delle
          funzioni svolte e del livello di responsabilita' rivestito.
          La  predetta  equiparazione,   con   riferimento   sia   al
          trattamento  economico  in  servizio  che  al   trattamento
          previdenziale,  produce  effetti   avendo   riguardo   alle
          anzianita'    di    servizio     maturate     a     seguito
          dell'inquadramento nei ruoli dell'Agenzia. 
              2. Il regolamento determina, nell'ambito delle  risorse
          finanziarie destinate all'Agenzia  ai  sensi  dell'articolo
          18, comma 1, in particolare: 
                a) l'istituzione di  un  ruolo  del  personale  e  la
          disciplina generale del rapporto d'impiego alle  dipendenze
          dell'Agenzia; 
                b)  la  possibilita'  di  procedere,  oltre  che   ad
          assunzioni  a  tempo  indeterminato  attraverso   modalita'
          concorsuali,  ad  assunzioni  a  tempo   determinato,   con
          contratti di diritto privato, di soggetti  in  possesso  di
          alta    e    particolare    specializzazione    debitamente
          documentata,  individuati  attraverso  adeguate   modalita'
          selettive, per lo svolgimento  di  attivita'  assolutamente
          necessarie all'operativita' dell'Agenzia o  per  specifiche
          progettualita' da portare a termine in  un  arco  di  tempo
          prefissato; 
                c) la possibilita' di avvalersi di un contingente  di
          esperti, non superiore  a  cinquanta  unita',  composto  da
          personale, collocato fuori ruolo o in posizione di  comando
          o altra analoga posizione  prevista  dagli  ordinamenti  di
          appartenenza, proveniente da pubbliche  amministrazioni  di
          cui all'articolo 1, comma 2,  del  decreto  legislativo  30
          marzo 2001, n. 165, con esclusione del  personale  docente,
          educativo,  amministrativo,  tecnico  e  ausiliario   delle
          istituzioni   scolastiche,   ovvero   da   personale    non
          appartenente alla pubblica amministrazione, in possesso  di
          specifica   ed   elevata   competenza   in    materia    di
          cybersicurezza e di tecnologie digitali  innovative,  nello
          sviluppo e gestione di processi complessi di trasformazione
          tecnologica e delle correlate iniziative di comunicazione e
          disseminazione,  nonche'  di  significativa  esperienza  in
          progetti  di  trasformazione  digitale,  ivi  compreso   lo
          sviluppo di programmi e piattaforme digitali con diffusione
          su larga scala. Il regolamento, a tali fini, disciplina  la
          composizione del contingente e il  compenso  spettante  per
          ciascuna professionalita'; 
                d) la determinazione della  percentuale  massima  dei
          dipendenti che e' possibile assumere a tempo determinato; 
                e)  la  possibilita'  di  impiegare   personale   del
          Ministero della difesa,  secondo  termini  e  modalita'  da
          definire con apposito decreto del Presidente del  Consiglio
          dei ministri; 
                f) le ipotesi di incompatibilita'; 
                g)  le  modalita'   di   progressione   di   carriera
          all'interno dell'Agenzia; 
                h) la disciplina e il procedimento per la definizione
          degli  aspetti  giuridici  e,  limitatamente  ad  eventuali
          compensi accessori, economici del rapporto di  impiego  del
          personale oggetto di negoziazione con le rappresentanze del
          personale; 
                i) le modalita' applicative  delle  disposizioni  del
          decreto legislativo 10 febbraio 2005,  n.  30,  recante  il
          Codice   della   proprieta'   industriale,   ai    prodotti
          dell'ingegno   ed   alle    invenzioni    dei    dipendenti
          dell'Agenzia; 
                l) i casi di cessazione dal  servizio  del  personale
          assunto a tempo  indeterminato  ed  i  casi  di  anticipata
          risoluzione dei rapporti a tempo determinato; 
                m) quali delle disposizioni possono essere oggetto di
          revisione   per   effetto   della   negoziazione   con   le
          rappresentanze del personale. 
              3. Qualora le assunzioni di cui al comma 2, lettera b),
          riguardino professori universitari di ruolo  o  ricercatori
          universitari confermati si applicano le disposizioni di cui
          all'articolo 12 del decreto del Presidente della Repubblica
          11 luglio 1980,  n.  382,  anche  per  quanto  riguarda  il
          collocamento in aspettativa. 
              4. In sede di prima applicazione delle disposizioni  di
          cui al presente decreto, il numero di posti previsti  dalla
          dotazione organica dell'Agenzia e' individuato nella misura
          complessiva di trecento unita', di cui fino a un massimo di
          otto di livello dirigenziale generale, fino a un massimo di
          24 di livello dirigenziale non generale e fino a un massimo
          di 268 unita' di personale non dirigenziale. 
              5.  Con  decreti  del  Presidente  del  Consiglio   dei
          ministri di concerto con il Ministro dell'economia e  delle
          finanze, la dotazione organica  puo'  essere  rideterminata
          nei limiti delle risorse finanziarie destinate  alle  spese
          per il personale di  cui  all'articolo  18,  comma  1.  Dei
          provvedimenti adottati in  materia  di  dotazione  organica
          dell'Agenzia e' data tempestiva  e  motivata  comunicazione
          alle Commissioni parlamentari competenti e al COPASIR. 
              6.  Le  assunzioni  effettuate  in   violazione   delle
          disposizioni del presente decreto o del regolamento di  cui
          al  presente  articolo  sono  nulle,  ferma   restando   la
          responsabilita' personale, patrimoniale e  disciplinare  di
          chi le ha disposte. 
              7. Il personale che presta comunque  la  propria  opera
          alle dipendenze o in favore dell'Agenzia e'  tenuto,  anche
          dopo la cessazione  di  tale  attivita',  al  rispetto  del
          segreto  su  cio'  di   cui   sia   venuto   a   conoscenza
          nell'esercizio o a causa delle proprie funzioni. 
              8. Il regolamento di cui al comma 1 e' adottato,  entro
          centoventi giorni dalla data di  entrata  in  vigore  della
          legge di conversione del presente decreto, con decreto  del
          Presidente del Consiglio  dei  ministri,  anche  in  deroga
          all'articolo 17 della legge 23 agosto 1988, n. 400,  previo
          parere  delle  Commissioni  parlamentari   competenti   per
          materia e per i profili finanziari  e,  per  i  profili  di
          competenza, del COPASIR e sentito il CIC.» 
              - Il decreto del Presidente del Consiglio dei  ministri
          30 luglio 2020, n. 131 (Regolamento in materia di perimetro
          di sicurezza nazionale cibernetica, ai sensi  dell'articolo
          1, comma 2, del decreto-legge 21 settembre  2019,  n.  105,
          convertito, con  modificazioni,  dalla  legge  18  novembre
          2019, n. 133) e' pubblicato  nella  Gazzetta  Ufficiale  21
          ottobre 2020, n. 261. 
              - Il decreto del Presidente del Consiglio dei  ministri
          13  settembre  2021  (Delega  di  funzioni  in  materia  di
          cybersicurezza  all'Autorita'  delegata  per  la  sicurezza
          della Repubblica, prefetto Franco GABRIELLI) e'  pubblicato
          nella Gazzetta Ufficiale 6 ottobre 2021, n. 239. 
              - Si riporta  il  testo  dell'articolo  6,  del  citato
          decreto-legge 14 giugno 2021, n. 82: 
                «Art.  6.   (Organizzazione   dell'Agenzia   per   la
          cybersicurezza  nazionale).  -  1.  L'organizzazione  e  il
          funzionamento dell'Agenzia sono  definiti  da  un  apposito
          regolamento che ne prevede, in particolare, l'articolazione
          fino ad  un  numero  massimo  di  otto  uffici  di  livello
          dirigenziale generale, nonche' fino ad un numero massimo di
          trenta articolazioni di livello dirigenziale  non  generale
          nell'ambito delle risorse finanziarie destinate all'Agenzia
          ai sensi dell'articolo 18, comma 1. 
              2. Sono organi dell'Agenzia il direttore generale e  il
          Collegio dei revisori dei conti. Con il regolamento di  cui
          al comma 1 sono disciplinati altresi': 
                a) le funzioni del  direttore  generale  e  del  vice
          direttore generale dell'Agenzia; 
                b) la composizione e il  funzionamento  del  Collegio
          dei revisori dei conti; 
                c) l'istituzione di eventuali sedi secondarie. 
              3. Il regolamento di cui al comma 1 e' adottato,  entro
          centoventi giorni dalla data di  entrata  in  vigore  della
          legge di conversione del presente decreto, con decreto  del
          Presidente del Consiglio dei ministri, di concerto  con  il
          Ministro dell'economia e delle  finanze,  anche  in  deroga
          all'articolo 17 della legge 23 agosto 1988, n. 400,  previo
          parere  delle  Commissioni  parlamentari   competenti   per
          materia e per i profili finanziari  e,  per  i  profili  di
          competenza, del COPASIR, sentito il CIC». 
              - Si riporta il testo dell'articolo 17, della legge  23
          agosto 1988, n. 400 (Disciplina dell'attivita' di Governo e
          ordinamento della Presidenza del Consiglio  dei  ministri),
          pubblicata nella Gazzetta Ufficiale 12 settembre  1988,  n.
          214, S.O. n. 86: 
                «Art.  17.  (Regolamenti).  -  1.  Con  decreto   del
          Presidente  della  Repubblica,  previa  deliberazione   del
          Consiglio dei ministri, sentito il parere del Consiglio  di
          Stato che deve  pronunziarsi  entro  novanta  giorni  dalla
          richiesta,   possono   essere   emanati   regolamenti   per
          disciplinare: 
                  a)  l'esecuzione  delle   leggi   e   dei   decreti
          legislativi, nonche' dei regolamenti comunitari; 
                  b) l'attuazione e l'integrazione delle leggi e  dei
          decreti legislativi recanti  norme  di  principio,  esclusi
          quelli  relativi  a  materie  riservate   alla   competenza
          regionale; 
                  c) le materie in cui manchi la disciplina da  parte
          di leggi o di atti aventi forza di legge, sempre che non si
          tratti di materie comunque riservate alla legge; 
                  d)  l'organizzazione  ed  il  funzionamento   delle
          amministrazioni pubbliche secondo le  disposizioni  dettate
          dalla legge; 
                  e) 
              2. Con decreto del Presidente della Repubblica,  previa
          deliberazione  del  Consiglio  dei  ministri,  sentito   il
          Consiglio  di  Stato  e  previo  parere  delle  Commissioni
          parlamentari competenti  in  materia,  che  si  pronunciano
          entro  trenta  giorni  dalla  richiesta,  sono  emanati   i
          regolamenti per la disciplina delle materie, non coperte da
          riserva assoluta di legge prevista dalla Costituzione,  per
          le  quali   le   leggi   della   Repubblica,   autorizzando
          l'esercizio  della  potesta'  regolamentare  del   Governo,
          determinano le norme generali regolatrici della  materia  e
          dispongono l'abrogazione delle norme vigenti,  con  effetto
          dall'entrata in vigore delle norme regolamentari. 
              3. Con decreto  ministeriale  possono  essere  adottati
          regolamenti nelle materie di competenza del ministro  o  di
          autorita'  sottordinate  al  ministro,  quando   la   legge
          espressamente conferisca tale potere. Tali regolamenti, per
          materie di competenza  di  piu'  ministri,  possono  essere
          adottati con decreti interministeriali, ferma  restando  la
          necessita' di apposita autorizzazione da parte della legge.
          I regolamenti ministeriali ed interministeriali non possono
          dettare norme contrarie a quelle  dei  regolamenti  emanati
          dal Governo. Essi debbono essere comunicati  al  Presidente
          del Consiglio dei ministri prima della loro emanazione. 
              4. I regolamenti di cui al comma  1  ed  i  regolamenti
          ministeriali ed interministeriali,  che  devono  recare  la
          denominazione di «regolamento», sono adottati previo parere
          del  Consiglio  di  Stato,  sottoposti  al  visto  ed  alla
          registrazione della Corte  dei  conti  e  pubblicati  nella
          Gazzetta Ufficiale. 
              4-bis. L'organizzazione e la  disciplina  degli  uffici
          dei Ministeri sono determinate, con regolamenti emanati  ai
          sensi del comma 2,  su  proposta  del  Ministro  competente
          d'intesa con il Presidente del Consiglio dei ministri e con
          il Ministro del tesoro, nel rispetto dei principi posti dal
          decreto legislativo 3 febbraio 1993, n.  29,  e  successive
          modificazioni, con  i  contenuti  e  con  l'osservanza  dei
          criteri che seguono: 
                a) riordino degli uffici  di  diretta  collaborazione
          con i Ministri ed i Sottosegretari di Stato, stabilendo che
          tali  uffici  hanno  esclusive   competenze   di   supporto
          dell'organo di direzione politica e di raccordo tra  questo
          e l'amministrazione; 
                b)   individuazione   degli   uffici    di    livello
          dirigenziale  generale,  centrali  e  periferici,  mediante
          diversificazione tra strutture con funzioni  finali  e  con
          funzioni strumentali e  loro  organizzazione  per  funzioni
          omogenee e secondo criteri di flessibilita'  eliminando  le
          duplicazioni funzionali; 
                c) previsione  di  strumenti  di  verifica  periodica
          dell'organizzazione e dei risultati; 
                d)   indicazione   e   revisione   periodica    della
          consistenza delle piante organiche; 
                e) previsione di decreti ministeriali di  natura  non
          regolamentare per la definizione dei compiti  delle  unita'
          dirigenziali   nell'ambito   degli   uffici    dirigenziali
          generali. 
              4-ter. Con regolamenti da emanare ai sensi del comma  1
          del presente articolo, si provvede  al  periodico  riordino
          delle disposizioni regolamentari vigenti, alla ricognizione
          di quelle che sono state oggetto di abrogazione implicita e
          all'espressa abrogazione di quelle che  hanno  esaurito  la
          loro funzione o sono prive di effettivo contenuto normativo
          o sono comunque obsolete.». 
 
          Note all'art. 1: 
              - Per i riferimenti del decreto legge 14  giugno  2021,
          n. 82 (Disposizioni urgenti in materia  di  cybersicurezza,
          definizione dell'architettura nazionale di cybersicurezza e
          istituzione dell'Agenzia per la cybersicurezza  nazionale),
          si veda nelle note alle premesse. 
              - Si riporta il testo degli artt.  3  e  4  del  citato
          decreto-legge 14 giugno 2021, n. 82: 
                «Art. 3. (Autorita' delegata). - 1. Il Presidente del
          Consiglio dei ministri,  ove  lo  ritenga  opportuno,  puo'
          delegare all'Autorita' di cui all'articolo 3 della legge  3
          agosto 2007, n. 124, ove istituita, denominata di  seguito:
          "Autorita'  delegata",  le  funzioni  di  cui  al  presente
          decreto che non sono ad esso attribuite in via esclusiva. 
              2.  Il  Presidente  del  Consiglio  dei   ministri   e'
          costantemente  informato  dall'Autorita'   delegata   sulle
          modalita' di esercizio delle funzioni delegate ai sensi del
          presente decreto e, fermo restando il potere di  direttiva,
          puo' in qualsiasi momento avocare l'esercizio di tutte o di
          alcune di esse. 
              3. L'Autorita' delegata,  in  relazione  alle  funzioni
          delegate ai sensi  del  presente  decreto,  partecipa  alle
          riunioni del Comitato interministeriale per la  transizione
          digitale di cui all'articolo 8 del decreto-legge  1°(gradi)
          marzo 2021, n. 22,  convertito,  con  modificazioni,  dalla
          legge 22 aprile 2021, n. 55.». 
                «Art.   4.   (Comitato   interministeriale   per   la
          cybersicurezza). - 1. Presso la  Presidenza  del  Consiglio
          dei ministri e' istituito il Comitato interministeriale per
          la  cybersicurezza  (CIC),  con  funzioni  di   consulenza,
          proposta  e  vigilanza   in   materia   di   politiche   di
          cybersicurezza. 
              2. Il Comitato: 
                a) propone al Presidente del Consiglio  dei  ministri
          gli indirizzi  generali  da  perseguire  nel  quadro  delle
          politiche di cybersicurezza nazionale; 
                b) esercita l'alta sorveglianza sull'attuazione della
          strategia nazionale di cybersicurezza; 
                c) promuove l'adozione  delle  iniziative  necessarie
          per favorire l'efficace collaborazione, a livello nazionale
          e  internazionale,  tra  i  soggetti  istituzionali  e  gli
          operatori privati interessati alla cybersicurezza,  nonche'
          per la condivisione delle informazioni e per l'adozione  di
          migliori pratiche e di misure rivolte  all'obiettivo  della
          cybersicurezza e allo sviluppo industriale,  tecnologico  e
          scientifico in materia di cybersicurezza; 
                d) esprime il parere sul bilancio  preventivo  e  sul
          bilancio  consuntivo  dell'Agenzia  per  la  cybersicurezza
          nazionale. 
              3.  Il  Comitato  e'  presieduto  dal  Presidente   del
          Consiglio  dei  ministri  ed  e'  composto   dall'Autorita'
          delegata, ove istituita, dal Ministro degli affari esteri e
          della    cooperazione    internazionale,    dal    Ministro
          dell'interno, dal Ministro della  giustizia,  dal  Ministro
          della difesa, dal Ministro dell'economia e  delle  finanze,
          dal Ministro dello sviluppo economico, dal  Ministro  della
          transizione  ecologica,  dal  Ministro  dell'universita'  e
          della ricerca,  dal  Ministro  delegato  per  l'innovazione
          tecnologica e la transizione digitale e dal Ministro  delle
          infrastrutture e della mobilita' sostenibili. 
              4.  Il   direttore   generale   dell'Agenzia   per   la
          cybersicurezza nazionale svolge le funzioni  di  segretario
          del Comitato. 
              5.  Il  Presidente  del  Consiglio  dei  ministri  puo'
          chiamare a partecipare alle sedute del  Comitato,  anche  a
          seguito di loro richiesta, senza  diritto  di  voto,  altri
          componenti  del  Consiglio  dei  ministri,  nonche'   altre
          autorita' civili e militari di  cui,  di  volta  in  volta,
          ritenga necessaria la presenza in relazione alle  questioni
          da trattare.». 
              6.  Il  Comitato  svolge  altresi'  le  funzioni   gia'
          attribuite al Comitato interministeriale per  la  sicurezza
          della Repubblica (CISR), di cui all'articolo 5 della  legge
          3 agosto 2007, n. 124, dal decreto-legge  perimetro  e  dai
          relativi  provvedimenti  attuativi,  fatta  eccezione   per
          quelle previste dall'articolo 5 del medesimo  decreto-legge
          perimetro.". 
              -  Il  decreto  legislativo  18  maggio  2018,  n.   65
          (Attuazione della direttiva (UE) 2016/1148  del  Parlamento
          europeo e del Consiglio, del 6 luglio 2016, recante  misure
          per un livello comune elevato di sicurezza delle reti e dei
          sistemi  informativi  nell'Unione)  e'   pubblicato   nella
          Gazzetta Ufficiale 9 giugno 2018, n. 132. 
              - Si riporta  il  testo  dell'articolo  15  del  citato
          decreto legge 14 giugno 2021, n. 82: 
                «Art. 15. (Attuazione e controllo). - 1. Nel caso  in
          cui sia dimostrato il mancato rispetto  degli  obblighi  di
          cui all'articolo 14  da  parte  dei  fornitori  di  servizi
          digitali, l'autorita' competente NIS puo'  adottare  misure
          di vigilanza ex post adeguate alla  natura  dei  servizi  e
          delle operazioni. La  dimostrazione  del  mancato  rispetto
          degli  obblighi   puo'   essere   prodotta   dall'autorita'
          competente di un altro Stato membro in cui  e'  fornito  il
          servizio. 
              2. Ai fini del comma 1, i fornitori di servizi digitali
          sono tenuti a: 
                a) fornire le informazioni necessarie per valutare la
          sicurezza della loro rete e dei loro  sistemi  informativi,
          compresi i documenti relativi alle politiche di sicurezza; 
                b) porre rimedio ad ogni  mancato  adempimento  degli
          obblighi di cui all'articolo 14. 
              3.  Se  un  fornitore  di  servizi   digitali   ha   lo
          stabilimento principale o un rappresentante  in  uno  Stato
          membro, ma la sua rete o i suoi  sistemi  informativi  sono
          ubicati in uno  o  piu'  altri  Stati  membri,  l'autorita'
          competente dello Stato membro dello stabilimento principale
          o del rappresentante e le autorita' competenti dei suddetti
          altri Stati membri cooperano e si assistono  reciprocamente
          in   funzione   delle   necessita'.   Tale   assistenza   e
          cooperazione puo' comprendere scambi di informazioni tra le
          autorita' competenti interessate e richieste di adottare le
          misure di vigilanza di cui al comma 1.». 
              - Per i  riferimenti  del  decreto-legge  21  settembre
          2019, n. 105 si veda nelle note alle premesse. 
              - Si riporta il testo dell'articolo  6,  comma  1,  del
          decreto del Presidente del Consiglio dei ministri 30 luglio
          2020, n.  131  (Regolamento  in  materia  di  perimetro  di
          sicurezza nazionale cibernetica, ai sensi dell'articolo  1,
          comma 2, del  decreto-legge  21  settembre  2019,  n.  105,
          convertito, con  modificazioni,  dalla  legge  18  novembre
          2019, n. 133): 
                «Art. 6. (Tavolo interministeriale  per  l'attuazione
          del perimetro di sicurezza nazionale cibernetica  -  Tavolo
          interministeriale). - 1. E' istituito, a supporto del  CISR
          tecnico, il Tavolo interministeriale per  l'attuazione  del
          perimetro di sicurezza nazionale cibernetica,  di  seguito:
          "Tavolo interministeriale".». 
              - Si riporta il testo dell'articolo 7, comma 1-bis, del
          citato decreto-legge 14 giugno 2021, n. 82: 
                «Art. 7. (Funzioni dell'Agenzia per la cybersicurezza
          nazionale). - 1-bis. Anche  ai  fini  dell'esercizio  delle
          funzioni di cui al comma 1, lettere r), s), t), u), v),  z)
          e aa), presso  l'Agenzia  e'  istituito,  con  funzioni  di
          consulenza e di proposta, un Comitato  tecnico-scientifico,
          presieduto dal direttore generale della medesima Agenzia, o
          da un dirigente da lui delegato, e  composto  da  personale
          della  stessa  Agenzia  e  da  qualificati   rappresentanti
          dell'industria, degli enti  di  ricerca,  dell'accademia  e
          delle associazioni del settore della  sicurezza,  designati
          con decreto del Presidente del Consiglio dei  ministri.  La
          composizione    e     l'organizzazione     del     Comitato
          tecnico-scientifico sono disciplinate secondo le  modalita'
          e i criteri definiti dal regolamento di cui all'articolo 6,
          comma   1.    Per    la    partecipazione    al    Comitato
          tecnico-scientifico non sono previsti gettoni di  presenza,
          compensi o rimborsi di spese.». 
              - Si riporta il testo dell'articolo  9,  comma,  1  del
          citato decreto legislativo 18 maggio 2018, n. 65: 
                «Art. 9. (Cooperazione a livello nazionale). - 1.  Le
          autorita' di settore collaborano con l'autorita'  nazionale
          competente NIS per l'adempimento degli obblighi di  cui  al
          presente decreto. A tal fine e' istituito presso  l'Agenzia
          per la cybersicurezza  nazionale  un  Comitato  tecnico  di
          raccordo.  Il   Comitato   e'   presieduto   dall'autorita'
          nazionale competente NIS ed e' composto dai  rappresentanti
          delle amministrazioni statali individuate  quali  autorita'
          di settore e da rappresentanti  delle  regioni  e  province
          autonome in numero non superiore  a  due,  designati  dalle
          regioni  e  province  autonome  in   sede   di   Conferenza
          permanente per i rapporti tra lo Stato,  le  regioni  e  le
          Province autonome di Trento e di Bolzano.  L'organizzazione
          del Comitato e' definita con  decreto  del  Presidente  del
          Consiglio dei ministri, sentita  la  Conferenza  unificata.
          Per la partecipazione al Comitato tecnico di  raccordo  non
          sono previsti gettoni di presenza, compensi o  rimborsi  di
          spese.». 
              -  Il  testo  dell'articolo  8   del   citato   decreto
          legislativo n. 65 del 2018 e' il seguente: 
                «Art. 8.  (Gruppi  di  intervento  per  la  sicurezza
          informatica  in  caso  di  incidente  -  CSIRT).  -  1.  E'
          istituito,   presso   l'Agenzia   per   la   cybersicurezza
          nazionale, il CSIRT Italia,  che  svolge  i  compiti  e  le
          funzioni  del  Computer  Emergency  Response  Team   (CERT)
          nazionale,  di  cui   all'articolo   16-bis   del   decreto
          legislativo 1° agosto 2003, n. 259,  e  del  CERT-PA,  gia'
          operante presso l'Agenzia per l'Italia  digitale  ai  sensi
          dell'articolo 51 del decreto legislativo 7 marzo  2005,  n.
          82. 
              2. L'organizzazione e il funzionamento del CSIRT Italia
          sono disciplinati con decreto del Presidente del  Consiglio
          dei  ministri  ai  sensi  dell'articolo   7   del   decreto
          legislativo 30 luglio 1999, n. 303, da adottare entro il  9
          novembre 2018. 
              3. Nelle more dell'adozione del decreto di cui al comma
          2, le  funzioni  di  CSIRT  Italia  sono  svolte  dal  CERT
          nazionale unitamente al CERT-PA in collaborazione tra loro. 
              4. Il CSIRT Italia assicura la conformita' ai requisiti
          di cui all'allegato I, punto 1, svolge  i  compiti  di  cui
          all'allegato I, punto 2,  si  occupa  dei  settori  di  cui
          all'allegato II e dei servizi di  cui  all'allegato  III  e
          dispone   di   un'infrastruttura    di    informazione    e
          comunicazione appropriata, sicura e  resiliente  a  livello
          nazionale. 
              5. Il  CSIRT  Italia  definisce  le  procedure  per  la
          prevenzione e la gestione degli incidenti informatici. 
              6.  Il  CSIRT  Italia  garantisce   la   collaborazione
          effettiva, efficiente e sicura, nella rete di CSIRT di  cui
          all'articolo 11. 
              7. La Presidenza del Consiglio  dei  ministri  comunica
          alla Commissione europea il mandato del CSIRT Italia  e  le
          modalita' di trattamento degli incidenti a questo affidati. 
              8. Il CSIRT Italia, per lo  svolgimento  delle  proprie
          funzioni, puo' avvalersi anche  dell'Agenzia  per  l'Italia
          digitale. 
              9. Le funzioni  svolte  dal  Ministero  dello  sviluppo
          economico  in  qualita'  di   CERT   nazionale   ai   sensi
          dell'articolo 16-bis, del  decreto  legislativo  1°  agosto
          2003, n. 259, nonche' quelle svolte da Agenzia per l'Italia
          digitale in qualita' di CERT-PA, ai sensi dell'articolo  51
          del  decreto  legislativo  7  marzo  2005,  n.   82,   sono
          trasferite al CSIRT Italia a  far  data  dalla  entrata  in
          vigore del decreto di cui al comma 2. 
              10. Per le spese relative al  funzionamento  del  CSIRT
          Italia e' autorizzata la spesa di 2.000.000 di euro annui a
          decorrere dall'anno 2020. A tali oneri si provvede ai sensi
          dell'articolo 22.». 
              - Si riporta il testo dell'articolo 1, comma 6, lettera
          a) del citato decreto legge 21 settembre 2019, n. 105: 
                «6. Con regolamento, adottato ai sensi  dell'articolo
          17, comma 1, della legge 23  agosto  1988,  n.  400,  entro
          dieci mesi dalla data di entrata in vigore della  legge  di
          conversione del  presente  decreto,  sono  disciplinati  le
          procedure, le modalita' e i termini con cui: 
                  a) i soggetti di cui al comma 2-bis, che  intendano
          procedere,  anche  per  il  tramite   delle   centrali   di
          committenza alle quali essi sono tenuti a fare  ricorso  ai
          sensi dell'articolo 1, comma 512, della legge  28  dicembre
          2015, n. 208, all'affidamento di forniture di beni, sistemi
          e servizi ICT destinati a essere impiegati sulle reti,  sui
          sistemi  informativi  e  per  l'espletamento  dei   servizi
          informatici di cui al comma 2, lettera b),  appartenenti  a
          categorie individuate, sulla  base  di  criteri  di  natura
          tecnica, con  decreto  del  Presidente  del  Consiglio  dei
          ministri, da  adottare  entro  dieci  mesi  dalla  data  di
          entrata in vigore della legge di conversione  del  presente
          decreto, ne danno comunicazione al Centro di valutazione  e
          certificazione  nazionale  (CVCN),  istituito   presso   il
          Ministero  dello  sviluppo  economico;   la   comunicazione
          comprende  anche  la  valutazione  del  rischio   associato
          all'oggetto della fornitura, anche in relazione  all'ambito
          di impiego. L'obbligo di comunicazione di cui alla presente
          lettera e'  efficace  a  decorrere  dal  trentesimo  giorno
          successivo  alla  pubblicazione  nella  Gazzetta  Ufficiale
          della Repubblica italiana del decreto  del  Presidente  del
          Consiglio  dei  ministri  che,  sentita  l'Agenzia  per  la
          cybersicurezza nazionale, attesta l'operativita' del CVCN e
          comunque dal 30 giugno 2022.  Entro  quarantacinque  giorni
          dalla  ricezione  della   comunicazione,   prorogabili   di
          quindici giorni, una sola volta,  in  caso  di  particolare
          complessita', il CVCN puo' effettuare verifiche preliminari
          ed imporre condizioni e test  di  hardware  e  software  da
          compiere anche in collaborazione con i soggetti di  cui  al
          comma 2-bis, secondo un  approccio  gradualmente  crescente
          nelle verifiche di sicurezza. Decorso il termine di cui  al
          precedente periodo senza che il CVCN si sia pronunciato,  i
          soggetti che  hanno  effettuato  la  comunicazione  possono
          proseguire nella  procedura  di  affidamento.  In  caso  di
          imposizione di condizioni e test di hardware e software,  i
          relativi bandi di  gara  e  contratti  sono  integrati  con
          clausole   che   condizionano,    sospensivamente    ovvero
          risolutivamente, il contratto al rispetto delle  condizioni
          e all'esito favorevole dei test disposti dal CVCN.  I  test
          devono essere conclusi  nel  termine  di  sessanta  giorni.
          Decorso il termine di cui al precedente periodo, i soggetti
          che hanno effettuato la  comunicazione  possono  proseguire
          nella  procedura  di   affidamento.   In   relazione   alla
          specificita' delle forniture di beni, sistemi e servizi ICT
          da  impiegare  su  reti,  sistemi  informativi  e   servizi
          informatici del  Ministero  dell'interno  e  del  Ministero
          della difesa, individuati ai sensi del comma 2, lettera b),
          i predetti Ministeri, nell'ambito  delle  risorse  umane  e
          finanziarie disponibili  a  legislazione  vigente  e  senza
          nuovi o maggiori oneri a carico della finanza pubblica,  in
          coerenza con quanto previsto dal presente decreto,  possono
          procedere, con le medesime modalita' e i  medesimi  termini
          previsti   dai   periodi    precedenti,    attraverso    la
          comunicazione ai propri Centri di  valutazione  accreditati
          per le attivita' di cui al presente decreto, ai  sensi  del
          comma 7,  lettera  b),  che  impiegano  le  metodologie  di
          verifica e di test definite  dal  CVCN.  Per  tali  casi  i
          predetti  Centri  informano  il  CVCN  con   le   modalita'
          stabilite con il decreto del Presidente del  Consiglio  dei
          ministri, di cui al comma 7, lettera b). Non  sono  oggetto
          di comunicazione gli affidamenti delle forniture  di  beni,
          sistemi e servizi  ICT  destinate  alle  reti,  ai  sistemi
          informativi e ai servizi  informatici  per  lo  svolgimento
          delle attivita' di prevenzione, accertamento e  repressione
          dei reati  e  i  casi  di  deroga  stabiliti  dal  medesimo
          regolamento con riguardo alle forniture di beni, sistemi  e
          servizi ICT per le quali sia  indispensabile  procedere  in
          sede estera, fermo restando, in entrambi i casi, l'utilizzo
          di beni, sistemi e  servizi  ICT  conformi  ai  livelli  di
          sicurezza di cui al comma 3,  lettera  b),  salvo  motivate
          esigenze connesse agli specifici  impieghi  cui  essi  sono
          destinati;». 
              - Si riporta il testo dell'articolo 6  del  regolamento
          (UE) n. 2021/887 del Parlamento europeo  e  del  Consiglio,
          del 20 maggio 2021, che istituisce  il  Centro  europeo  di
          competenza per la cibersicurezza  nell'ambito  industriale,
          tecnologico e della ricerca e la rete dei centri  nazionali
          di coordinamento, e' stata pubblicata nella GUUE 202 dell'8
          giugno 2021.