stai visualizzando l'atto

DECRETO LEGISLATIVO 3 agosto 2022, n. 123

Norme di adeguamento della normativa nazionale alle disposizioni del Titolo III «Quadro di certificazione della cibersicurezza» del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio del 17 aprile 2019 relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza»). (22G00133)

note: Entrata in vigore del provvedimento: 04/09/2022
nascondi
Testo in vigore dal:  4-9-2022

IL PRESIDENTE DELLA REPUBBLICA

Visto l'articolo 14, comma 1, della legge 23 agosto 1988, n. 400, recante disciplina dell'attività di Governo e ordinamento della Presidenza del Consiglio dei ministri;
Vista la legge 24 dicembre 2012, n. 234, recante norme generali sulla partecipazione dell'Italia alla formazione e all'attuazione della normativa e delle politiche dell'Unione europea;
Vista la legge 22 aprile 2021, n. 53, concernente delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea - Legge di delegazione europea 2019-2020, e, in particolare, l'articolo 18, recante i principi e criteri direttivi per l'adeguamento della normativa nazionale alle disposizioni del titolo III del regolamento (UE) 2019/881;
Visto il regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio, del 9 luglio 2008, che pone norme in materia di accreditamento e vigilanza del mercato per quanto riguarda la commercializzazione dei prodotti e che abroga il regolamento (CEE) n. 339/93;
Visto il regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013;
Visto il regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati);
Vista la legge 24 novembre 1981, n. 689, recante modifiche al sistema penale e che contiene disposizioni in materia di depenalizzazione, sanzioni amministrative e penali, pecuniarie ed accessorie;
Visto il decreto legislativo 23 gennaio 2002, n. 10, recante attuazione della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche , e, in particolare, l'articolo 10, comma 1, che ha previsto l'istituzione dello schema nazionale per la valutazione e certificazione di sicurezza nel settore della tecnologia dell'informazione preposto all'accertamento in Italia della conformità dei dispositivi per la creazione di una «firma sicura» ai requisiti prescritti dalla direttiva 1999/93/CE da definire con decreto del Presidente del Consiglio dei ministri o del Ministro per l'innovazione e le tecnologie, di concerto con altri Ministri;
Visto il decreto legislativo 30 giugno 2003, n. 196, concernente il codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE;
Visto il decreto legislativo 7 marzo 2005, n. 82, recante Codice dell'amministrazione digitale, che ha disposto l'abrogazione del decreto legislativo 23 gennaio 2002, n. 10, sostituendo l'articolo 10, comma 1 con il nuovo articolo 35, comma 5 ed adeguando il riferimento a «firma sicura» con il nuovo termine «firma qualificata»;
Visto l'articolo 7, comma 1, lettera e), del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, recante disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale, che attribuisce all'Agenzia per la cybersicurezza nazionale il ruolo di autorità nazionale di certificazione della cybersicurezza ai sensi dell'articolo 58 del regolamento (UE) 2019/881 e traferisce all'agenzia tutte le funzioni in materia di certificazione di cybersicurezza del Ministero dello sviluppo economico in base all'ordinamento vigente, ed il successivo articolo 16, comma 12, lettera b), dello stesso decreto, con il quale si dispone che ogni riferimento al Ministero dello sviluppo economico nell'articolo 18 della legge 22 aprile 2022, n. 53, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale;
Visto il decreto del Presidente del Consiglio dei ministri del 30 ottobre 2003, pubblicato nella Gazzetta Ufficiale n. 98 del 27 aprile 2004, recante approvazione dello schema nazionale per la valutazione e la certificazione della sicurezza nel settore della tecnologia dell'informazione, e che ha individuato, all'articolo 4, nell'ex Ministero delle comunicazioni, oggi Ministero dello sviluppo economico per effetto dei commi 376 e 377 dell'articolo 1 della legge del 24 dicembre 2007, n. 244, l'organismo di certificazione della sicurezza informatica nel settore della tecnologia dell'informazione, ai sensi dell'articolo 10, comma 1, del decreto legislativo 23 febbraio 2002, n. 10;
Visto il regolamento adottato con decreto del Presidente del Consiglio dei ministri del 9 dicembre 2021, n. 223, in materia di organizzazione e funzionamento dell'Agenzia per la cybersicurezza nazionale;
Vista la preliminare deliberazione del Consiglio dei ministri, adottata nella riunione del 5 maggio 2022;
Sentita l'Agenzia per la cybersicurezza nazionale di cui all'articolo 5 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, ai sensi dell'articolo 7, comma 1, lettera p), del medesimo decreto-legge;
Acquisiti i pareri delle competenti Commissioni della Camera dei deputati e del Senato della Repubblica;
Vista la deliberazione del Consiglio dei ministri, adottata nella riunione del 28 luglio 2022;
Sulla proposta del Presidente del Consiglio dei ministri e del Ministro dello sviluppo economico, di concerto con i Ministri degli affari esteri e della cooperazione internazionale, dell'economia e delle finanze, della giustizia, dell'interno, della difesa e per l'innovazione tecnologica e la transizione digitale;

Emana

il seguente decreto legislativo:

Art. 1

Oggetto e ambito di applicazione
1. Il presente decreto stabilisce misure volte ad adeguare la normativa nazionale al nuovo quadro europeo di certificazione della cybersicurezza, introdotto mediante le disposizioni del Titolo III del regolamento (UE) 2019/881.
2. Ai fini del comma 1, il presente decreto prevede:
a) l'individuazione dell'organizzazione dell'autorità nazionale di certificazione della cybersicurezza in Italia, di cui all'articolo 4, comma 1, in base ai compiti ed ai poteri ad essa attribuiti in materia di vigilanza in ambito nazionale e di rilascio dei certificati di cybersicurezza, con riferimento al quadro europeo di certificazione;
b) le modalità di cooperazione dell'autorità di cui alla lettera a) con le altre autorità pubbliche nazionali ed europee e con l'Organismo di accreditamento;
c) la definizione di un sistema sanzionatorio applicabile in caso di violazione delle norme del quadro europeo di certificazione con sanzioni effettive, proporzionate e dissuasive.
3. Il presente decreto si applica fatte salve le disposizioni specifiche riguardanti le attività nel settore della pubblica sicurezza, della difesa, della sicurezza nazionale e le attività dello Stato nell'ambito del diritto penale.
NOTE

Avvertenza:
Il testo delle note qui pubblicato è stato redatto dall'amministrazione competente per materia, ai sensi dell'art.10, comma 3, del testo unico delle disposizioni sulla promulgazione delle leggi, sull'emanazione dei decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali della Repubblica italiana, approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo fine di facilitare la lettura delle disposizioni di legge modificate o alle quali è operato il rinvio. Restano invariati il valore e l'efficacia degli atti legislativi qui trascritti.
Per gli atti dell'Unione europea vengono forniti gli estremi di pubblicazione nella Gazzetta Ufficiale dell'Unione Europea (GUUE).

Note alle premesse:
- L'art. 76 della Costituzione stabilisce che l'esercizio della funzione legislativa non può essere delegato al Governo se non con determinazione di principi e criteri direttivi e soltanto per tempo limitato e per oggetti definiti.
- L'art. 87 della Costituzione conferisce, tra l'altro, al Presidente della Repubblica il potere di promulgare le leggi e di emanare i decreti aventi valore di legge ed i regolamenti.
- Si riporta il testo dell'articolo 14, comma 1, della legge 23 agosto 1988. n. 400, recante «Disciplina dell'attività di Governo e ordinamento della Presidenza del Consiglio dei Ministri»:
«Art. 14 (Decreti legislativi). - I decreti legislativi adottati dal Governo ai sensi dell'articolo 76 della Costituzione sono emanati dal Presidente della Repubblica con la denominazione di "decreto legislativo" e con l'indicazione, nel preambolo, della legge di delegazione, della deliberazione del Consiglio dei ministri e degli altri adempimenti del procedimento prescritti dalla legge di delegazione.
Omissis.».
- La legge 24 dicembre 2012, n. 234, recante norme generali sulla partecipazione dell'Italia alla formazione e all'attuazione della normativa e delle politiche dell'Unione europea, è pubblicata nella Gazzetta Ufficiale n. 3 del 4 gennaio 2013.
- La legge 22 aprile 2021, n. 53, concernente delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea - Legge di delegazione europea 2019-2020, è pubblicata nella Gazzetta Ufficiale n. 97 del 23 aprile 2021.
- Si riporta il testo dell'articolo 18 della legge 22 aprile 2021, n. 5, recante i principi e criteri direttivi per l'adeguamento della normativa nazionale alle disposizioni del titolo III del regolamento (UE) 2019/881:
«Art. 18 (Principi e criteri direttivi per l'adeguamento della normativa nazionale alle disposizioni del titolo III, Quadro di certificazione della cibersicurezza, del regolamento (UE) 2019/881, relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza»)). - 1. Il Governo adotta, entro dodici mesi dalla data di entrata in vigore della presente legge, uno o più decreti legislativi per l'adeguamento della normativa nazionale al titolo III del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019.
2. Nell'esercizio della delega di cui al comma 1 il Governo osserva, oltre ai principi e criteri direttivi generali di cui all'articolo 32 della legge n. 234 del 2012, anche i seguenti principi e criteri direttivi specifici:
a) designare il Ministero dello sviluppo economico quale autorità competente ai sensi del paragrafo 1 dell'articolo 58 del regolamento (UE) 2019/881;
b) individuare l'organizzazione e le modalità per lo svolgimento dei compiti e l'esercizio dei poteri dell'autorità di cui alla lettera a), attribuiti ai sensi dell'articolo 58 e dell'articolo 56, paragrafi 5 e 6, del regolamento (UE) 2019/881;
c) definire il sistema delle sanzioni applicabili ai sensi dell'articolo 65 del regolamento (UE) 2019/881, prevedendo che gli introiti derivanti dall'irrogazione delle sanzioni siano versati all'entrata del bilancio dello Stato per essere riassegnati ad apposito capitolo dello stato di previsione del Ministero dello sviluppo economico per finalità di ricerca e formazione in materia di certificazione della cibersicurezza; le sanzioni amministrative pecuniarie non devono essere inferiori nel minimo a 15.000 euro e non devono essere superiori nel massimo a 5.000.000 di euro;
d) prevedere, in conformità all'articolo 58, paragrafi 7 e 8, del regolamento (UE) 2019/881, il potere dell'autorità di cui alla lettera a) di revocare i certificati rilasciati ai sensi dell'articolo 56, paragrafi 4 e 5, lettera b), emessi sul territorio nazionale, salvo diverse disposizioni dei singoli sistemi europei di certificazione adottati ai sensi dell'articolo 49 di detto regolamento.».
- Il regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio, del 9 luglio 2008, che pone norme in materia di accreditamento e vigilanza del mercato per quanto riguarda la commercializzazione dei prodotti e che abroga il regolamento (CEE) n. 339/93, è pubblicato nella GUUE L 218/30 del 13 agosto 2008.
- Il regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013, è pubblicato nella GUUE L 151/15 del 7 giugno 2019.
- Il regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE, è pubblicato nella GUUE L 257/73 del 28 agosto 2014.
- Il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), è pubblicato nella GUUE L 119/1 del 4 maggio 2016.
- La legge 24 novembre 1981, n. 689, recante modifiche al sistema penale e che contiene disposizioni in materia di depenalizzazione, sanzioni amministrative e penali, pecuniarie ed accessorie, è pubblicata nella Gazzetta Ufficiale n. 329 del 30 novembre 1981, S.O.
- Il decreto legislativo 23 gennaio 2002, n. 10, recante attuazione della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche, è pubblicato nella GU n. 39 del 15 febbraio 2002.
- Il decreto legislativo 30 giugno 2003, n. 196, concernente il codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, è pubblicato nella GU n. 174 del 29 luglio 2003, S.O.
- Si riporta il testo dell'articolo 35, comma 5, del decreto legislativo 7 marzo 2005, n. 82, recante Codice dell'amministrazione digitale, pubblicato nella Gazzetta Ufficiale n. 112 del 16 maggio 2005, S.O.:
«Art. 35 (Dispositivi sicuri e procedure per la generazione della firma qualificata). - Omissis.
5. La conformità dei requisiti di sicurezza dei dispositivi per la creazione di una firma elettronica qualificata o di un sigillo elettronico prescritti dall'Allegato II del regolamento eIDAS è accertata, in Italia, dall'Organismo di certificazione della sicurezza informatica in base allo schema nazionale per la valutazione e certificazione di sicurezza nel settore della tecnologia dell'informazione, fissato con decreto del Presidente del Consiglio dei Ministri, o, per sua delega, del Ministro per l'innovazione e le tecnologie, di concerto con i Ministri delle comunicazioni, delle attività produttive e dell'economia e delle finanze. L'attuazione dello schema nazionale non deve determinare nuovi o maggiori oneri per il bilancio dello Stato. Lo schema nazionale può prevedere altresì la valutazione e la certificazione relativamente ad ulteriori criteri europei ed internazionali, anche riguardanti altri sistemi e prodotti afferenti al settore suddetto. La valutazione della conformità del sistema e degli strumenti di autenticazione utilizzati dal titolare delle chiavi di firma è effettuata dall'Agenzia per l'Italia digitale in conformità ad apposite linee guida da questa emanate, acquisito il parere obbligatorio dell'Organismo di certificazione della sicurezza informatica.».
- Si riporta il testo dell'articolo 7, comma 1, lettera e), del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, recante disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale:
«Art. 7 (Funzioni dell'Agenzia per la cybersicurezza nazionale). - 1. L'Agenzia:
Omissis.
e) è Autorità nazionale di certificazione della cybersicurezza ai sensi dell'articolo 58 del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, e assume tutte le funzioni in materia di certificazione di sicurezza cibernetica già attribuite al Ministero dello sviluppo economico dall'ordinamento vigente, comprese quelle relative all'accertamento delle violazioni e all'irrogazione delle sanzioni; nello svolgimento dei compiti di cui alla presente lettera:
1) accredita, ai sensi dell'articolo 60, paragrafo 1, del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, le strutture specializzate del Ministero della difesa e del Ministero dell'interno quali organismi di valutazione della conformità per i sistemi di rispettiva competenza;
2) delega, ai sensi dell'articolo 56, paragrafo 6, lettera b), del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, il Ministero della difesa e il Ministero dell'interno, attraverso le rispettive strutture accreditate di cui al numero 1) della presente legge, al rilascio del certificato europeo di sicurezza cibernetica;
Omissis.».
- L'articolo 4 del decreto del Presidente del Consiglio dei ministri del 30 ottobre 2003, pubblicato nella Gazzetta Ufficiale n. 98 del 27 aprile 2004, recante approvazione dello schema nazionale per la valutazione e la certificazione della sicurezza nel settore della tecnologia dell'informazione, reca:
«Art. 4 (Organismo di certificazione).».
- Si riporta il testo dei commi 376 e 377 dell'articolo 1 della legge del 24 dicembre 2007, n. 244, recante «Disposizioni per la formazione del bilancio annuale e pluriennale dello Stato (legge finanziaria 2008)»:
«Art. 1 (Disposizioni in materia di entrata, nonché disposizioni concernenti le seguenti Missioni: Organi costituzionali, a rilevanza costituzionale e Presidenza del Consiglio dei ministri; Relazioni finanziarie con le autonomie territoriali). - Omissis.
376.
377. A far data dall'applicazione, ai sensi del comma 376, del decreto legislativo n. 300 del 1999 sono abrogate le disposizioni non compatibili con la riduzione dei Ministeri di cui al citato comma 376, ivi comprese quelle di cui al decreto-legge 12 giugno 2001, n. 217, convertito, con modificazioni, dalla legge 3 agosto 2001, n. 317, e successive modificazioni, e al decreto-legge 18 maggio 2006, n. 181, convertito, con modificazioni, dalla legge 17 luglio 2006, n. 233, e successive modificazioni, fatte comunque salve le disposizioni di cui all'articolo 1, commi 2, 2-bis, 2-ter, 2-quater, 2-quinquies, 10-bis, 10-ter, 12, 13-bis, 19, lettera a), 19-bis, 19-quater, 22, lettera a), 22-bis, 22-ter e 25-bis, del medesimo decreto-legge n. 181 del 2006, convertito, con modificazioni, dalla legge n. 233 del 2006, e successive modificazioni.
Omissis.».
- Il decreto del Presidente del Consiglio dei ministri 9 dicembre 2021, n. 223, in materia di organizzazione e funzionamento dell'Agenzia per la cybersicurezza nazionale, è pubblicato nella Gazzetta Ufficiale n. 306 del 27 dicembre 2021, S.O.

Note all'art. 1:
- Per i riferimenti al regolamento (UE) 2019/881, si rimanda nelle note alle premesse.