Normattiva - Il portale della legge vigente

Testo in vigore dal: 4-9-2022

 
                   IL PRESIDENTE DELLA REPUBBLICA 
 
  Visti gli articoli 76 e 87, quinto comma, della Costituzione; 
  Visto l'articolo 14, comma 1, della legge 23 agosto 1988,  n.  400,
recante disciplina dell'attivita'  di  Governo  e  ordinamento  della
Presidenza del Consiglio dei ministri; 
  Vista la legge 24 dicembre 2012, n.  234,  recante  norme  generali
sulla partecipazione dell'Italia  alla  formazione  e  all'attuazione
della normativa e delle politiche dell'Unione europea; 
  Vista la legge 22 aprile 2021, n. 53, concernente delega al Governo
per il recepimento delle direttive europee e  l'attuazione  di  altri
atti dell'Unione europea - Legge di delegazione europea 2019-2020, e,
in particolare, l'articolo 18, recante i principi e criteri direttivi
per l'adeguamento della normativa  nazionale  alle  disposizioni  del
titolo III del regolamento (UE) 2019/881; 
  Visto il regolamento (CE) n. 765/2008 del Parlamento europeo e  del
Consiglio,  del  9  luglio  2008,  che  pone  norme  in  materia   di
accreditamento  e  vigilanza  del  mercato  per  quanto  riguarda  la
commercializzazione dei prodotti e che abroga il regolamento (CEE) n.
339/93; 
  Visto il regolamento (UE) 2019/881 del  Parlamento  europeo  e  del
Consiglio,  del  17  aprile  2019,  relativo   all'ENISA,   l'Agenzia
dell'Unione europea per  la  cibersicurezza,  e  alla  certificazione
della cibersicurezza per  le  tecnologie  dell'informazione  e  della
comunicazione, e che abroga il regolamento (UE) n. 526/2013; 
  Visto il regolamento (UE) n. 910/2014 del Parlamento europeo e  del
Consiglio,  del  23  luglio  2014,  in  materia  di   identificazione
elettronica e servizi fiduciari per le transazioni  elettroniche  nel
mercato interno e che abroga la direttiva 1999/93/CE; 
  Visto il regolamento (UE) 2016/679 del  Parlamento  europeo  e  del
Consiglio, del 27 aprile 2016, relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche'  alla
libera circolazione di tali dati e che abroga la  direttiva  95/46/CE
(regolamento generale sulla protezione dei dati); 
  Vista la legge 24 novembre  1981,  n.  689,  recante  modifiche  al
sistema  penale  e  che   contiene   disposizioni   in   materia   di
depenalizzazione, sanzioni amministrative  e  penali,  pecuniarie  ed
accessorie; 
  Visto il decreto  legislativo  23  gennaio  2002,  n.  10,  recante
attuazione  della  direttiva  1999/93/CE  relativa   ad   un   quadro
comunitario per le firme elettroniche , e, in particolare, l'articolo
10, comma 1, che ha previsto l'istituzione dello schema nazionale per
la valutazione  e  certificazione  di  sicurezza  nel  settore  della
tecnologia  dell'informazione  preposto  all'accertamento  in  Italia
della conformita' dei dispositivi per  la  creazione  di  una  «firma
sicura»  ai  requisiti  prescritti  dalla  direttiva  1999/93/CE   da
definire con decreto del Presidente del Consiglio dei ministri o  del
Ministro per l'innovazione e le tecnologie,  di  concerto  con  altri
Ministri; 
  Visto il decreto legislativo 30 giugno 2003, n. 196, concernente il
codice  in  materia  di  protezione  dei  dati   personali,   recante
disposizioni  per   l'adeguamento   dell'ordinamento   nazionale   al
regolamento (UE) n. 2016/679 del Parlamento europeo e del  Consiglio,
del 27 aprile 2016, relativo alla protezione  delle  persone  fisiche
con riguardo al trattamento dei dati personali, nonche'  alla  libera
circolazione di tali dati e che abroga la direttiva 95/46/CE; 
  Visto il decreto legislativo 7 marzo 2005, n.  82,  recante  Codice
dell'amministrazione digitale,  che  ha  disposto  l'abrogazione  del
decreto legislativo 23 gennaio 2002, n.  10,  sostituendo  l'articolo
10, comma 1 con il  nuovo  articolo  35,  comma  5  ed  adeguando  il
riferimento  a  «firma  sicura»   con   il   nuovo   termine   «firma
qualificata»; 
  Visto l'articolo 7, comma  1,  lettera  e),  del  decreto-legge  14
giugno 2021, n. 82, convertito,  con  modificazioni,  dalla  legge  4
agosto 2021, n. 109,  recante  disposizioni  urgenti  in  materia  di
cybersicurezza,   definizione    dell'architettura    nazionale    di
cybersicurezza  e  istituzione  dell'Agenzia  per  la  cybersicurezza
nazionale,  che  attribuisce  all'Agenzia   per   la   cybersicurezza
nazionale il ruolo di autorita'  nazionale  di  certificazione  della
cybersicurezza  ai  sensi  dell'articolo  58  del  regolamento   (UE)
2019/881 e traferisce all'agenzia tutte le  funzioni  in  materia  di
certificazione  di  cybersicurezza  del  Ministero   dello   sviluppo
economico in base all'ordinamento vigente, ed il successivo  articolo
16, comma 12, lettera b), dello  stesso  decreto,  con  il  quale  si
dispone che ogni riferimento al Ministero  dello  sviluppo  economico
nell'articolo 18 della legge 22 aprile 2022, n. 53, ovunque  ricorra,
deve intendersi riferito all'Agenzia per la cybersicurezza nazionale; 
  Visto il decreto del Presidente del Consiglio dei ministri  del  30
ottobre 2003, pubblicato nella Gazzetta Ufficiale n. 98 del 27 aprile
2004, recante approvazione dello schema nazionale per la  valutazione
e la certificazione della  sicurezza  nel  settore  della  tecnologia
dell'informazione, e che  ha  individuato,  all'articolo  4,  nell'ex
Ministero  delle  comunicazioni,  oggi   Ministero   dello   sviluppo
economico per effetto dei commi 376 e 377 dell'articolo 1 della legge
del 24 dicembre 2007, n. 244,  l'organismo  di  certificazione  della
sicurezza informatica nel settore della tecnologia dell'informazione,
ai sensi dell'articolo  10,  comma  1,  del  decreto  legislativo  23
febbraio 2002, n. 10; 
  Visto il  regolamento  adottato  con  decreto  del  Presidente  del
Consiglio dei ministri del 9 dicembre 2021, n.  223,  in  materia  di
organizzazione e funzionamento  dell'Agenzia  per  la  cybersicurezza
nazionale; 
  Vista la preliminare  deliberazione  del  Consiglio  dei  ministri,
adottata nella riunione del 5 maggio 2022; 
  Sentita  l'Agenzia  per  la   cybersicurezza   nazionale   di   cui
all'articolo 5 del decreto-legge 14 giugno 2021, n.  82,  convertito,
con modificazioni, dalla legge  4  agosto  2021,  n.  109,  ai  sensi
dell'articolo 7, comma 1, lettera p), del medesimo decreto-legge; 
  Acquisiti i pareri delle competenti Commissioni  della  Camera  dei
deputati e del Senato della Repubblica; 
  Vista la deliberazione del Consiglio dei ministri,  adottata  nella
riunione del 28 luglio 2022; 
  Sulla proposta del Presidente del  Consiglio  dei  ministri  e  del
Ministro dello sviluppo economico, di concerto con i  Ministri  degli
affari esteri e della cooperazione  internazionale,  dell'economia  e
delle finanze, della giustizia,  dell'interno,  della  difesa  e  per
l'innovazione tecnologica e la transizione digitale; 
 
                                Emana 
                  il seguente decreto legislativo: 
 
                               Art. 1 
 
                  Oggetto e ambito di applicazione 
 
  1. Il presente decreto  stabilisce  misure  volte  ad  adeguare  la
normativa nazionale al nuovo quadro europeo di  certificazione  della
cybersicurezza, introdotto mediante le disposizioni  del  Titolo  III
del regolamento (UE) 2019/881. 
  2. Ai fini del comma 1, il presente decreto prevede: 
    a) l'individuazione dell'organizzazione dell'autorita'  nazionale
di certificazione della cybersicurezza in Italia, di cui all'articolo
4, comma 1, in base ai compiti ed ai poteri  ad  essa  attribuiti  in
materia  di  vigilanza  in  ambito  nazionale  e  di   rilascio   dei
certificati di cybersicurezza, con riferimento al quadro  europeo  di
certificazione; 
    b) le  modalita'  di  cooperazione  dell'autorita'  di  cui  alla
lettera a) con le altre autorita' pubbliche nazionali  ed  europee  e
con l'Organismo di accreditamento; 
    c) la definizione di un sistema sanzionatorio applicabile in caso
di violazione delle norme del quadro europeo  di  certificazione  con
sanzioni effettive, proporzionate e dissuasive. 
  3. Il presente decreto  si  applica  fatte  salve  le  disposizioni
specifiche  riguardanti  le  attivita'  nel  settore  della  pubblica
sicurezza, della difesa, della sicurezza  nazionale  e  le  attivita'
dello Stato nell'ambito del diritto penale. 

                                     NOTE 
 
          Avvertenza: 
              Il testo delle note qui  pubblicato  e'  stato  redatto
          dall'amministrazione  competente  per  materia,  ai   sensi
          dell'art.10, comma 3, del testo  unico  delle  disposizioni
          sulla  promulgazione  delle  leggi,   sull'emanazione   dei
          decreti   del   Presidente   della   Repubblica   e   sulle
          pubblicazioni   ufficiali   della   Repubblica    italiana,
          approvato con D.P.R. 28 dicembre 1985,  n.  1092,  al  solo
          fine di facilitare la lettura delle disposizioni  di  legge
          modificate o alle  quali  e'  operato  il  rinvio.  Restano
          invariati il valore e l'efficacia  degli  atti  legislativi
          qui trascritti. 
              Per gli atti dell'Unione europea  vengono  forniti  gli
          estremi   di   pubblicazione   nella   Gazzetta   Ufficiale
          dell'Unione Europea (GUUE). 
 
          Note alle premesse: 
              -  L'art.  76   della   Costituzione   stabilisce   che
          l'esercizio della  funzione  legislativa  non  puo'  essere
          delegato al Governo se non con determinazione di principi e
          criteri direttivi e  soltanto  per  tempo  limitato  e  per
          oggetti definiti. 
              - L'art. 87 della Costituzione conferisce, tra l'altro,
          al Presidente della Repubblica il potere di  promulgare  le
          leggi e di emanare i decreti aventi valore di  legge  ed  i
          regolamenti. 
              - Si riporta il testo dell'articolo 14, comma 1,  della
          legge  23  agosto  1988.  n.   400,   recante   «Disciplina
          dell'attivita' di Governo e  ordinamento  della  Presidenza
          del Consiglio dei Ministri»: 
                «Art.  14  (Decreti   legislativi).   -   I   decreti
          legislativi adottati dal Governo ai sensi dell'articolo  76
          della  Costituzione  sono  emanati  dal  Presidente   della
          Repubblica con la denominazione di "decreto legislativo"  e
          con  l'indicazione,   nel   preambolo,   della   legge   di
          delegazione, della deliberazione del Consiglio dei ministri
          e degli altri adempimenti del procedimento prescritti dalla
          legge di delegazione. 
                Omissis.». 
              - La legge 24 dicembre  2012,  n.  234,  recante  norme
          generali sulla partecipazione dell'Italia alla formazione e
          all'attuazione   della   normativa   e   delle    politiche
          dell'Unione europea, e' pubblicata nella Gazzetta Ufficiale
          n. 3 del 4 gennaio 2013. 
              - La legge 22 aprile 2021, n. 53, concernente delega al
          Governo  per  il  recepimento  delle  direttive  europee  e
          l'attuazione di altri atti dell'Unione europea -  Legge  di
          delegazione europea 2019-2020, e' pubblicata nella Gazzetta
          Ufficiale n. 97 del 23 aprile 2021. 
              - Si riporta il testo dell'articolo 18 della  legge  22
          aprile 2021, n. 5, recante i principi e  criteri  direttivi
          per   l'adeguamento   della   normativa   nazionale    alle
          disposizioni del titolo III del regolamento (UE) 2019/881: 
                «Art.  18   (Principi   e   criteri   direttivi   per
          l'adeguamento della normativa nazionale  alle  disposizioni
          del   titolo   III,   Quadro   di   certificazione    della
          cibersicurezza, del  regolamento  (UE)  2019/881,  relativo
          all'ENISA,   l'Agenzia   dell'Unione   europea    per    la
          cibersicurezza, e alla certificazione della  cibersicurezza
          per le tecnologie dell'informazione e della comunicazione e
          che abroga il regolamento (UE)  n.  526/2013  («regolamento
          sulla cibersicurezza»)). -  1.  Il  Governo  adotta,  entro
          dodici mesi dalla data di entrata in vigore della  presente
          legge, uno o piu'  decreti  legislativi  per  l'adeguamento
          della normativa nazionale al  titolo  III  del  regolamento
          (UE) 2019/881 del Parlamento europeo e del  Consiglio,  del
          17 aprile 2019. 
                2. Nell'esercizio della delega di cui al comma  1  il
          Governo osserva, oltre  ai  principi  e  criteri  direttivi
          generali di cui all'articolo 32  della  legge  n.  234  del
          2012,  anche  i  seguenti  principi  e  criteri   direttivi
          specifici: 
                  a) designare il Ministero dello sviluppo  economico
          quale  autorita'  competente  ai  sensi  del  paragrafo   1
          dell'articolo 58 del regolamento (UE) 2019/881; 
                  b) individuare l'organizzazione e le modalita'  per
          lo  svolgimento  dei  compiti  e  l'esercizio  dei   poteri
          dell'autorita' di cui alla lettera a), attribuiti ai  sensi
          dell'articolo 58 e dell'articolo 56, paragrafi 5 e  6,  del
          regolamento (UE) 2019/881; 
                  c) definire il sistema delle  sanzioni  applicabili
          ai sensi dell'articolo 65 del  regolamento  (UE)  2019/881,
          prevedendo  che  gli  introiti  derivanti  dall'irrogazione
          delle sanzioni siano versati all'entrata del bilancio dello
          Stato per essere riassegnati  ad  apposito  capitolo  dello
          stato di previsione del Ministero dello sviluppo  economico
          per  finalita'  di  ricerca  e  formazione  in  materia  di
          certificazione   della    cibersicurezza;    le    sanzioni
          amministrative pecuniarie non devono essere  inferiori  nel
          minimo a 15.000 euro e  non  devono  essere  superiori  nel
          massimo a 5.000.000 di euro; 
                  d)  prevedere,  in  conformita'  all'articolo   58,
          paragrafi 7 e 8, del regolamento (UE) 2019/881,  il  potere
          dell'autorita'  di  cui  alla  lettera  a)  di  revocare  i
          certificati rilasciati ai sensi dell'articolo 56, paragrafi
          4 e 5, lettera b), emessi sul territorio  nazionale,  salvo
          diverse  disposizioni  dei  singoli  sistemi   europei   di
          certificazione adottati ai sensi dell'articolo 49 di  detto
          regolamento.». 
              -  Il  regolamento  (CE)  n.  765/2008  del  Parlamento
          europeo e del Consiglio, del 9 luglio 2008, che pone  norme
          in materia di accreditamento e vigilanza  del  mercato  per
          quanto riguarda la commercializzazione dei prodotti  e  che
          abroga il regolamento (CEE) n. 339/93, e' pubblicato  nella
          GUUE L 218/30 del 13 agosto 2008. 
              - Il regolamento (UE) 2019/881 del Parlamento europeo e
          del Consiglio, del  17  aprile  2019,  relativo  all'ENISA,
          l'Agenzia dell'Unione europea per la cibersicurezza, e alla
          certificazione  della  cibersicurezza  per  le   tecnologie
          dell'informazione e della comunicazione, e  che  abroga  il
          regolamento (UE) n. 526/2013, e' pubblicato  nella  GUUE  L
          151/15 del 7 giugno 2019. 
              -  Il  regolamento  (UE)  n.  910/2014  del  Parlamento
          europeo e del Consiglio, del 23 luglio 2014, in materia  di
          identificazione elettronica  e  servizi  fiduciari  per  le
          transazioni elettroniche nel mercato interno e  che  abroga
          la direttiva 1999/93/CE, e' pubblicato nella GUUE L  257/73
          del 28 agosto 2014. 
              - Il regolamento (UE) 2016/679 del Parlamento europeo e
          del Consiglio, del 27 aprile 2016, relativo alla protezione
          delle persone fisiche con riguardo al trattamento dei  dati
          personali, nonche' alla libera circolazione di tali dati  e
          che abroga  la  direttiva  95/46/CE  (regolamento  generale
          sulla protezione dei dati),  e'  pubblicato  nella  GUUE  L
          119/1 del 4 maggio 2016. 
              - La legge 24 novembre 1981, n. 689, recante  modifiche
          al sistema penale e che contiene disposizioni in materia di
          depenalizzazione,   sanzioni   amministrative   e   penali,
          pecuniarie ed  accessorie,  e'  pubblicata  nella  Gazzetta
          Ufficiale n. 329 del 30 novembre 1981, S.O. 
              - Il  decreto  legislativo  23  gennaio  2002,  n.  10,
          recante attuazione della direttiva 1999/93/CE  relativa  ad
          un  quadro  comunitario  per  le  firme  elettroniche,   e'
          pubblicato nella GU n. 39 del 15 febbraio 2002. 
              -  Il decreto  legislativo  30  giugno  2003,  n.  196,
          concernente il codice in materia  di  protezione  dei  dati
          personali,   recante   disposizioni    per    l'adeguamento
          dell'ordinamento nazionale al regolamento (UE) n.  2016/679
          del Parlamento europeo e del Consiglio, del 27 aprile 2016,
          relativo alla protezione delle persone fisiche con riguardo
          al trattamento dei  dati  personali,  nonche'  alla  libera
          circolazione  di  tali  dati  e  che  abroga  la  direttiva
          95/46/CE, e' pubblicato nella GU n. 174 del 29 luglio 2003,
          S.O. 
              - Si riporta il testo dell'articolo 35,  comma  5,  del
          decreto legislativo 7 marzo 2005,  n.  82,  recante  Codice
          dell'amministrazione digitale,  pubblicato  nella  Gazzetta
          Ufficiale n. 112 del 16 maggio 2005, S.O.: 
                «Art. 35  (Dispositivi  sicuri  e  procedure  per  la
          generazione della firma qualificata). - Omissis. 
                5. La conformita'  dei  requisiti  di  sicurezza  dei
          dispositivi per  la  creazione  di  una  firma  elettronica
          qualificata  o  di  un   sigillo   elettronico   prescritti
          dall'Allegato II del regolamento  eIDAS  e'  accertata,  in
          Italia, dall'Organismo di  certificazione  della  sicurezza
          informatica  in  base  allo   schema   nazionale   per   la
          valutazione e certificazione di sicurezza nel settore della
          tecnologia  dell'informazione,  fissato  con  decreto   del
          Presidente del Consiglio dei Ministri, o, per  sua  delega,
          del Ministro per l'innovazione e le tecnologie, di concerto
          con  i  Ministri  delle  comunicazioni,   delle   attivita'
          produttive e dell'economia e  delle  finanze.  L'attuazione
          dello  schema  nazionale  non  deve  determinare  nuovi   o
          maggiori oneri per  il  bilancio  dello  Stato.  Lo  schema
          nazionale puo'  prevedere  altresi'  la  valutazione  e  la
          certificazione relativamente ad ulteriori  criteri  europei
          ed  internazionali,  anche  riguardanti  altri  sistemi   e
          prodotti afferenti  al  settore  suddetto.  La  valutazione
          della  conformita'  del  sistema  e  degli   strumenti   di
          autenticazione utilizzati  dal  titolare  delle  chiavi  di
          firma e' effettuata dall'Agenzia per l'Italia  digitale  in
          conformita' ad apposite  linee  guida  da  questa  emanate,
          acquisito  il   parere   obbligatorio   dell'Organismo   di
          certificazione della sicurezza informatica.». 
              - Si riporta il testo dell'articolo 7, comma 1, lettera
          e), del decreto-legge 14 giugno 2021,  n.  82,  convertito,
          con modificazioni, dalla  legge  4  agosto  2021,  n.  109,
          recante disposizioni urgenti in materia di  cybersicurezza,
          definizione dell'architettura nazionale di cybersicurezza e
          istituzione dell'Agenzia per la cybersicurezza nazionale: 
                «Art. 7 (Funzioni dell'Agenzia per la  cybersicurezza
          nazionale). - 1. L'Agenzia: 
                Omissis. 
                  e) e' Autorita' nazionale di  certificazione  della
          cybersicurezza ai sensi dell'articolo  58  del  regolamento
          (UE) 2019/881 del Parlamento europeo e del  Consiglio,  del
          17 aprile 2019, e assume tutte le funzioni  in  materia  di
          certificazione di sicurezza cibernetica gia' attribuite  al
          Ministero   dello   sviluppo   economico   dall'ordinamento
          vigente, comprese quelle  relative  all'accertamento  delle
          violazioni  e   all'irrogazione   delle   sanzioni;   nello
          svolgimento dei compiti di cui alla presente lettera: 
                    1)  accredita,   ai   sensi   dell'articolo   60,
          paragrafo 1, del regolamento (UE) 2019/881  del  Parlamento
          europeo e del Consiglio,  le  strutture  specializzate  del
          Ministero della difesa e del Ministero  dell'interno  quali
          organismi di valutazione della conformita' per i sistemi di
          rispettiva competenza; 
                    2) delega, ai sensi dell'articolo  56,  paragrafo
          6, lettera b), del regolamento (UE) 2019/881 del Parlamento
          europeo e del Consiglio, il Ministero  della  difesa  e  il
          Ministero dell'interno, attraverso le rispettive  strutture
          accreditate di cui al numero 1) della  presente  legge,  al
          rilascio del certificato europeo di sicurezza cibernetica; 
                Omissis.». 
              - L'articolo 4 del decreto del Presidente del Consiglio
          dei ministri del 30 ottobre 2003, pubblicato nella Gazzetta
          Ufficiale n. 98 del 27 aprile  2004,  recante  approvazione
          dello  schema   nazionale   per   la   valutazione   e   la
          certificazione della sicurezza nel settore della tecnologia
          dell'informazione, reca: 
                «Art. 4 (Organismo di certificazione).». 
              - Si riporta il testo dei commi 376 e 377 dell'articolo
          1 della  legge  del  24  dicembre  2007,  n.  244,  recante
          «Disposizioni per la  formazione  del  bilancio  annuale  e
          pluriennale dello Stato (legge finanziaria 2008)»: 
                «Art. 1 (Disposizioni in materia di entrata,  nonche'
          disposizioni  concernenti  le  seguenti  Missioni:   Organi
          costituzionali, a rilevanza costituzionale e Presidenza del
          Consiglio  dei  ministri;  Relazioni  finanziarie  con   le
          autonomie territoriali). - Omissis. 
                376. 
                377. A far data dall'applicazione, ai sensi del comma
          376, del decreto legislativo n. 300 del 1999 sono  abrogate
          le  disposizioni  non  compatibili  con  la  riduzione  dei
          Ministeri di cui al citato comma 376, ivi  comprese  quelle
          di cui al decreto-legge 12 giugno 2001, n. 217, convertito,
          con modificazioni, dalla legge 3 agosto  2001,  n.  317,  e
          successive modificazioni,  e  al  decreto-legge  18  maggio
          2006, n. 181, convertito, con modificazioni, dalla legge 17
          luglio 2006, n.  233,  e  successive  modificazioni,  fatte
          comunque salve le disposizioni di cui all'articolo 1, commi
          2, 2-bis, 2-ter, 2-quater, 2-quinquies, 10-bis, 10-ter, 12,
          13-bis, 19, lettera a), 19-bis, 19-quater, 22, lettera  a),
          22-bis, 22-ter e 25-bis, del medesimo decreto-legge n.  181
          del 2006, convertito, con modificazioni, dalla legge n. 233
          del 2006, e successive modificazioni. 
                Omissis.». 
              - Il decreto del Presidente del Consiglio dei  ministri
          9 dicembre 2021, n. 223, in  materia  di  organizzazione  e
          funzionamento dell'Agenzia per la cybersicurezza nazionale,
          e'  pubblicato  nella  Gazzetta  Ufficiale n.  306  del  27
          dicembre 2021, S.O. 
 
          Note all'art. 1: 
              - Per i riferimenti al regolamento  (UE)  2019/881,  si
          rimanda nelle note alle premesse.