Normattiva - Il portale della legge vigente

Testo in vigore dal: 17-7-2024

al: 9-10-2025

 
  La  Camera  dei  deputati  ed  il  Senato  della  Repubblica  hanno
approvato; 
 
                   IL PRESIDENTE DELLA REPUBBLICA 
 
                              Promulga 
 
la seguente legge: 
 
                               Art. 1 
 
                  Obblighi di notifica di incidenti 
 
  1. Le  pubbliche  amministrazioni  centrali  individuate  ai  sensi
dell'articolo 1, comma 3, della legge 31 dicembre 2009,  n.  196,  le
regioni e le province autonome di Trento  e  di  Bolzano,  le  citta'
metropolitane, i comuni con popolazione superiore a 100.000  abitanti
e, comunque, i comuni capoluoghi di regione, nonche' le  societa'  di
trasporto pubblico urbano  con  bacino  di  utenza  non  inferiore  a
100.000 abitanti,  le  societa'  di  trasporto  pubblico  extraurbano
operanti  nell'ambito  delle  citta'  metropolitane  e   le   aziende
sanitarie locali segnalano e  notificano,  con  le  modalita'  e  nei
termini di cui al  comma  2  del  presente  articolo,  gli  incidenti
indicati nella tassonomia di cui all'articolo  1,  comma  3-bis,  del
decreto-legge  21   settembre   2019,   n.   105,   convertito,   con
modificazioni, dalla legge 18 novembre 2019, n. 133, come  modificato
dall'articolo 3 della presente legge, aventi impatto su reti, sistemi
informativi e servizi informatici. Tra i soggetti di cui al  presente
comma sono altresi' comprese le  rispettive  societa'  in  house  che
forniscono servizi informatici, i servizi  di  trasporto  di  cui  al
primo  periodo  del  presente  comma  ovvero  servizi  di   raccolta,
smaltimento o  trattamento  di  acque  reflue  urbane,  domestiche  o
industriali, come definite ai sensi dell'articolo 2, punti 1),  2)  e
3), della direttiva 91/271/CEE del Consiglio, del 21 maggio  1991,  o
di gestione dei rifiuti, come  definita  ai  sensi  dell'articolo  3,
punto 9), della direttiva 2008/98/CE del  Parlamento  europeo  e  del
Consiglio, del 19 novembre 2008. 
  2. I soggetti di cui al comma 1 segnalano, senza ritardo e comunque
entro il termine massimo di ventiquattro ore dal momento  in  cui  ne
sono venuti a conoscenza a seguito delle evidenze comunque  ottenute,
qualunque incidente riconducibile a una delle  tipologie  individuate
nella tassonomia di cui al comma 1 ed effettuano,  entro  settantadue
ore a decorrere dal medesimo momento, la notifica completa  di  tutti
gli elementi informativi disponibili. La segnalazione e la successiva
notifica sono effettuate tramite le  apposite  procedure  disponibili
nel sito internet istituzionale dell'Agenzia  per  la  cybersicurezza
nazionale. 
  3. Per i comuni con popolazione superiore a 100.000  abitanti  e  i
comuni capoluoghi di regione, per le societa' di  trasporto  pubblico
urbano con bacino di utenza non inferiore a 100.000 abitanti, per  le
societa' di trasporto pubblico extraurbano operanti nell'ambito delle
citta' metropolitane, per  le  aziende  sanitarie  locali  e  per  le
societa' in house che forniscono servizi informatici,  i  servizi  di
trasporto di cui  al  presente  comma  ovvero  servizi  di  raccolta,
smaltimento o  trattamento  di  acque  reflue  urbane,  domestiche  o
industriali, come definite ai sensi dell'articolo 2, punti 1),  2)  e
3), della direttiva 91/271/CEE del Consiglio, del 21 maggio  1991,  o
di gestione dei rifiuti, come  definita  ai  sensi  dell'articolo  3,
punto 9), della direttiva 2008/98/CE del  Parlamento  europeo  e  del
Consiglio, del 19 novembre 2008, gli obblighi di cui ai commi 1  e  2
del presente articolo si applicano a  decorrere  dal  centottantesimo
giorno successivo alla data  di  entrata  in  vigore  della  presente
legge. 
  4. Qualora i soggetti  di  cui  al  comma  1  effettuino  notifiche
volontarie  di  incidenti  al  di  fuori  dei  casi  indicati   nella
tassonomia di cui al medesimo comma 1, si applicano  le  disposizioni
dell'articolo 18, commi 3, 4 e 5, del decreto legislativo  18  maggio
2018, n. 65. 
  5. Nel caso di inosservanza dell'obbligo  di  notifica  di  cui  ai
commi 1 e 2,  l'Agenzia  per  la  cybersicurezza  nazionale  comunica
all'interessato che la reiterazione dell'inosservanza,  nell'arco  di
cinque anni, comportera' l'applicazione delle disposizioni di cui  al
comma 6 e puo' disporre, nei dodici mesi successivi  all'accertamento
del ritardo o dell'omissione, l'invio di ispezioni, anche al fine  di
verificare  l'attuazione,   da   parte   dei   soggetti   interessati
dall'incidente, di interventi di rafforzamento della resilienza  agli
stessi, direttamente  indicati  dall'Agenzia  per  la  cybersicurezza
nazionale ovvero previsti da  apposite  linee  guida  adottate  dalla
medesima Agenzia. Le modalita' di tali  ispezioni  sono  disciplinate
con  determinazione  del  direttore  generale  dell'Agenzia  per   la
cybersicurezza nazionale, pubblicata nella Gazzetta Ufficiale. 
  6. Nei casi di reiterata inosservanza, nell'arco  di  cinque  anni,
dell'obbligo di notifica di cui ai commi 1  e  2,  l'Agenzia  per  la
cybersicurezza  nazionale  applica  altresi',  nel   rispetto   delle
disposizioni dell'articolo 17, comma 4-quater, del  decreto-legge  14
giugno 2021, n. 82, convertito,  con  modificazioni,  dalla  legge  4
agosto 2021, n.  109,  introdotto  dall'articolo  11  della  presente
legge, una sanzione amministrativa pecuniaria da euro 25.000  a  euro
125.000 a carico  dei  soggetti  di  cui  al  comma  1  del  presente
articolo. La violazione delle disposizioni del comma 1  del  presente
articolo puo' costituire  causa  di  responsabilita'  disciplinare  e
amministrativo-contabile per i funzionari e i dirigenti responsabili. 
  7. Fermi  restando  gli  obblighi  e  le  sanzioni,  anche  penali,
previsti da altre  norme  di  legge,  le  disposizioni  del  presente
articolo non si applicano: 
    a) ai soggetti di cui all'articolo 3, comma 1, lettere g)  e  i),
del decreto legislativo 18 maggio 2018, n. 65,  e  a  quelli  di  cui
all'articolo 1, comma 2-bis, del decreto-legge 21 settembre 2019,  n.
105, convertito, con modificazioni, dalla legge 18 novembre 2019,  n.
133; 
    b)  agli  organi   dello   Stato   preposti   alla   prevenzione,
all'accertamento  e  alla  repressione   dei   reati,   alla   tutela
dell'ordine e della sicurezza pubblica  e  alla  difesa  e  sicurezza
militare  dello  Stato  e  agli  organismi  di  informazione  per  la
sicurezza di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n.
124. 

                                    N O T E 
 
          Avvertenza: 
              Il testo delle note qui  pubblicato  e'  stato  redatto
          dall'amministrazione  competente  per  materia,  ai   sensi
          dell'art.10,  commi  2  e  3,   del   testo   unico   delle
          disposizioni    sulla    promulgazione     delle     leggi,
          sull'emanazione dei decreti del Presidente della Repubblica
          e sulle pubblicazioni ufficiali della Repubblica  italiana,
          approvato con d.p.r. 28 dicembre 1985, n.1092, al solo fine
          di  facilitare  la  lettura  delle  disposizioni  di  legge
          modificate o alle  quali  e'  operato  il  rinvio.  Restano
          invariati il valore e l'efficacia  degli  atti  legislativi
          qui trascritti. 
              Per le direttive CEE vengono  forniti  gli  estremi  di
          pubblicazione  nella  Gazzetta  Ufficiale  delle  comunita'
          europee (GUUE). 
 
          Note all'art. 1: 
              - Si riporta l'articolo 1 della legge 31 dicembre 2009,
          n. 196 (Legge di contabilita' e finanza pubblica): 
                «Art.  1  (Principi  di  coordinamento  e  ambito  di
          riferimento). - 1. Le amministrazioni pubbliche  concorrono
          al  perseguimento  degli  obiettivi  di  finanza   pubblica
          definiti in ambito nazionale in coerenza con le procedure e
          i criteri stabiliti dall'Unione europea e ne condividono le
          conseguenti responsabilita'. Il concorso  al  perseguimento
          di  tali  obiettivi  si   realizza   secondo   i   principi
          fondamentali dell'armonizzazione dei bilanci pubblici e del
          coordinamento della finanza pubblica. 
                2. Ai fini della applicazione delle  disposizioni  in
          materia di finanza pubblica, per amministrazioni  pubbliche
          si intendono, per  l'anno  2011,  gli  enti  e  i  soggetti
          indicati  a  fini  statistici   nell'elenco   oggetto   del
          comunicato dell'Istituto nazionale di statistica (ISTAT) in
          data 24 luglio 2010, pubblicato in pari data nella Gazzetta
          Ufficiale della  Repubblica  italiana  n.  171,  nonche'  a
          decorrere dall'anno 2012 gli enti e i soggetti  indicati  a
          fini statistici dal predetto Istituto  nell'elenco  oggetto
          del comunicato del medesimo Istituto in data  30  settembre
          2011, pubblicato in  pari  data  nella  Gazzetta  Ufficiale
          della   Repubblica   italiana   n.   228,   e    successivi
          aggiornamenti ai sensi del comma 3 del  presente  articolo,
          effettuati  sulla  base  delle  definizioni  di  cui   agli
          specifici regolamenti  dell'Unione  europea,  le  Autorita'
          indipendenti  e,  comunque,  le  amministrazioni   di   cui
          all'articolo 1, comma 2, del decreto legislativo  30  marzo
          2001, n. 165, e successive modificazioni. 
                3. La ricognizione delle amministrazioni pubbliche di
          cui al  comma  2  e'  operata  annualmente  dall'ISTAT  con
          proprio provvedimento e pubblicata nella Gazzetta Ufficiale
          entro il 30 settembre. 
                4. Le disposizioni recate dalla presente legge e  dai
          relativi   decreti   legislativi   costituiscono   principi
          fondamentali del coordinamento della  finanza  pubblica  ai
          sensi  dell'articolo  117   della   Costituzione   e   sono
          finalizzate  alla  tutela   dell'unita'   economica   della
          Repubblica italiana, ai sensi  dell'articolo  120,  secondo
          comma, della Costituzione. 
                5. Le disposizioni della presente legge si  applicano
          alle regioni a statuto speciale e alle province autonome di
          Trento e di Bolzano nel rispetto  di  quanto  previsto  dai
          relativi statuti.». 
              -  Si  riporta  l'articolo  1  del   decreto-legge   21
          settembre 2019, n. 105 (Disposizioni urgenti in materia  di
          perimetro  di  sicurezza   nazionale   cibernetica   e   di
          disciplina dei poteri speciali  nei  settori  di  rilevanza
          strategica), convertito, con modificazioni, dalla legge  18
          novembre 2019,  n.  133,  come  modificato  dalla  presente
          legge: 
                «Art.   1   (Perimetro   di    sicurezza    nazionale
          cibernetica). - 1. Al fine di assicurare un livello elevato
          di sicurezza delle reti,  dei  sistemi  informativi  e  dei
          servizi informatici delle amministrazioni pubbliche,  degli
          enti e degli operatori pubblici e privati aventi  una  sede
          nel territorio nazionale, da cui dipende l'esercizio di una
          funzione essenziale dello Stato, ovvero la  prestazione  di
          un servizio essenziale per  il  mantenimento  di  attivita'
          civili, sociali o economiche fondamentali per gli interessi
          dello Stato e dal cui malfunzionamento, interruzione, anche
          parziali, ovvero  utilizzo  improprio,  possa  derivare  un
          pregiudizio per la sicurezza  nazionale,  e'  istituito  il
          perimetro di sicurezza nazionale cibernetica. 
                2. Entro quattro mesi dalla data di entrata in vigore
          della  legge  di  conversione  del  presente  decreto,  con
          decreto del Presidente del Consiglio dei ministri, adottato
          su  proposta  del   Comitato   interministeriale   per   la
          cybersicurezza (CIC): 
                  a) sono definiti modalita' e criteri procedurali di
          individuazione  di  amministrazioni   pubbliche,   enti   e
          operatori pubblici e privati di cui al comma 1  aventi  una
          sede nel territorio nazionale,  inclusi  nel  perimetro  di
          sicurezza nazionale cibernetica e tenuti al rispetto  delle
          misure e degli obblighi previsti dal presente articolo;  ai
          fini  dell'individuazione,  fermo  restando  che  per   gli
          Organismi di informazione per la sicurezza si applicano  le
          norme previste dalla  legge  3  agosto  2007,  n.  124,  si
          procede sulla base dei seguenti criteri: 
                    1) il soggetto esercita una  funzione  essenziale
          dello Stato, ovvero assicura un servizio essenziale per  il
          mantenimento di  attivita'  civili,  sociali  o  economiche
          fondamentali per gli interessi dello Stato; 
                    2) l'esercizio di tale funzione o la  prestazione
          di tale servizio dipende da  reti,  sistemi  informativi  e
          servizi informatici; 
                    2-bis) l'individuazione avviene sulla base di  un
          criterio di gradualita',  tenendo  conto  dell'entita'  del
          pregiudizio per la sicurezza nazionale  che,  in  relazione
          alle specificita' dei diversi settori  di  attivita',  puo'
          derivare  dal  malfunzionamento,  dall'interruzione,  anche
          parziali, ovvero dall'utilizzo improprio  delle  reti,  dei
          sistemi informativi e dei servizi informatici predetti; 
                  b) sono definiti,  sulla  base  di  un'analisi  del
          rischio e di un criterio di  gradualita'  che  tenga  conto
          delle specificita' dei  diversi  settori  di  attivita',  i
          criteri con i quali  i  soggetti  di  cui  al  comma  2-bis
          predispongono e aggiornano con cadenza  almeno  annuale  un
          elenco delle reti, dei sistemi informativi  e  dei  servizi
          informatici di cui al comma 1,  di  rispettiva  pertinenza,
          comprensivo della relativa architettura e  componentistica,
          fermo restando che, per le reti, i sistemi informativi e  i
          servizi   informatici   attinenti   alla   gestione   delle
          informazioni classificate, si applica quanto  previsto  dal
          regolamento adottato ai sensi  dell'articolo  4,  comma  3,
          lettera  l),  della  legge   3   agosto   2007,   n.   124;
          all'elaborazione  di  tali  criteri   provvede,   adottando
          opportuni moduli organizzativi, il Tavolo interministeriale
          di cui all'articolo 6 del regolamento di cui al decreto del
          Presidente del Consiglio dei ministri 30  luglio  2020,  n.
          131;  entro  sei  mesi  dalla  data  della   comunicazione,
          prevista dal comma 2-bis, a ciascuno dei soggetti  iscritti
          nell'elenco di cui al medesimo comma, i soggetti pubblici e
          quelli    di    cui    all'articolo    29    del     codice
          dell'amministrazione   digitale,   di   cui   al    decreto
          legislativo 7 marzo 2005, n. 82, nonche' quelli privati, di
          cui  al  citato  comma  2-bis,  trasmettono  tali   elenchi
          all'Agenzia per la cybersicurezza nazionale, anche  per  le
          attivita' di prevenzione, preparazione e gestione di  crisi
          cibernetiche affidate al Nucleo per la  cybersicurezza;  il
          Dipartimento delle informazioni per la sicurezza, l'Agenzia
          informazioni  e  sicurezza  esterna  (AISE)   e   l'Agenzia
          informazioni   e   sicurezza   interna   (AISI)   ai   fini
          dell'esercizio delle funzioni istituzionali previste  dagli
          articoli 1, comma 3-bis, 4, 6 e 7 della legge  n.  124  del
          2007, nonche' l'organo del Ministero  dell'interno  per  la
          sicurezza   e   per   la   regolarita'   dei   servizi   di
          telecomunicazione   di   cui   all'articolo    7-bis    del
          decreto-legge 27  luglio  2005,  n.  144,  convertito,  con
          modificazioni, dalla legge 31 luglio 2005, n. 155, accedono
          a tali elenchi per il tramite della piattaforma digitale di
          cui all'articolo 9, comma 1,  del  regolamento  di  cui  al
          decreto del Presidente del Consiglio dei  ministri  n.  131
          del 2020, costituita presso l'Agenzia per la cybersicurezza
          nazionale. 
                2-bis.  L'elencazione  dei  soggetti  individuati  ai
          sensi del comma 2, lettera a),  e'  contenuta  in  un  atto
          amministrativo, adottato dal Presidente del  Consiglio  dei
          ministri, su proposta del CIC, entro  trenta  giorni  dalla
          data di entrata in vigore del decreto  del  Presidente  del
          Consiglio dei ministri di cui al comma 2. Il predetto  atto
          amministrativo, per il  quale  e'  escluso  il  diritto  di
          accesso, non e' soggetto a  pubblicazione,  fermo  restando
          che   a   ciascun   soggetto   e'   data,    separatamente,
          comunicazione  senza   ritardo   dell'avvenuta   iscrizione
          nell'elenco.    L'aggiornamento    del    predetto     atto
          amministrativo e' effettuato con le medesime  modalita'  di
          cui al presente comma. 
                2-ter. Gli elenchi dei soggetti di cui  alla  lettera
          a) del comma 2 del  presente  articolo  sono  trasmessi  al
          Dipartimento  delle  informazioni  per  la  sicurezza,  che
          provvede anche a  favore  dell'AISE  e  dell'AISI  ai  fini
          dell'esercizio delle funzioni istituzionali previste  dagli
          articoli 1, comma 3-bis, 4, 6 e  7  della  legge  3  agosto
          2007, n. 124. 
                3. Entro dieci mesi dalla data di entrata  in  vigore
          della  legge  di  conversione  del  presente  decreto,  con
          decreto del Presidente  del  Consiglio  dei  ministri,  che
          disciplina  altresi'  i  relativi   termini   e   modalita'
          attuative, adottato su proposta del CIC: 
                  a)  sono  definite  le  procedure  secondo  cui   i
          soggetti di cui al comma  2-bis  notificano  gli  incidenti
          aventi impatto  su  reti,  sistemi  informativi  e  servizi
          informatici di cui al comma 2, lettera  b),  al  Gruppo  di
          intervento  per  la  sicurezza  informatica  in   caso   di
          incidente  (CSIRT)  Italia,  che  inoltra  tali  notifiche,
          tempestivamente, al Dipartimento delle informazioni per  la
          sicurezza anche per le attivita' demandate al Nucleo per la
          sicurezza cibernetica; il Dipartimento  delle  informazioni
          per la sicurezza assicura la trasmissione  delle  notifiche
          cosi' ricevute all'organo del Ministero dell'interno per la
          sicurezza e la regolarita' dei servizi di telecomunicazione
          di cui all'articolo 7-bis del decreto-legge 27 luglio 2005,
          n. 144,  convertito,  con  modificazioni,  dalla  legge  31
          luglio 2005, n. 155, nonche' alla Presidenza del  Consiglio
          dei ministri, se provenienti da un soggetto pubblico  o  da
          un soggetto di cui all'articolo 29 del decreto  legislativo
          7 marzo 2005, n. 82, ovvero  al  Ministero  dello  sviluppo
          economico, se effettuate da un soggetto privato; 
                  b) sono stabilite misure volte a garantire  elevati
          livelli di sicurezza delle reti, dei sistemi informativi  e
          dei servizi informatici di cui  al  comma  2,  lettera  b),
          tenendo   conto   degli   standard   definiti   a   livello
          internazionale e dell'Unione europea relative: 
                    1) alla  struttura  organizzativa  preposta  alla
          gestione della sicurezza; 
                    1-bis)  alle  politiche  di  sicurezza   e   alla
          gestione del rischio; 
                    2) alla mitigazione e gestione degli incidenti  e
          alla  loro  prevenzione,  anche  attraverso  interventi  su
          apparati o prodotti che risultino gravemente inadeguati sul
          piano della sicurezza; 
                    3) alla protezione fisica e logica e dei dati; 
                    4)  all'integrita'  delle  reti  e  dei   sistemi
          informativi; 
                    5)  alla  gestione  operativa,  ivi  compresa  la
          continuita' del servizio; 
                    6) al monitoraggio, test e controllo; 
                    7) alla formazione e consapevolezza; 
                    8) all'affidamento di forniture di beni,  sistemi
          e  servizi  di  information  and  communication  technology
          (ICT), anche  mediante  definizione  di  caratteristiche  e
          requisiti di carattere generale, di standard e di eventuali
          limiti. 
                3-bis. Al di fuori dei casi di  cui  al  comma  3,  i
          soggetti di cui al comma 2-bis notificano gli incidenti  di
          cui all'articolo 1, comma 1, lettera h), del regolamento di
          cui al decreto del Presidente del Consiglio dei ministri 14
          aprile  2021,  n.  81,  aventi  impatto  su  reti,  sistemi
          informativi e servizi  informatici  di  propria  pertinenza
          diversi da quelli di  cui  al  comma  2,  lettera  b),  del
          presente  articolo,  fatta  eccezione  per  quelli   aventi
          impatto sulle reti, sui sistemi informativi e  sui  servizi
          informatici del Ministero della  difesa,  per  i  quali  si
          applicano i principi e le  modalita'  di  cui  all'articolo
          528, comma 1, lettera d), del  codice  di  cui  al  decreto
          legislativo 15 marzo  2010,  n.  66.  I  medesimi  soggetti
          provvedono a effettuare la segnalazione degli incidenti  di
          cui al presente comma  senza  ritardo,  comunque  entro  il
          termine massimo di ventiquattro ore,  e  ad  effettuare  la
          relativa notifica  entro  settantadue  ore.  Si  applicano,
          altresi', le disposizioni di cui all'articolo 4, commi 2  e
          4, del medesimo regolamento.  Con  determinazioni  tecniche
          del direttore generale, sentito il vice direttore generale,
          dell'Agenzia per la cybersicurezza nazionale,  e'  indicata
          la tassonomia degli incidenti che debbono essere oggetto di
          notifica ai sensi  del  presente  comma  e  possono  essere
          dettate specifiche  modalita'  di  notifica.  Nei  casi  di
          reiterata inosservanza degli obblighi di notifica di cui al
          presente  comma,  si  applica  la  sanzione  amministrativa
          pecuniaria da euro 25.000 a euro125.000. 
                4. All'elaborazione delle misure di cui al  comma  3,
          lettera b), provvedono, secondo gli  ambiti  di  competenza
          delineati dal presente decreto, il Ministero dello sviluppo
          economico e  la  Presidenza  del  Consiglio  dei  ministri,
          d'intesa  con  il  Ministero  della  difesa,  il  Ministero
          dell'interno, il Ministero dell'economia e delle finanze  e
          il Dipartimento delle informazioni per la sicurezza. 
                4-bis. Gli schemi dei decreti di cui ai commi 2  e  3
          sono trasmessi alla Camera dei deputati e al  Senato  della
          Repubblica per l'espressione del parere  delle  Commissioni
          parlamentari competenti per materia, che si pronunciano nel
          termine di trenta giorni, decorso il quale il decreto  puo'
          essere comunque adottato. I medesimi schemi  sono  altresi'
          trasmessi al Comitato parlamentare per la  sicurezza  della
          Repubblica. 
                4-ter. L'atto amministrativo di cui al comma 2-bis  e
          i suoi aggiornamenti sono  trasmessi,  entro  dieci  giorni
          dall'adozione, al Comitato parlamentare  per  la  sicurezza
          della Repubblica. 
                5. Per l'aggiornamento di quanto previsto dai decreti
          di cui ai commi 2  e  3  si  procede  secondo  le  medesime
          modalita' di cui ai commi 2,  3,  4  e  4-bis  con  cadenza
          almeno biennale. 
                6. Con regolamento, adottato ai  sensi  dell'articolo
          17, comma 1, della legge 23  agosto  1988,  n.  400,  entro
          dieci mesi dalla data di entrata in vigore della  legge  di
          conversione del  presente  decreto,  sono  disciplinati  le
          procedure, le modalita' e i termini con cui: 
                  a) i soggetti di cui al comma 2-bis, che  intendano
          procedere,  anche  per  il  tramite   delle   centrali   di
          committenza alle quali essi sono tenuti a fare  ricorso  ai
          sensi dell'articolo 1, comma 512, della legge  28  dicembre
          2015, n. 208, all'affidamento di forniture di beni, sistemi
          e servizi ICT destinati a essere impiegati sulle reti,  sui
          sistemi  informativi  e  per  l'espletamento  dei   servizi
          informatici di cui al comma 2, lettera b),  appartenenti  a
          categorie individuate, sulla  base  di  criteri  di  natura
          tecnica, con  decreto  del  Presidente  del  Consiglio  dei
          ministri, da  adottare  entro  dieci  mesi  dalla  data  di
          entrata in vigore della legge di conversione  del  presente
          decreto, ne danno comunicazione al Centro di valutazione  e
          certificazione  nazionale  (CVCN),  istituito   presso   il
          Ministero  dello  sviluppo  economico;   la   comunicazione
          comprende  anche  la  valutazione  del  rischio   associato
          all'oggetto della fornitura, anche in relazione  all'ambito
          di impiego. L'obbligo di comunicazione di cui alla presente
          lettera e'  efficace  a  decorrere  dal  trentesimo  giorno
          successivo  alla  pubblicazione  nella  Gazzetta  Ufficiale
          della Repubblica italiana del decreto  del  Presidente  del
          Consiglio  dei  ministri  che,  sentita  l'Agenzia  per  la
          cybersicurezza nazionale, attesta l'operativita' del CVCN e
          comunque dal 30 giugno 2022.  Entro  quarantacinque  giorni
          dalla  ricezione  della   comunicazione,   prorogabili   di
          quindici giorni, una sola volta,  in  caso  di  particolare
          complessita', il CVCN puo' effettuare verifiche preliminari
          ed imporre condizioni e test  di  hardware  e  software  da
          compiere anche in collaborazione con i soggetti di  cui  al
          comma 2-bis, secondo un  approccio  gradualmente  crescente
          nelle verifiche di sicurezza. Decorso il termine di cui  al
          precedente periodo senza che il CVCN si sia pronunciato,  i
          soggetti che  hanno  effettuato  la  comunicazione  possono
          proseguire nella  procedura  di  affidamento.  In  caso  di
          imposizione di condizioni e test di hardware e software,  i
          relativi bandi di  gara  e  contratti  sono  integrati  con
          clausole   che   condizionano,    sospensivamente    ovvero
          risolutivamente, il contratto al rispetto delle  condizioni
          e all'esito favorevole dei test disposti dal CVCN.  I  test
          devono essere conclusi  nel  termine  di  sessanta  giorni.
          Decorso il termine di cui al precedente periodo, i soggetti
          che hanno effettuato la  comunicazione  possono  proseguire
          nella  procedura  di   affidamento.   In   relazione   alla
          specificita' delle forniture di beni, sistemi e servizi ICT
          da  impiegare  su  reti,  sistemi  informativi  e   servizi
          informatici del  Ministero  dell'interno  e  del  Ministero
          della difesa, individuati ai sensi del comma 2, lettera b),
          i predetti Ministeri, nell'ambito  delle  risorse  umane  e
          finanziarie disponibili  a  legislazione  vigente  e  senza
          nuovi o maggiori oneri a carico della finanza pubblica,  in
          coerenza con quanto previsto dal presente decreto,  possono
          procedere, con le medesime modalita' e i  medesimi  termini
          previsti   dai   periodi    precedenti,    attraverso    la
          comunicazione ai propri Centri di  valutazione  accreditati
          per le attivita' di cui al presente decreto, ai  sensi  del
          comma 7,  lettera  b),  che  impiegano  le  metodologie  di
          verifica e di test definite  dal  CVCN.  Per  tali  casi  i
          predetti  Centri  informano  il  CVCN  con   le   modalita'
          stabilite con il decreto del Presidente del  Consiglio  dei
          ministri, di cui al comma 7, lettera b). Non  sono  oggetto
          di comunicazione gli affidamenti delle forniture  di  beni,
          sistemi e servizi  ICT  destinate  alle  reti,  ai  sistemi
          informativi e ai servizi  informatici  per  lo  svolgimento
          delle attivita' di prevenzione, accertamento e  repressione
          dei reati  e  i  casi  di  deroga  stabiliti  dal  medesimo
          regolamento con riguardo alle forniture di beni, sistemi  e
          servizi ICT per le quali sia  indispensabile  procedere  in
          sede estera, fermo restando, in entrambi i casi, l'utilizzo
          di beni, sistemi e  servizi  ICT  conformi  ai  livelli  di
          sicurezza di cui al comma 3,  lettera  b),  salvo  motivate
          esigenze connesse agli specifici  impieghi  cui  essi  sono
          destinati; 
                  b) i soggetti individuati quali fornitori di  beni,
          sistemi  e  servizi  destinati  alle   reti,   ai   sistemi
          informativi e ai servizi informatici di  cui  al  comma  2,
          lettera b), assicurano al CVCN e, limitatamente agli ambiti
          di specifica competenza, ai Centri di valutazione  operanti
          presso i Ministeri dell'interno e della difesa, di cui alla
          lettera a) del presente comma,  la  propria  collaborazione
          per l'effettuazione delle attivita' di  test  di  cui  alla
          lettera a) del presente comma, sostenendone gli  oneri;  il
          CVCN segnala la mancata collaborazione al  Ministero  dello
          sviluppo  economico,  in  caso  di  fornitura  destinata  a
          soggetti privati,  o  alla  Presidenza  del  Consiglio  dei
          ministri,  in  caso  di  fornitura  destinata  a   soggetti
          pubblici ovvero a quelli di cui all'articolo 29 del  codice
          di cui al decreto legislativo 7 marzo  2005,  n.  82;  sono
          inoltrate  altresi'  alla  Presidenza  del  Consiglio   dei
          ministri le analoghe segnalazioni dei Centri di valutazione
          dei Ministeri dell'interno e  della  difesa,  di  cui  alla
          lettera a); 
                  c) la Presidenza del Consiglio dei ministri, per  i
          profili di pertinenza dei soggetti pubblici e di quelli  di
          cui  all'articolo  29   del   codice   dell'Amministrazione
          digitale di cui al decreto legislativo 7 marzo 2005, n. 82,
          di cui al  comma  2-bis,  e  il  Ministero  dello  sviluppo
          economico, per i soggetti privati di cui al medesimo comma,
          svolgono attivita' di ispezione e verifica in  relazione  a
          quanto previsto dal comma 2, lettera b), dal comma  3,  dal
          presente comma e dal comma 7, lettera  b),  impartendo,  se
          necessario,  specifiche  prescrizioni;  nello   svolgimento
          delle predette attivita' di ispezione e verifica l'accesso,
          se necessario, a dati o metadati personali e amministrativi
          e'  effettuato  in  conformita'  a  quanto   previsto   dal
          regolamento (UE) 2016/679  del  Parlamento  europeo  e  del
          Consiglio, del 27 aprile 2016, e dal codice in  materia  di
          protezione  dei  dati  personali,   di   cui   al   decreto
          legislativo 30 giugno 2003, n. 196; per le reti, i  sistemi
          informativi e i servizi informatici  di  cui  al  comma  2,
          lettera  b),  connessi  alla  funzione  di  prevenzione   e
          repressione dei reati,  alla  tutela  dell'ordine  e  della
          sicurezza pubblica, alla difesa  civile  e  alla  difesa  e
          sicurezza militare dello Stato, le attivita' di ispezione e
          verifica sono svolte, nell'ambito  delle  risorse  umane  e
          finanziarie disponibili  a  legislazione  vigente  e  senza
          nuovi o maggiori oneri a  carico  della  finanza  pubblica,
          dalle strutture specializzate in tema di protezione di reti
          e sistemi, nonche', nei casi  in  cui  siano  espressamente
          previste dalla legge, in tema di prevenzione e di contrasto
          del  crimine  informatico,  delle  amministrazioni  da  cui
          dipendono le Forze di polizia e le  Forze  armate,  che  ne
          comunicano gli esiti  alla  Presidenza  del  Consiglio  dei
          ministri per i profili di competenza. 
                7. Nell'ambito dell'approvvigionamento  di  prodotti,
          processi, servizi ICT e associate infrastrutture  destinati
          alle reti, ai sistemi informativi e per l'espletamento  dei
          servizi informatici di cui al comma 2, lettera b), il  CVCN
          assume i seguenti compiti: 
                  a) contribuisce all'elaborazione  delle  misure  di
          sicurezza di cui al comma  3,  lettera  b),  per  cio'  che
          concerne l'affidamento di  forniture  di  beni,  sistemi  e
          servizi ICT; 
                  b) ai  fini  della  verifica  delle  condizioni  di
          sicurezza e dell'assenza di vulnerabilita' note,  anche  in
          relazione all'ambito di impiego, definisce  le  metodologie
          di verifica e di test e svolge le attivita' di cui al comma
          6, lettera a), dettando, se del caso, anche prescrizioni di
          utilizzo al committente; a tali  fini  il  CVCN  si  avvale
          anche  di  laboratori  dallo  stesso  accreditati   secondo
          criteri  stabiliti  da  un  decreto  del   Presidente   del
          Consiglio dei ministri, adottato  entro  dieci  mesi  dalla
          data di entrata in vigore della legge  di  conversione  del
          presente decreto, su proposta del CIC, impiegando,  per  le
          esigenze delle amministrazioni centrali dello Stato, quelli
          eventualmente istituiti, senza nuovi  o  maggiori  oneri  a
          carico  della  finanza   pubblica,   presso   le   medesime
          amministrazioni.  Con  lo  stesso  decreto  sono   altresi'
          stabiliti  i  raccordi,  ivi  compresi  i   contenuti,   le
          modalita' e i termini delle comunicazioni, tra il CVCN e  i
          predetti laboratori, nonche'  tra  il  medesimo  CVCN  e  i
          Centri di valutazione  del  Ministero  dell'interno  e  del
          Ministero della difesa, di cui  al  comma  6,  lettera  a),
          anche  la  fine  di  assicurare  il   coordinamento   delle
          rispettive attivita' e perseguire la convergenza e  la  non
          duplicazione delle  valutazioni  in  presenza  di  medesimi
          condizioni e livelli di rischio; 
                  c) elabora e adotta,  previo  conforme  avviso  del
          Tavolo interministeriale di cui all'articolo 6 del  decreto
          del Presidente del Consiglio dei ministri 30  luglio  2020,
          n. 131, schemi di certificazione cibernetica, tenendo conto
          degli  standard  definiti  a   livello   internazionale   e
          dell'Unione europea,  laddove,  per  ragioni  di  sicurezza
          nazionale, gli schemi di certificazione esistenti non siano
          ritenuti adeguati alle esigenze di tutela del perimetro  di
          sicurezza nazionale cibernetica. 
                8. I soggetti di  cui  agli  articoli  12  e  14  del
          decreto legislativo 18 maggio 2018, n. 65, e quelli di  cui
          all'articolo   16-ter,   comma   2,   del   codice    delle
          comunicazioni elettroniche di cui al decreto legislativo 1°
          agosto 2003, n. 259, inclusi  nel  perimetro  di  sicurezza
          nazionale cibernetica: 
                  a)  osservano  le  misure  di  sicurezza  previste,
          rispettivamente, dai predetti decreti legislativi,  ove  di
          livello almeno equivalente a quelle adottate ai  sensi  del
          comma 3, lettera b), del presente  articolo;  le  eventuali
          misure  aggiuntive  necessarie  al  fine  di  assicurare  i
          livelli di sicurezza previsti  dal  presente  decreto  sono
          definite dall'Agenzia per la cybersicurezza  nazionale,  di
          cui  al  comma  2-bis,  e  dal  Ministero  dello   sviluppo
          economico per i soggetti privati di cui al medesimo  comma,
          avvalendosi anche del CVCN;  il  Ministero  dello  sviluppo
          economico e la Presidenza del  Consiglio  dei  ministri  si
          raccordano, ove necessario, con le autorita' competenti  di
          cui all'articolo 7 del decreto legislativo 18 maggio  2018,
          n. 65; 
                  b) assolvono l'obbligo di notifica di cui al  comma
          3,  lettera  a),   che   costituisce   anche   adempimento,
          rispettivamente,  dell'obbligo  di  notifica  di  cui  agli
          articoli 12 e 14 del decreto legislativo 18 maggio 2018, n.
          65, e dell'analogo obbligo previsto ai sensi  dell'articolo
          16-ter del codice di cui al decreto legislativo  1°  agosto
          2003, n. 259, e delle correlate disposizioni  attuative;  a
          tal fine, oltre a quanto previsto dal comma 3, lettera  a),
          anche in relazione alle disposizioni  di  cui  all'articolo
          16-ter del codice di cui al decreto legislativo  1°  agosto
          2003, n. 259, il CSIRT Italia inoltra le notifiche ricevute
          ai sensi  del  predetto  comma  3,  lettera  a),  autorita'
          nazionale competente NIS di cui all'articolo 7 del  decreto
          legislativo 18 maggio 2018, n. 65. 
                9. Salvo che il fatto costituisca reato: 
                  a)  il  mancato  adempimento  degli   obblighi   di
          predisposizione,  di  aggiornamento   e   di   trasmissione
          dell'elenco delle  reti,  dei  sistemi  informativi  e  dei
          servizi informatici di cui  al  comma  2,  lettera  b),  e'
          punito con la sanzione amministrativa  pecuniaria  da  euro
          200.000 a euro 1.200.000; 
                  b) il mancato adempimento dell'obbligo di  notifica
          di cui al comma 3, lettera a), nei termini  prescritti,  e'
          punito con la sanzione amministrativa  pecuniaria  da  euro
          250.000 a euro 1.500.000; 
                  c) l'inosservanza delle misure di sicurezza di  cui
          al  comma  3,  lettera  b),  e'  punita  con  la   sanzione
          amministrativa pecuniaria da euro 250.000 a euro 1.500.000; 
                  d) la mancata comunicazione  di  cui  al  comma  6,
          lettera a),  nei  termini  prescritti,  e'  punita  con  la
          sanzione amministrativa pecuniaria da euro 300.000  a  euro
          1.800.000; 
                  e) l'impiego di prodotti e servizi sulle reti,  sui
          sistemi  informativi  e  per  l'espletamento  dei   servizi
          informatici di cui al comma 2, lettera  b),  in  violazione
          delle condizioni o in  assenza  del  superamento  dei  test
          imposti dal CVCN ovvero dai Centri di valutazione di cui al
          comma  6,  lettera  a),   e'   punito   con   la   sanzione
          amministrativa pecuniaria da euro 300.000 a euro 1.800.000; 
                  f) la mancata  collaborazione  per  l'effettuazione
          delle attivita' di test di cui al comma 6, lettera  a),  da
          parte dei soggetti di cui al medesimo comma 6, lettera  b),
          e' punita con la sanzione amministrativa pecuniaria da euro
          250.000 a euro 1.500.000; 
                  g)  il  mancato  adempimento   delle   prescrizioni
          indicate dal Ministero dello  sviluppo  economico  o  dalla
          Presidenza  del  Consiglio  dei  ministri  in  esito   alle
          attivita' di ispezione e verifica svolte ai sensi del comma
          6, lettera c), e' punito  con  la  sanzione  amministrativa
          pecuniaria da euro 250.000 a euro 1.500.000; 
                  h) il mancato rispetto delle prescrizioni di cui al
          comma  7,  lettera  b),   e'   punito   con   la   sanzione
          amministrativa pecuniaria da euro 250.000 a euro 1.500.000. 
                10. L'impiego di prodotti e di  servizi  sulle  reti,
          sui sistemi informativi e per  l'espletamento  dei  servizi
          informatici di cui al comma 2, lettera b), in assenza della
          comunicazione o del superamento dei test  o  in  violazione
          delle condizioni di cui al comma 6, lettera  a),  comporta,
          oltre alle sanzioni di cui al comma 9, lettere  d)  ed  e),
          l'applicazione  della  sanzione  amministrativa  accessoria
          della  incapacita'  ad  assumere  incarichi  di  direzione,
          amministrazione e  controllo  nelle  persone  giuridiche  e
          nelle imprese, per un periodo di tre anni a decorrere dalla
          data di accertamento della violazione. 
                11. Chiunque, allo scopo di ostacolare o condizionare
          l'espletamento dei procedimenti di cui al comma 2,  lettera
          b), o al comma 6, lettera a), o delle attivita' ispettive e
          di vigilanza previste dal comma  6,  lettera  c),  fornisce
          informazioni, dati o elementi di fatto non  rispondenti  al
          vero, rilevanti per la  predisposizione  o  l'aggiornamento
          degli elenchi di cui al comma 2,  lettera  b),  o  ai  fini
          delle comunicazioni di cui al comma 6, lettera a), o per lo
          svolgimento delle attivita' ispettive e di vigilanza di cui
          al comma 6), lettera c) od omette  di  comunicare  entro  i
          termini prescritti i predetti dati, informazioni o elementi
          di fatto, e' punito con la reclusione da uno a tre anni. 
                11-bis. All'articolo 24-bis,  comma  3,  del  decreto
          legislativo 8 giugno 2001, n.  231,  dopo  le  parole:  «di
          altro ente pubblico,» sono inserite  le  seguenti:  «e  dei
          delitti di cui all'articolo 1, comma 11, del  decreto-legge
          21 settembre 2019, n. 105,». 
                12. Le autorita' competenti per l'accertamento  delle
          violazioni   e    per    l'irrogazione    delle    sanzioni
          amministrative  sono  la  Presidenza  del   Consiglio   dei
          ministri, per i soggetti pubblici e per i soggetti  di  cui
          all'articolo 29 del codice di cui al decreto legislativo  7
          marzo 2005, n. 82, di cui al comma 2-bis,  e  il  Ministero
          dello sviluppo economico, per i soggetti privati di cui  al
          medesimo comma. 
                13.  Ai  fini  dell'accertamento  e  dell'irrogazione
          delle  sanzioni  amministrative  di  cui  al  comma  9,  si
          osservano le disposizioni contenute nel capo I, sezioni I e
          II, della legge 24 novembre 1981, n. 689. 
                14. Per i dipendenti dei soggetti pubblici di cui  al
          comma 2-bis, la violazione delle  disposizioni  di  cui  al
          presente articolo puo' costituire causa di  responsabilita'
          disciplinare e amministrativo-contabile. 
                15. Le autorita' titolari delle attribuzioni  di  cui
          al presente decreto assicurano gli opportuni  raccordi  con
          il Dipartimento delle informazioni per la sicurezza  e  con
          l'organo del Ministero dell'interno per la sicurezza  e  la
          regolarita'  dei  servizi   di   telecomunicazione,   quale
          autorita' di contrasto nell'esercizio  delle  attivita'  di
          cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n.
          144, convertito, con modificazioni, dalla legge  31  luglio
          2005, n. 155. 
                16. La Presidenza del Consiglio dei ministri, per  lo
          svolgimento delle funzioni di cui al presente decreto  puo'
          avvalersi dell'Agenzia per l'Italia Digitale  (AgID)  sulla
          base di apposite  convenzioni,  nell'ambito  delle  risorse
          finanziarie e umane  disponibili  a  legislazione  vigente,
          senza nuovi o maggiori oneri per la finanza pubblica. 
                17. Al decreto legislativo 18  maggio  2018,  n.  65,
          sono apportate le seguenti modificazioni: 
                  a) all'articolo 4, comma 5, dopo il  primo  periodo
          e' aggiunto il seguente: 
                    «Il Ministero dello  sviluppo  economico  inoltra
          tale elenco al punto di contatto  unico  e  all'organo  del
          Ministero dell'interno per la sicurezza  e  la  regolarita'
          dei servizi di telecomunicazione, di cui all'articolo 7-bis
          del decreto-legge 27 luglio 2005, n. 144,  convertito,  con
          modificazioni, dalla legge 31 luglio 2005, n. 155.»; 
                  b) all'articolo 9, comma 3, le parole «e  il  punto
          di contatto unico» sono sostituite dalle seguenti: 
                    «, il punto di  contatto  unico  e  l'organo  del
          Ministero dell'interno per la sicurezza  e  la  regolarita'
          dei servizi di telecomunicazione, di cui all'articolo 7-bis
          del decreto-legge 27 luglio 2005, n. 144,  convertito,  con
          modificazioni, dalla legge 31 luglio 2005, n. 155,». 
                18. Gli eventuali adeguamenti  alle  prescrizioni  di
          sicurezza definite ai sensi del  presente  articolo,  delle
          reti, dei sistemi informativi  e  dei  servizi  informatici
          delle  amministrazioni  pubbliche,  degli  enti   e   degli
          operatori pubblici di cui al comma 2-bis,  sono  effettuati
          con  le  risorse  finanziarie  disponibili  a  legislazione
          vigente. 
                19.  Per  la  realizzazione,  l'allestimento   e   il
          funzionamento del CVCN di cui ai commi 6 e 7 e' autorizzata
          la spesa di euro  3.200.000  per  l'anno  2019  e  di  euro
          2.850.000 per ciascuno degli anni dal 2020  al  2023  e  di
          euro 750.000 annui  a  decorrere  dall'anno  2024.  Per  la
          realizzazione, l'allestimento e il funzionamento del Centro
          di valutazione del Ministero dell'interno, di cui ai  commi
          6 e 7, e' autorizzata la spesa di euro 200.000  per  l'anno
          2019 e di euro 1.500.000 per ciascuno  degli  anni  2020  e
          2021. 
                19-bis. Il  Presidente  del  Consiglio  dei  ministri
          coordina la  coerente  attuazione  delle  disposizioni  del
          presente decreto che disciplinano il perimetro di sicurezza
          nazionale cibernetica, anche avvalendosi  del  Dipartimento
          delle informazioni  per  la  sicurezza,  che  assicura  gli
          opportuni  raccordi  con  le   autorita'   titolari   delle
          attribuzioni di cui al presente decreto e con i soggetti di
          cui al comma 1 del presente articolo. Entro sessanta giorni
          dalla data di entrata in vigore del regolamento di  cui  al
          comma 6, il Presidente del Consiglio dei ministri trasmette
          alle Camere una relazione sulle attivita' svolte. 
                19-ter. Nei casi in cui sui  decreti  del  Presidente
          del Consiglio dei ministri previsti dal  presente  articolo
          e' acquisito, ai fini della loro adozione,  il  parere  del
          Consiglio di Stato,  i  termini  ordinatori  stabiliti  dal
          presente  articolo  sono  sospesi   per   un   periodo   di
          quarantacinque giorni.». 
              - La Direttiva 91/271/CEE del Consiglio, del 21  maggio
          1991, concernente il trattamento delle acque reflue urbane,
          e' pubblicata nella G.U.C.E. 30 maggio 1991, n. L 135. 
              - La Direttiva 2008/98/CE del Parlamento europeo e  del
          Consiglio, del 19 novembre 2008 relativa ai rifiuti  e  che
          abroga alcune direttive e'  pubblicata  nella  G.U.U.E.  22
          novembre 2008, n. L 312. 
              - Si riportano gli articoli 3, comma 1,  lettere  g)  e
          i), e 18 del decreto legislativo  18  maggio  2018,  n.  65
          (Attuazione della direttiva (UE) 2016/1148  del  Parlamento
          europeo e del Consiglio, del 6 luglio 2016, recante  misure
          per un livello comune elevato di sicurezza delle reti e dei
          sistemi informativi nell'Unione): 
                «Art. 3 (Definizioni). -  1.  Ai  fini  del  presente
          decreto si intende per: 
                  a) - f) (omissis); 
                  g)  operatore  di  servizi   essenziali,   soggetto
          pubblico o privato, della tipologia di cui all'allegato II,
          che soddisfa i criteri di cui all'articolo 4, comma 2; 
                  h) (omissis); 
                  i)  fornitore  di  servizio   digitale,   qualsiasi
          persona giuridica che fornisce un servizio digitale; 
                  l)- aa) (Omissis).». 
                «Art. 18 (Notifica volontaria). - 1. I  soggetti  che
          non sono  stati  identificati  come  operatori  di  servizi
          essenziali e non sono fornitori di servizi digitali possono
          notificare, su base volontaria,  gli  incidenti  aventi  un
          impatto rilevante sulla continuita'  dei  servizi  da  loro
          prestati. 
                2. Nel trattamento delle notifiche, il  CSIRT  Italia
          applica la procedura di cui all'articolo 12. 
                3.   Le   notifiche   obbligatorie   sono    trattate
          prioritariamente rispetto alle notifiche volontarie. 
                4. Le notifiche  volontarie  sono  trattate  soltanto
          qualora  tale  trattamento   non   costituisca   un   onere
          sproporzionato o eccessivo. 
                5. La notifica volontaria non puo' avere l'effetto di
          imporre al soggetto notificante alcun  obbligo  a  cui  non
          sarebbe stato sottoposto  se  non  avesse  effettuato  tale
          notifica.». 
              - Si riporta l'articolo 17 del decreto-legge 14  giugno
          2021,  n.  82   (Disposizioni   urgenti   in   materia   di
          cybersicurezza, definizione dell'architettura nazionale  di
          cybersicurezza   e   istituzione   dell'Agenzia   per    la
          cybersicurezza nazionale), convertito,  con  modificazioni,
          dalla legge 4 agosto 2021, n. 109,  come  modificato  dalla
          presente legge: 
                «Art. 17 (Disposizioni transitorie e  finali).  -  1.
          Per   lo   svolgimento   delle   funzioni   ispettive,   di
          accertamento  delle  violazioni  e  di  irrogazione   delle
          sanzioni, di cui all'articolo 7, l'Agenzia puo' provvedere,
          oltre che con proprio personale, con l'ausilio  dell'organo
          centrale del Ministero dell'interno per la sicurezza e  per
          la regolarita' dei  servizi  di  telecomunicazione  di  cui
          all'articolo 7-bis del decreto-legge  27  luglio  2005,  n.
          144, convertito, con modificazioni, dalla legge  31  luglio
          2005, n. 155. 
                2.  Per  lo  svolgimento  delle   funzioni   relative
          all'attuazione   e   al   controllo   dell'esecuzione   dei
          provvedimenti assunti da parte del Presidente del Consiglio
          dei ministri ai sensi  dell'articolo  5  del  decreto-legge
          perimetro, l'Agenzia  provvede  con  l'ausilio  dell'organo
          centrale del Ministero dell'interno per la sicurezza e  per
          la regolarita' dei  servizi  di  telecomunicazione  di  cui
          all'articolo 7-bis del decreto-legge  27  luglio  2005,  n.
          144, convertito, con modificazioni, dalla legge  31  luglio
          2005, n. 155. 
                3. Il personale dell'Agenzia, nello svolgimento delle
          funzioni ispettive, di accertamento delle violazioni  e  di
          irrogazione delle sanzioni, di cui all'articolo 7,  nonche'
          delle  funzioni  relative  all'attuazione  e  al  controllo
          dell'esecuzione dei  provvedimenti  assunti  da  parte  del
          Presidente   del   Consiglio   dei   ministri   ai    sensi
          dell'articolo 5 del  decreto-legge  perimetro,  riveste  la
          qualifica di pubblico ufficiale. 
              4. Il personale dell'Agenzia addetto al  CSIRT  Italia,
          nello  svolgimento  delle  proprie  funzioni,  riveste   la
          qualifica di pubblico ufficiale. La trasmissione  immediata
          delle notifiche di  incidente  ricevute  dal  CSIRT  Italia
          all'organo  centrale  del  Ministero  dell'interno  per  la
          sicurezza   e   per   la   regolarita'   dei   servizi   di
          telecomunicazione   di   cui   all'articolo    7-bis    del
          decreto-legge 27  luglio  2005,  n.  144,  convertito,  con
          modificazioni,  dalla  legge  31  luglio  2005,   n.   155,
          costituisce adempimento dell'obbligo  di  cui  all'articolo
          331 del codice di procedura penale. 
                4-bis. Fermo restando quanto previsto  dal  comma  4,
          l'Agenzia trasmette al procuratore  nazionale  antimafia  e
          antiterrorismo  i  dati,  le  notizie  e  le   informazioni
          rilevanti   per   l'esercizio   delle   funzioni   di   cui
          all'articolo 371-bis del codice di procedura penale. 
                4-bis.1. Nei casi in cui l'Agenzia ha notizia  di  un
          attacco  ai  danni  di  uno  dei  sistemi   informatici   o
          telematici di cui all'articolo 371-bis,  comma  4-bis,  del
          codice di procedura penale e in ogni  caso  quando  risulti
          interessato taluno dei  soggetti  di  cui  all'articolo  1,
          comma 2-bis, del decreto-legge perimetro,  all'articolo  3,
          comma 1, lettere g)  e  i),  del  decreto  legislativo  NIS
          ovvero all'articolo 40, comma 3, alinea, del  codice  delle
          comunicazioni elettroniche, di cui al  decreto  legislativo
          1° agosto 2003, n. 259, fermo restando quanto previsto  dal
          comma 4 del presente articolo, procede  alle  attivita'  di
          cui all'articolo 7, comma 1, lettere  n)  e  n-bis),  e  ne
          informa senza ritardo il procuratore nazionale antimafia  e
          antiterrorismo, ai  sensi  del  comma  4-bis  del  presente
          articolo. 
                4-bis.2. Fuori dei casi  di  cui  al  comma  4-bis.1,
          quando  acquisisce  la   notizia   dei   delitti   di   cui
          all'articolo 371-bis, comma 4-bis, del codice di  procedura
          penale,   il   pubblico   ministero   ne   da'   tempestiva
          informazione all'Agenzia e assicura, altresi', il  raccordo
          informativo con l'organo del Ministero dell'interno per  la
          sicurezza   e   per   la   regolarita'   dei   servizi   di
          telecomunicazione ai fini di  cui  all'articolo  7-bis  del
          decreto-legge 27  luglio  2005,  n.  144,  convertito,  con
          modificazioni, dalla legge 31 luglio 2005, n. 155. 
                4-bis.3.  In  ogni  caso,   il   pubblico   ministero
          impartisce le disposizioni necessarie ad assicurare che gli
          accertamenti urgenti siano  compiuti  tenendo  conto  delle
          attivita' svolte dall'Agenzia, a fini di resilienza, di cui
          all'articolo 7, comma  1,  lettere  n)  e  n-bis),  e  puo'
          disporre il differimento  di  una  o  piu'  delle  predette
          attivita',  con  provvedimento  motivato   adottato   senza
          ritardo, per evitare un  grave  pregiudizio  per  il  corso
          delle indagini. 
                4-bis.4. Il pubblico  ministero,  quando  procede  ad
          accertamenti tecnici irripetibili in relazione  ai  delitti
          di cui all'articolo 371-bis, comma  4-bis,  del  codice  di
          procedura penale,  informa  senza  ritardo  l'Agenzia,  che
          mediante   propri   rappresentanti   puo'   assistere    al
          conferimento dell'incarico e partecipare agli accertamenti.
          Le disposizioni del primo periodo si applicano anche quando
          agli accertamenti si  procede  nelle  forme  dell'incidente
          probatorio. 
                4-ter. Al fine di consentire  la  piena  operativita'
          dell'Agenzia, le disposizioni di cui all'articolo 15, commi
          1 e 2, del decreto-legge 24 aprile 2014, n. 66, convertito,
          con modificazioni, dalla legge 23 giugno 2014, n.  89,  non
          si applicano alle autovetture utilizzate dall'Agenzia per i
          servizi istituzionali di tutela della sicurezza nazionale e
          dell'interesse nazionale nello spazio cibernetico. 
              4-quater. La disciplina del procedimento  sanzionatorio
          amministrativo dell'Agenzia e' definita con regolamento che
          stabilisce,  in  particolare,  termini  e   modalita'   per
          l'accertamento, la contestazione e la  notificazione  delle
          violazioni della normativa in materia di  cybersicurezza  e
          l'irrogazione  delle  relative   sanzioni   di   competenza
          dell'Agenzia ai sensi del presente decreto  e  delle  altre
          disposizioni   che   assegnano   poteri    accertativi    e
          sanzionatori all'Agenzia. Il regolamento di  cui  al  primo
          periodo e' adottato, entro novanta  giorni  dalla  data  di
          entrata in vigore della presente disposizione, con  decreto
          del Presidente del Consiglio dei ministri, anche in  deroga
          all'articolo 17 della legge 23 agosto 1988, n. 400, sentito
          il  Comitato  interministeriale  per  la  cybersicurezza  e
          acquisito   il   parere   delle   competenti    Commissioni
          parlamentari. Fino alla  data  di  entrata  in  vigore  del
          regolamento di  cui  al  presente  comma,  ai  procedimenti
          sanzionatori si applicano, per ciascuna fase procedimentale
          di cui al primo periodo, le  disposizioni  contenute  nelle
          sezioni I e II del capo I della legge 24 novembre 1981,  n.
          689. 
                5.  Con  uno  o  piu'  decreti  del  Presidente   del
          Consiglio  dei  ministri,  di  concerto  con  il   Ministro
          dell'economia  e   delle   finanze,   da   adottare   entro
          centottanta giorni dalla data di entrata  in  vigore  della
          legge di conversione del presente decreto, sono definiti  i
          termini e le modalita': 
                  a)   per   assicurare   la    prima    operativita'
          dell'Agenzia, mediante l'individuazione di appositi  spazi,
          in via transitoria e per un massimo di  ventiquattro  mesi,
          secondo   opportune   intese   con    le    amministrazioni
          interessate,  per  l'attuazione  delle   disposizioni   del
          presente decreto; 
                  b) mediante opportune intese con le amministrazioni
          interessate,   nel   rispetto   delle   specifiche    norme
          riguardanti l'organizzazione e  il  funzionamento,  per  il
          trasferimento delle funzioni di cui all'articolo 7, nonche'
          per  il  trasferimento  dei  beni   strumentali   e   della
          documentazione,   anche   di   natura   classificata,   per
          l'attuazione delle disposizioni del presente decreto  e  la
          corrispondente riduzione di risorse finanziarie ed umane da
          parte delle amministrazioni cedenti. 
                5-bis. Fino alla scadenza dei  termini  indicati  nel
          decreto o nei decreti di cui al comma  5,  lettera  b),  la
          gestione delle risorse finanziarie relative  alle  funzioni
          trasferite, compresa la  gestione  dei  residui  passivi  e
          perenti, e' esercitata  dalle  amministrazioni  cedenti.  A
          decorrere dalla  medesima  data  sono  trasferiti  in  capo
          all'Agenzia i rapporti giuridici attivi e passivi  relativi
          alle funzioni trasferite. 
                6. In relazione al trasferimento  delle  funzioni  di
          cui  all'articolo  7,  comma  1,  lettera   m),   dall'AgID
          all'Agenzia, i decreti  di  cui  al  comma  5  definiscono,
          altresi', i raccordi tra le  due  amministrazioni,  per  le
          funzioni che restano di competenza  dell'AgID.  Nelle  more
          dell'adozione dei decreti di cui al comma 5, il regolamento
          di cui all'articolo 33-septies, comma 4, del  decreto-legge
          18 ottobre 2012, n.  179,  convertito,  con  modificazioni,
          dalla  legge  17  dicembre  2012,  n.  221,   e'   adottato
          dall'AgID,  d'intesa  con  la  competente  struttura  della
          Presidenza del Consiglio dei ministri. 
                7.  Al  fine  di  assicurare  la  prima  operativita'
          dell'Agenzia,  il  direttore  generale  dell'Agenzia,  fino
          all'adozione dei regolamenti di cui all'articolo 11,  commi
          3 e 4, identifica, assume e liquida gli  impegni  di  spesa
          che saranno  pagati  a  cura  del  DIS,  nell'ambito  delle
          risorse destinate all'Agenzia. A tale fine e' istituito  un
          apposito capitolo nel bilancio del  DIS.  Entro  90  giorni
          dall'approvazione dei regolamenti di cui  all'articolo  11,
          commi 3 e 4, il Presidente del Consiglio dei  ministri  da'
          informazione al COPASIR delle spese effettuate ai sensi del
          presente comma. 
                8.  Al  fine  di  assicurare  la  prima  operativita'
          dell'Agenzia,  dalla  data  della  nomina   del   direttore
          generale dell'Agenzia e nel limite del 30 per  cento  della
          dotazione organica complessiva iniziale di cui all'articolo
          12, comma 4: 
                  a)  il  DIS  mette  a  disposizione  il   personale
          impiegato  nell'ambito  delle   attivita'   relative   allo
          svolgimento delle funzioni oggetto  di  trasferimento,  con
          modalita'  da  definire  mediante  intese  con  lo   stesso
          Dipartimento; 
                  b) l'Agenzia si  avvale,  altresi',  di  unita'  di
          personale  appartenenti   al   Ministero   dello   sviluppo
          economico, all'Agenzia  per  l'Italia  digitale,  ad  altre
          pubbliche amministrazioni e ad autorita' indipendenti,  per
          un periodo massimo di sei mesi, prorogabile una sola  volta
          per un massimo di ulteriori sei mesi, messo a  disposizione
          dell'Agenzia  stessa  su  specifica  richiesta  e   secondo
          modalita' individuate mediante  intese  con  le  rispettive
          amministrazioni di appartenenza. 
                8.1. Ai fini di cui al comma 8, l'Agenzia  si  avvale
          altresi', sino al 31 dicembre 2023, di  un  contingente  di
          personale, nel limite  di  cinquanta  unita',  appartenente
          alle pubbliche amministrazioni, alle autorita' indipendenti
          e alle societa' a controllo pubblico, messo a  disposizione
          dell'Agenzia  stessa  su  specifica  richiesta  e   secondo
          modalita' individuate d'intesa con i  soggetti  pubblici  e
          privati di appartenenza. I relativi  oneri  sono  a  carico
          dell'Agenzia e  ai  fini  del  trattamento  retributivo  si
          applicano  le   disposizioni   del   regolamento   di   cui
          all'articolo 12, comma 1. Il  personale  di  cui  al  primo
          periodo, fatta eccezione per il personale proveniente dalle
          societa' a controllo pubblico, puo' essere inquadrato,  con
          provvedimento dell'Agenzia adottato ai sensi  dell'articolo
          5,  comma  3,  del  regolamento  di  cui  al  decreto   del
          Presidente del Consiglio dei ministri 9 dicembre  2021,  n.
          223, nel ruolo del personale di cui all'articolo 12,  comma
          2, lettera a), non oltre il termine  indicato  al  medesimo
          primo periodo del presente comma. Al relativo inquadramento
          si provvede, mediante apposite selezioni, con le  modalita'
          e le procedure  definite  con  provvedimento  dell'Agenzia,
          adottato ai sensi del medesimo articolo  5,  comma  3,  del
          regolamento di cui al decreto del Presidente del  Consiglio
          dei ministri n. 223 del 2021,  sulla  base  di  criteri  di
          valorizzazione delle pregresse esperienze e  anzianita'  di
          servizio, delle  competenze  acquisite,  dei  requisiti  di
          professionalita' posseduti e dell'impiego nell'Agenzia.  Al
          personale inquadrato ai sensi dei periodi  terzo  e  quarto
          del  presente  comma  si  applicano  le  disposizioni   del
          regolamento di cui  all'articolo  12,  comma  1,  anche  in
          materia di opzione per  il  trattamento  previdenziale.  Il
          personale di cui al comma 8, lettera b), gia' inserito  nel
          ruolo del personale dell'Agenzia, puo' essere  reinquadrato
          secondo i medesimi criteri di cui  al  quarto  periodo  del
          presente comma con provvedimento dell'Agenzia adottato,  ai
          sensi del citato articolo 5, comma 3,  del  regolamento  di
          cui al decreto del Presidente del Consiglio dei ministri n.
          223 del 2021, entro il  31  dicembre  2023,  senza  effetti
          retroattivi. Il personale  di  cui  al  terzo  periodo  del
          presente comma e' computato nel numero dei  posti  previsti
          per la prima operativita' dell'Agenzia, di cui all'articolo
          12, comma 4. 
                8-bis. Gli oneri derivanti dall'attuazione del  comma
          8 restano a carico dell'amministrazione di appartenenza. 
                9. Il regolamento di cui all'articolo  12,  comma  1,
          prevede apposite modalita' selettive  per  l'inquadramento,
          nella misura massima  del  50  per  cento  della  dotazione
          organica complessiva, del personale di cui al comma  8  del
          presente articolo e del personale di cui  all'articolo  12,
          comma 2, lettera b), ove gia'  appartenente  alla  pubblica
          amministrazione,  nel  contingente  di  personale   addetto
          all'Agenzia di cui al medesimo  articolo  12,  che  tengano
          conto delle mansioni svolte  e  degli  incarichi  ricoperti
          durante il periodo di servizio  presso  l'Agenzia,  nonche'
          delle   competenze   possedute   e   dei    requisiti    di
          professionalita' ed esperienza richiesti per le  specifiche
          posizioni. Il personale di cui al comma 8, lettera  a),  e'
          inquadrato, a decorrere dal 1° gennaio 2022, nel  ruolo  di
          cui all'articolo  12,  comma  2,  lettera  a),  secondo  le
          modalita' definite dal regolamento di cui all'articolo  12,
          comma  1.  Gli  inquadramenti  conseguenti  alle  procedure
          selettive di cui al presente comma, relative  al  personale
          di cui al comma 8, lettera b), decorrono allo  scadere  dei
          sei mesi o della relativa proroga e, comunque, non oltre il
          30 giugno 2022. 
                10.    L'Agenzia    si    avvale    del    patrocinio
          dell'Avvocatura dello Stato, ai sensi dell'articolo  1  del
          testo unico approvato con regio decreto 30 ottobre 1933, n.
          1611. 
                10-bis. In sede di prima  applicazione  del  presente
          decreto: 
                  a) la prima relazione di cui all'articolo 14, comma
          1, e' trasmessa entro il 30 novembre 2022; 
                  b) entro il 31  ottobre  2022,  il  Presidente  del
          Consiglio dei ministri trasmette alle Camere una  relazione
          che da' conto dello stato di attuazione,  al  30  settembre
          2022, delle disposizioni di cui al presente decreto,  anche
          al fine di formulare eventuali proposte in materia. 
                10-ter.  I  pareri  delle  Commissioni   parlamentari
          competenti per materia e per i  profili  finanziari  e  del
          COPASIR previsti dal presente decreto sono  resi  entro  il
          termine di trenta giorni dalla  trasmissione  dei  relativi
          schemi di decreto,  decorso  il  quale  il  Presidente  del
          Consiglio dei ministri puo' comunque procedere all'adozione
          dei relativi provvedimenti.». 
              - Si riportano gli articoli 4, 6  e  7  della  legge  3
          agosto  2007,  n.  124  (Sistema  di  informazione  per  la
          sicurezza della Repubblica e nuova disciplina del segreto): 
                «Art.  4  (Dipartimento  delle  informazioni  per  la
          sicurezza). - 1. Per lo svolgimento dei compiti di  cui  al
          comma 3 e' istituito, presso la  Presidenza  del  Consiglio
          dei ministri, il Dipartimento  delle  informazioni  per  la
          sicurezza (DIS). 
                2.  Il  Presidente  del  Consiglio  dei  ministri   e
          l'Autorita' delegata, ove istituita, si avvalgono  del  DIS
          per  l'esercizio  delle  loro  competenze,   al   fine   di
          assicurare piena  unitarieta'  nella  programmazione  della
          ricerca informativa del  Sistema  di  informazione  per  la
          sicurezza,  nonche'  nelle  analisi   e   nelle   attivita'
          operative dei servizi di informazione per la sicurezza. 
                3. Il DIS svolge i seguenti compiti: 
                  a) coordina l'intera attivita' di informazione  per
          la  sicurezza,  verificando  altresi'  i  risultati   delle
          attivita' svolte dall'AISE e dall'AISI, ferma  restando  la
          competenza  dei   predetti   servizi   relativamente   alle
          attivita' di ricerca informativa e di collaborazione con  i
          servizi di sicurezza degli Stati esteri; 
                  b) e' costantemente informato delle  operazioni  di
          competenza dei servizi di informazione per la  sicurezza  e
          trasmette al  Presidente  del  Consiglio  dei  ministri  le
          informative  e  le  analisi   prodotte   dal   Sistema   di
          informazione per la sicurezza; 
                  c)  raccoglie  le  informazioni,  le  analisi  e  i
          rapporti provenienti dai servizi  di  informazione  per  la
          sicurezza,  dalle  Forze  armate  e   di   polizia,   dalle
          amministrazioni dello Stato e  da  enti  di  ricerca  anche
          privati; ferma l'esclusiva competenza dell'AISE e dell'AISI
          per  l'elaborazione  dei  rispettivi   piani   di   ricerca
          operativa,  elabora  analisi  strategiche  o   relative   a
          particolari situazioni; formula valutazioni  e  previsioni,
          sulla scorta dei contributi analitici settoriali  dell'AISE
          e dell'AISI; 
                  d) elabora, anche sulla base delle  informazioni  e
          dei rapporti di cui alla lettera  c),  analisi  globali  da
          sottoporre   al   CISR,   nonche'   progetti   di   ricerca
          informativa, sui quali decide il Presidente  del  Consiglio
          dei ministri, dopo avere acquisito il parere del CISR; 
                  d-bis)  sulla   base   delle   direttive   di   cui
          all'articolo 1, comma 3-bis, nonche' delle  informazioni  e
          dei rapporti di cui alla lettera  c)  del  presente  comma,
          coordina le attivita' di ricerca informativa finalizzate  a
          rafforzare  la  protezione  cibernetica  e   la   sicurezza
          informatica nazionali; 
                  e) promuove e garantisce, anche attraverso riunioni
          periodiche, lo scambio informativo tra l'AISE, l'AISI e  le
          Forze di polizia; comunica al Presidente del Consiglio  dei
          ministri  le   acquisizioni   provenienti   dallo   scambio
          informativo e i risultati delle riunioni periodiche; 
                  f) trasmette, su disposizione  del  Presidente  del
          Consiglio dei ministri, sentito  il  CISR,  informazioni  e
          analisi ad  amministrazioni  pubbliche  o  enti,  anche  ad
          ordinamento  autonomo,  interessati   all'acquisizione   di
          informazioni per la sicurezza; 
                  g) elabora, d'intesa con l'AISE e l'AISI, il  piano
          di acquisizione delle risorse umane e materiali e  di  ogni
          altra  risorsa  comunque  strumentale   all'attivita'   dei
          servizi di informazione per  la  sicurezza,  da  sottoporre
          all'approvazione del Presidente del Consiglio dei ministri; 
                  h) sentite l'AISE e  l'AISI,  elabora  e  sottopone
          all'approvazione del Presidente del Consiglio dei  ministri
          lo schema del regolamento di cui all'articolo 21, comma 1; 
                  i) esercita il  controllo  sull'AISE  e  sull'AISI,
          verificando la conformita' delle attivita' di  informazione
          per la sicurezza alle leggi e ai regolamenti, nonche'  alle
          direttive e alle disposizioni del Presidente del  Consiglio
          dei  ministri.  Per  tale  finalita',  presso  il  DIS   e'
          istituito  un  ufficio  ispettivo  le  cui   modalita'   di
          organizzazione e di  funzionamento  sono  definite  con  il
          regolamento di cui al comma 7. Con le modalita' previste da
          tale regolamento e' approvato  annualmente,  previo  parere
          del Comitato parlamentare di cui all'articolo 30, il  piano
          annuale delle attivita' dell'ufficio  ispettivo.  L'ufficio
          ispettivo, nell'ambito delle  competenze  definite  con  il
          predetto regolamento, puo' svolgere, anche a richiesta  del
          direttore generale del DIS, autorizzato dal Presidente  del
          Consiglio dei  ministri,  inchieste  interne  su  specifici
          episodi  e  comportamenti  verificatisi   nell'ambito   dei
          servizi di informazione per la sicurezza; 
                  l)   assicura   l'attuazione   delle   disposizioni
          impartite dal Presidente del  Consiglio  dei  Ministri  con
          apposito regolamento adottato  ai  sensi  dell'articolo  1,
          comma 2, ai fini della tutela amministrativa del segreto di
          Stato e delle classifiche di segretezza, vigilando altresi'
          sulla loro corretta applicazione; 
                  m) cura le attivita'  di  promozione  e  diffusione
          della  cultura   della   sicurezza   e   la   comunicazione
          istituzionale; 
                  n)  impartisce  gli  indirizzi  per   la   gestione
          unitaria del personale di cui all'articolo 21,  secondo  le
          modalita' definite dal regolamento di cui al  comma  1  del
          medesimo articolo; 
                  n-bis) gestisce unitariamente,  ferme  restando  le
          competenze   operative   dell'AISE   e    dell'AISI,    gli
          approvvigionamenti e i servizi logistici comuni. 
                4.  Fermo  restando  quanto  previsto   dall'articolo
          118-bis  del  codice  di   procedura   penale,   introdotto
          dall'articolo  14  della   presente   legge,   qualora   le
          informazioni richieste alle  Forze  di  polizia,  ai  sensi
          delle lettere c) ed e) del comma 3 del  presente  articolo,
          siano  relative  a  indagini  di  polizia  giudiziaria,  le
          stesse, se coperte dal segreto di cui all'articolo 329  del
          codice di procedura penale, possono essere  acquisite  solo
          previo nulla osta della autorita'  giudiziaria  competente.
          L'autorita' giudiziaria puo'  trasmettere  gli  atti  e  le
          informazioni anche di propria iniziativa. 
                5. La direzione generale del DIS e'  affidata  ad  un
          dirigente di prima fascia o equiparato dell'amministrazione
          dello Stato,  la  cui  nomina  e  revoca  spettano  in  via
          esclusiva al Presidente del Consiglio dei ministri, sentito
          il CISR. L'incarico ha la durata massima di otto anni ed e'
          conferibile, senza  soluzione  di  continuita',  anche  con
          provvedimenti successivi, ciascuno dei quali di durata  non
          superiore  al  quadriennio.  Per  quanto   previsto   dalla
          presente  legge,  il  direttore  del  DIS  e'  il   diretto
          referente del  Presidente  del  Consiglio  dei  ministri  e
          dell'Autorita'  delegata,  ove  istituita,   salvo   quanto
          previsto dall'articolo 6, comma 5, e dall'articolo 7, comma
          5, ed e' gerarchicamente e funzionalmente sovraordinato  al
          personale del DIS e degli uffici istituiti nell'ambito  del
          medesimo Dipartimento. 
                6. Il Presidente del Consiglio dei ministri,  sentito
          il direttore generale del  DIS,  nomina  uno  o  piu'  vice
          direttori generali; il direttore generale affida gli  altri
          incarichi nell'ambito del Dipartimento, ad eccezione  degli
          incarichi il cui  conferimento  spetta  al  Presidente  del
          Consiglio dei ministri. 
              7. L'ordinamento e l'organizzazione  del  DIS  e  degli
          uffici istituiti nell'ambito del medesimo Dipartimento sono
          disciplinati con apposito regolamento. 
                8. Il regolamento previsto dal comma 7  definisce  le
          modalita' di organizzazione e di funzionamento dell'ufficio
          ispettivo di cui al comma 3, lettera i), secondo i seguenti
          criteri: 
                  a) agli ispettori e' garantita  piena  autonomia  e
          indipendenza di giudizio nell'esercizio delle  funzioni  di
          controllo; 
                  b) salva specifica  autorizzazione  del  Presidente
          del Consiglio dei ministri o dell'Autorita'  delegata,  ove
          istituita,  i  controlli  non  devono  interferire  con  le
          operazioni in corso; 
                  c) sono previste per gli ispettori specifiche prove
          selettive e un'adeguata formazione; 
                  d) non e'  consentito  il  passaggio  di  personale
          dall'ufficio ispettivo ai servizi di  informazione  per  la
          sicurezza; 
                  e)  gli  ispettori,   previa   autorizzazione   del
          Presidente del  Consiglio  dei  ministri  o  dell'Autorita'
          delegata, ove istituita, possono accedere a tutti gli  atti
          conservati  presso  i  servizi  di  informazione   per   la
          sicurezza e presso  il  DIS;  possono  altresi'  acquisire,
          tramite il direttore generale del DIS,  altre  informazioni
          da enti pubblici e privati.». 
                «Art. 6 (Agenzia informazioni e sicurezza esterna). -
          1. E' istituita l'Agenzia informazioni e sicurezza  esterna
          (AISE), alla quale e' affidato il compito di  ricercare  ed
          elaborare nei settori di competenza tutte  le  informazioni
          utili  alla  difesa  dell'indipendenza,  dell'integrita'  e
          della sicurezza della Repubblica, anche  in  attuazione  di
          accordi   internazionali,   dalle    minacce    provenienti
          dall'estero. 
                2. Spettano all'AISE inoltre le attivita' in  materia
          di controproliferazione concernenti i materiali strategici,
          nonche' le attivita' di informazione per la sicurezza,  che
          si  svolgono  al  di  fuori  del  territorio  nazionale,  a
          protezione degli interessi politici,  militari,  economici,
          scientifici e industriali dell'Italia. 
                3. E',  altresi',  compito  dell'AISE  individuare  e
          contrastare  al  di  fuori  del  territorio  nazionale   le
          attivita'  di  spionaggio  dirette  contro  l'Italia  e  le
          attivita' volte a danneggiare gli interessi nazionali. 
                4. L'AISE puo'  svolgere  operazioni  sul  territorio
          nazionale soltanto in  collaborazione  con  l'AISI,  quando
          tali operazioni siano strettamente  connesse  ad  attivita'
          che la  stessa  AISE  svolge  all'estero.  A  tal  fine  il
          direttore  generale  del  DIS  provvede  ad  assicurare  le
          necessarie   forme   di   coordinamento   e   di   raccordo
          informativo,  anche  al  fine  di  evitare  sovrapposizioni
          funzionali o territoriali. 
                5. L'AISE risponde al Presidente  del  Consiglio  dei
          ministri. 
                6. L'AISE informa tempestivamente e  con  continuita'
          il Ministro della difesa, il Ministro degli affari esteri e
          il  Ministro  dell'interno  per  i  profili  di  rispettiva
          competenza. 
                7. Il Presidente  del  Consiglio  dei  ministri,  con
          proprio decreto, nomina e revoca  il  direttore  dell'AISE,
          scelto  tra  dirigenti  di  prima   fascia   o   equiparati
          dell'amministrazione  dello   Stato,   sentito   il   CISR.
          L'incarico  ha  la  durata  massima  di  otto  anni  ed  e'
          conferibile, senza  soluzione  di  continuita',  anche  con
          provvedimenti successivi, ciascuno dei quali di durata  non
          superiore al quadriennio. 
                8. Il  direttore  dell'AISE  riferisce  costantemente
          sull'attivita'  svolta  al  Presidente  del  Consiglio  dei
          ministri o all'Autorita' delegata, ove  istituita,  per  il
          tramite  del  direttore   generale   del   DIS.   Riferisce
          direttamente al Presidente del Consiglio  dei  ministri  in
          caso di urgenza o quando altre particolari  circostanze  lo
          richiedano,  informandone  senza   ritardo   il   direttore
          generale del DIS; presenta al  CISR,  per  il  tramite  del
          direttore  generale  del  DIS,  un  rapporto  annuale   sul
          funzionamento e sull'organizzazione dell'Agenzia. 
                9. Il Presidente del Consiglio dei ministri nomina  e
          revoca, sentito il direttore dell'AISE,  uno  o  piu'  vice
          direttori.  Il  direttore  dell'AISE   affida   gli   altri
          incarichi nell'ambito dell'Agenzia. 
                10. L'organizzazione  e  il  funzionamento  dell'AISE
          sono disciplinati con apposito regolamento.». 
                «Art. 7 (Agenzia informazioni e sicurezza interna). -
          1. E' istituita l'Agenzia informazioni e sicurezza  interna
          (AISI), alla quale e' affidato il compito di  ricercare  ed
          elaborare nei settori di competenza tutte  le  informazioni
          utili  a  difendere,  anche  in   attuazione   di   accordi
          internazionali, la sicurezza interna della Repubblica e  le
          istituzioni democratiche poste  dalla  Costituzione  a  suo
          fondamento da ogni minaccia, da ogni attivita'  eversiva  e
          da ogni forma di aggressione criminale o terroristica. 
                2. Spettano all'AISI le attivita' di informazione per
          la sicurezza, che si svolgono  all'interno  del  territorio
          nazionale, a protezione degli interessi politici, militari,
          economici, scientifici e industriali dell'Italia. 
                3. E',  altresi',  compito  dell'AISI  individuare  e
          contrastare  all'interno  del   territorio   nazionale   le
          attivita'  di  spionaggio  dirette  contro  l'Italia  e  le
          attivita' volte a danneggiare gli interessi nazionali. 
                4.  L'AISI  puo'   svolgere   operazioni   all'estero
          soltanto  in  collaborazione  con   l'AISE,   quando   tali
          operazioni siano strettamente connesse ad attivita' che  la
          stessa AISI svolge all'interno del territorio nazionale.  A
          tal  fine  il  direttore  generale  del  DIS  provvede   ad
          assicurare  le  necessarie  forme  di  coordinamento  e  di
          raccordo   informativo,   anche   al   fine   di    evitare
          sovrapposizioni funzionali o territoriali. 
                5. L'AISI risponde al Presidente  del  Consiglio  dei
          ministri. 
                6. L'AISI informa tempestivamente e  con  continuita'
          il Ministro dell'interno, il Ministro degli affari esteri e
          il Ministro  della  difesa  per  i  profili  di  rispettiva
          competenza. 
                7. Il Presidente del Consiglio dei ministri nomina  e
          revoca, con proprio decreto, il direttore dell'AISI, scelto
          tra   i   dirigenti   di   prima   fascia   o    equiparati
          dell'amministrazione  dello   Stato,   sentito   il   CISR.
          L'incarico  ha  la  durata  massima  di  otto  anni  ed  e'
          conferibile, senza  soluzione  di  continuita',  anche  con
          provvedimenti successivi, ciascuno dei quali di durata  non
          superiore al quadriennio. 
                8. Il  direttore  dell'AISI  riferisce  costantemente
          sull'attivita'  svolta  al  Presidente  del  Consiglio  dei
          ministri o all'Autorita' delegata, ove  istituita,  per  il
          tramite  del  direttore   generale   del   DIS.   Riferisce
          direttamente al Presidente del Consiglio  dei  ministri  in
          caso di urgenza o quando altre particolari  circostanze  lo
          richiedano,  informandone  senza   ritardo   il   direttore
          generale del DIS; presenta al  CISR,  per  il  tramite  del
          direttore  generale  del  DIS,  un  rapporto  annuale   sul
          funzionamento e sull'organizzazione dell'Agenzia. 
                9. Il Presidente del Consiglio dei ministri nomina  e
          revoca, sentito il direttore dell'AISI,  uno  o  piu'  vice
          direttori.  Il  direttore  dell'AISI   affida   gli   altri
          incarichi nell'ambito dell'Agenzia. 
                10. L'organizzazione  e  il  funzionamento  dell'AISI
          sono disciplinati con apposito regolamento.».