TESTO COORDINATO DEL DECRETO-LEGGE 21 settembre 2019, n. 105

Testo del decreto-legge 21 settembre 2019, n. 105 (in Gazzetta Ufficiale - Serie generale - n. 222 del 21 settembre 2019), coordinato con la legge di conversione 18 novembre 2019, n. 133 (in questa stessa Gazzetta Ufficiale - alla pag. 29), recante: «Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica (( e di disciplina dei poteri speciali nei settori di rilevanza strategica.» )). (19A07310)

attiva riferimenti normativi
 
Avvertenza: 
 
    Il testo coordinato qui pubblicato e' stato redatto dal Ministero
della giustizia ai sensi dell'art. 11, comma 1, del testo unico delle
disposizioni sulla promulgazione  delle  leggi,  sull'emanazione  dei
decreti  del  Presidente  della  Repubblica  e  sulle   pubblicazioni
ufficiali della Repubblica italiana, approvato con D.P.R. 28 dicembre
1985, n. 1092, nonche' dell'art. 10,  comma  3,  del  medesimo  testo
unico, al solo fine di facilitare la lettura sia  delle  disposizioni
del decreto-legge, integrate con le modifiche apportate  dalla  legge
di conversione, che di  quelle  richiamate  nel  decreto,  trascritte
nelle note. Restano invariati il  valore  e  l'efficacia  degli  atti
legislativi qui riportati. 
 
    Le modifiche apportate dalla legge di conversione  sono  stampate
con caratteri corsivi. 
 
    Tali modifiche a video sono riportate tra i segni (( ... )). 
 
    A norma dell'art. 15, comma 5, della legge 23 agosto 1988, n. 400
(Disciplina dell'attivita' di Governo e ordinamento della  Presidenza
del Consiglio dei Ministri), le modifiche apportate  dalla  legge  di
conversione hanno efficacia dal giorno successivo a quello della  sua
pubblicazione. 
 
                               Art. 1 
 
            Perimetro di sicurezza nazionale cibernetica 
 
  1. Al fine di assicurare un  livello  elevato  di  sicurezza  delle
reti,  dei  sistemi  informativi  e  dei  servizi  informatici  delle
amministrazioni pubbliche, degli enti e degli operatori (( pubblici e
privati aventi una sede nel territorio nazionale )), da  cui  dipende
l'esercizio  di  una  funzione  essenziale  dello  Stato,  ovvero  la
prestazione  di  un  servizio  essenziale  per  il  mantenimento   di
attivita' civili, sociali o economiche fondamentali per gli interessi
dello Stato e dal cui malfunzionamento, interruzione, anche parziali,
ovvero utilizzo improprio,  possa  derivare  un  pregiudizio  per  la
sicurezza nazionale, e' istituito il perimetro di sicurezza nazionale
cibernetica. 
  2. Entro quattro mesi dalla data di entrata in vigore  della  legge
di conversione del presente decreto, con decreto del  Presidente  del
Consiglio  dei  ministri,   adottato   su   proposta   del   Comitato
interministeriale per la sicurezza della Repubblica (CISR): 
    a) sono individuati le amministrazioni pubbliche, gli enti e  gli
operatori (( pubblici e privati di cui al comma 1 aventi una sede nel
territorio nazionale )), inclusi nel perimetro di sicurezza nazionale
cibernetica e tenuti  al  rispetto  delle  misure  e  degli  obblighi
previsti dal presente articolo; alla predetta  individuazione,  fermo
restando che per gli Organismi di informazione per  la  sicurezza  si
applicano le norme previste dalla legge 3 agosto  2007,  n.  124,  si
procede sulla base dei seguenti criteri: 
      1) il soggetto esercita una funzione  essenziale  dello  Stato,
ovvero  assicura  un  servizio  essenziale  per  il  mantenimento  di
attivita' civili, sociali o economiche fondamentali per gli interessi
dello Stato; 
      2) l'esercizio di  tale  funzione  o  la  prestazione  di  tale
servizio dipende da reti, sistemi informativi e servizi informatici; 
      (( 2-bis) l'individuazione avviene sulla base di un criterio di
gradualita',  tenendo  conto  dell'entita'  del  pregiudizio  per  la
sicurezza nazionale che, in relazione alle specificita'  dei  diversi
settori   di   attivita',   puo'   derivare   dal   malfunzionamento,
dall'interruzione, anche  parziali,  ovvero  dall'utilizzo  improprio
delle  reti,  dei  sistemi  informativi  e  dei  servizi  informatici
predetti )); 
    b) sono definiti ((, sulla base di un'analisi del rischio e di un
criterio di  gradualita'  che  tenga  conto  delle  specificita'  dei
diversi settori di attivita', i criteri con i quali )) i soggetti  di
cui alla precedente lettera a) predispongono e aggiornano con cadenza
almeno annuale un elenco delle reti, dei sistemi  informativi  e  dei
servizi informatici di cui al  comma  1,  di  rispettiva  pertinenza,
comprensivo della relativa architettura e componentistica  ((,  fermo
restando che,  per  le  reti,  i  sistemi  informativi  e  i  servizi
informatici attinenti alla gestione delle informazioni  classificate,
si  applica  quanto  previsto  dal  regolamento  adottato  ai   sensi
dell'articolo 4, comma 3, lettera l), della legge 3 agosto  2007,  n.
124  ));  all'elaborazione  di  tali  criteri   provvede,   adottando
opportuni moduli organizzativi, l'organismo tecnico  di  supporto  al
CISR, integrato con un rappresentante della Presidenza del  Consiglio
dei ministri; entro sei mesi dalla data  di  entrata  in  vigore  del
decreto del Presidente del Consiglio dei ministri di cui al  presente
comma, i soggetti pubblici e quelli di cui all'articolo 29 del codice
dell'amministrazione digitale, di cui al decreto legislativo 7  marzo
2005, n. 82, nonche'  quelli  privati,  individuati  ai  sensi  della
lettera a) trasmettono tali elenchi, rispettivamente, alla Presidenza
del Consiglio dei ministri e al Ministero dello  sviluppo  economico;
la Presidenza  del  Consiglio  dei  ministri  e  il  Ministero  dello
sviluppo economico inoltrano gli elenchi di rispettiva pertinenza  al
Dipartimento delle  informazioni  per  la  sicurezza,  anche  per  le
attivita'  di  prevenzione,  preparazione   e   gestione   di   crisi
cibernetiche affidate al Nucleo per la sicurezza cibernetica, nonche'
all'organo  del  Ministero  dell'interno  per  la  sicurezza   e   la
regolarita' dei servizi  di  telecomunicazione  di  cui  all'articolo
7-bis del decreto-legge 27  luglio  2005,  n.  144,  convertito,  con
modificazioni, dalla legge 31 luglio 2005, n. 155. 
  3. Entro dieci mesi dalla data di entrata in vigore della legge  di
conversione del presente decreto,  con  decreto  del  Presidente  del
Consiglio dei ministri, che disciplina altresi' i relativi termini  e
modalita' attuative, adottato su proposta del CISR: 
    a) sono definite le procedure secondo cui i soggetti  individuati
ai sensi del comma 2, lettera a),  notificano  gli  incidenti  aventi
impatto su reti, sistemi informativi e servizi informatici di cui  al
comma 2, lettera  b),  al  Gruppo  di  intervento  per  la  sicurezza
informatica in caso di incidente (CSIRT) italiano, che  inoltra  tali
notifiche, tempestivamente, al Dipartimento delle informazioni per la
sicurezza anche per le attivita' demandate al Nucleo per la sicurezza
cibernetica; il Dipartimento  delle  informazioni  per  la  sicurezza
assicura la trasmissione delle notifiche  cosi'  ricevute  all'organo
del Ministero dell'interno per la  sicurezza  e  la  regolarita'  dei
servizi  di  telecomunicazione  di   cui   all'articolo   7-bis   del
decreto-legge 27 luglio 2005, n. 144, convertito, con  modificazioni,
dalla legge 31 luglio 2005,  n.  155,  nonche'  alla  Presidenza  del
Consiglio dei ministri, se provenienti da un soggetto pubblico  o  da
un soggetto di cui all'articolo 29 del decreto  legislativo  7  marzo
2005, n.  82,  ovvero  al  Ministero  dello  sviluppo  economico,  se
effettuate da un soggetto privato; 
    b) sono stabilite misure volte a  garantire  elevati  livelli  di
sicurezza  delle  reti,  dei  sistemi  informativi  e   dei   servizi
informatici di cui al comma 2, lettera b) (( ,  tenendo  conto  degli
standard definiti a livello internazionale e dell'Unione europea  )),
relative: 
      (( 1) alla struttura organizzativa preposta alla gestione della
sicurezza )); 
      (( 1-bis) alle politiche  di  sicurezza  e  alla  gestione  del
rischio )); 
      2) alla mitigazione e gestione  degli  incidenti  e  alla  loro
prevenzione, anche attraverso (( interventi su )) apparati o prodotti
che risultino gravemente inadeguati sul piano della sicurezza; 
      3) alla protezione fisica e logica e dei dati; 
      4) all'integrita' delle reti e dei sistemi informativi; 
      5) alla gestione operativa, ivi  compresa  la  continuita'  del
servizio; 
      6) al monitoraggio, test e controllo; 
      7) alla formazione e consapevolezza; 
      8) all'affidamento di forniture di beni, sistemi e  servizi  di
information  and  communication  technology  (ICT),  anche   mediante
definizione di caratteristiche e requisiti di carattere generale (( ,
di standard e di eventuali limiti )). 
  4. All'elaborazione delle misure di cui al  comma  3,  lettera  b),
provvedono, secondo gli ambiti di competenza delineati  dal  presente
decreto, il Ministero dello sviluppo economico e  la  Presidenza  del
Consiglio dei ministri, d'intesa con il Ministero  della  difesa,  il
Ministero dell'interno, il Ministero dell'economia e delle finanze  e
il Dipartimento delle informazioni per la sicurezza. 
  (( 4-bis. Gli schemi dei decreti  di  cui  ai  commi  2  e  3  sono
trasmessi alla Camera dei deputati e al Senato della  Repubblica  per
l'espressione del parere delle  Commissioni  parlamentari  competenti
per materia, che si pronunciano nel termine di trenta giorni, decorso
il quale il decreto puo' essere comunque adottato )). 
  5. Per l'aggiornamento di quanto previsto dai  decreti  di  cui  ai
commi 2 e 3 si procede secondo le medesime modalita' di cui ai  commi
(( 2, 3, 4 e 4-bis )) con cadenza almeno biennale. 
  6. Con regolamento, adottato ai sensi dell'articolo  17,  comma  1,
della legge 23 agosto 1988, n. 400, entro dieci mesi  dalla  data  di
entrata in vigore della legge di conversione  del  presente  decreto,
sono disciplinati le procedure, le modalita' e i termini con cui: 
    (( a) i soggetti di  cui  al  comma  2,  lettera  a),  ovvero  le
centrali di committenza  alle  quali  essi  fanno  ricorso  ai  sensi
dell'articolo 1, comma 512, della legge 28 dicembre 2015, n. 208, che
intendano procedere all'affidamento di forniture di beni,  sistemi  e
servizi ICT destinati a essere  impiegati  sulle  reti,  sui  sistemi
informativi e per l'espletamento dei servizi informatici  di  cui  al
comma 2, lettera b), appartenenti a categorie individuate, sulla base
di  criteri  di  natura  tecnica,  con  decreto  del  Presidente  del
Consiglio dei ministri, da adottare entro dieci mesi  dalla  data  di
entrata in vigore della legge di conversione del presente decreto, ne
danno  comunicazione  al  Centro  di  valutazione  e   certificazione
nazionale  (CVCN),  istituito  presso  il  Ministero  dello  sviluppo
economico;  la  comunicazione  comprende  anche  la  valutazione  del
rischio associato all'oggetto della  fornitura,  anche  in  relazione
all'ambito di impiego. Entro quarantacinque  giorni  dalla  ricezione
della comunicazione, prorogabili di quindici giorni, una sola  volta,
in  caso  di  particolare  complessita',  il  CVCN  puo'   effettuare
verifiche preliminari ed imporre condizioni  e  test  di  hardware  e
software da compiere anche in collaborazione con i soggetti di cui al
comma 2, lettera a),  secondo  un  approccio  gradualmente  crescente
nelle verifiche di sicurezza. Decorso il termine di cui al precedente
periodo senza che il CVCN si sia pronunciato, i  soggetti  che  hanno
effettuato la comunicazione possono  proseguire  nella  procedura  di
affidamento. In caso di imposizione di condizioni e test di  hardware
e software, i relativi bandi di gara e contratti sono  integrati  con
clausole che condizionano, sospensivamente ovvero risolutivamente, il
contratto al rispetto delle condizioni  e  all'esito  favorevole  dei
test disposti dal CVCN. I test devono essere conclusi nel termine  di
sessanta giorni. Decorso il termine di cui al precedente  periodo,  i
soggetti che hanno effettuato  la  comunicazione  possono  proseguire
nella procedura di affidamento. In relazione alla specificita'  delle
forniture di beni, sistemi  e  servizi  ICT  da  impiegare  su  reti,
sistemi informativi e servizi informatici del Ministero  dell'interno
e del Ministero della difesa,  individuati  ai  sensi  del  comma  2,
lettera b), i predetti Ministeri, nell'ambito delle risorse  umane  e
finanziarie disponibili  a  legislazione  vigente  e  senza  nuovi  o
maggiori oneri a carico  della  finanza  pubblica,  in  coerenza  con
quanto previsto dal  presente  decreto,  possono  procedere,  con  le
medesime  modalita'  e  i  medesimi  termini  previsti  dai   periodi
precedenti,  attraverso  la  comunicazione  ai   propri   Centri   di
valutazione accreditati per le attivita' di cui al presente  decreto,
ai sensi del comma 7, lettera b), che  impiegano  le  metodologie  di
verifica e di test definite dal CVCN. Per tali casi i predetti Centri
informano il CVCN con le  modalita'  stabilite  con  il  decreto  del
Presidente del Consiglio dei ministri, di cui al comma 7, lettera b).
Non sono oggetto di comunicazione gli affidamenti delle forniture  di
beni,  sistemi  e  servizi  ICT  destinate  alle  reti,  ai   sistemi
informativi  e  ai  servizi  informatici  per  lo  svolgimento  delle
attivita' di prevenzione, accertamento e repressione dei  reati  e  i
casi di deroga stabiliti dal medesimo regolamento con  riguardo  alle
forniture  di  beni,  sistemi  e  servizi  ICT  per  le   quali   sia
indispensabile procedere in sede estera, fermo restando, in  entrambi
i casi, l'utilizzo di beni, sistemi e servizi ICT conformi ai livelli
di sicurezza di cui al comma 3, lettera b), salvo  motivate  esigenze
connesse agli specifici impieghi cui essi sono destinati )); 
    b) i soggetti individuati quali  fornitori  di  beni,  sistemi  e
servizi destinati alle reti, ai  sistemi  informativi  e  ai  servizi
informatici di cui al comma 2, lettera  b),  assicurano  al  CVCN  e,
limitatamente agli ambiti di specifica competenza, ((  ai  Centri  di
valutazione operanti presso i Ministeri dell'interno e della  difesa,
di  cui  alla  lettera  a)  del  presente  comma   )),   la   propria
collaborazione per l'effettuazione delle attivita'  di  test  di  cui
alla lettera a) del presente comma, sostenendone gli oneri;  il  CVCN
segnala  la  mancata  collaborazione  al  Ministero  dello   sviluppo
economico, in caso di fornitura destinata a soggetti privati, o  alla
Presidenza del Consiglio dei ministri, in caso di fornitura destinata
a soggetti pubblici ovvero a quelli di cui all'articolo 29 del codice
di cui al decreto legislativo 7 marzo 2005,  n.  82;  sono  inoltrate
altresi' alla Presidenza  del  Consiglio  dei  ministri  le  analoghe
segnalazioni (( dei Centri di valutazione dei Ministeri  dell'interno
e della difesa, di cui alla lettera a) )); 
    c) la Presidenza del Consiglio dei ministri,  per  i  profili  di
pertinenza dei soggetti pubblici e di quelli di cui  all'articolo  29
del  codice  dell'Amministrazione  digitale   di   cui   al   decreto
legislativo 7 marzo 2005, n. 82, individuati ai sensi  del  comma  2,
lettera a), e il Ministero dello sviluppo economico, per  i  soggetti
privati di cui alla medesima lettera, svolgono attivita' di ispezione
e verifica in relazione a quanto previsto dal comma  2,  lettera  b),
dal comma 3 e dalla lettera a) del presente comma e  senza  che  cio'
comporti accesso  a  dati  o  metadati  personali  e  amministrativi,
impartendo, se necessario, specifiche prescrizioni; per  le  reti,  i
sistemi informativi e i  servizi  informatici  di  cui  al  comma  2,
lettera b), connessi alla funzione di prevenzione e  repressione  dei
reati, alla tutela dell'ordine e della sicurezza pubblica ((  ,  alla
difesa civile )) e alla difesa e sicurezza militare dello  Stato,  le
attivita' di ispezione e  verifica  sono  svolte,  nell'ambito  delle
risorse umane e finanziarie  disponibili  a  legislazione  vigente  e
senza nuovi o maggiori oneri a carico della finanza  pubblica,  dalle
strutture specializzate in tema di  protezione  di  reti  e  sistemi,
nonche' (( , nei casi  in  cui  siano  espressamente  previste  dalla
legge,  ))  in  tema  di  prevenzione  e  di  contrasto  del  crimine
informatico, delle amministrazioni  da  cui  dipendono  le  Forze  di
polizia  e  le  Forze  armate,  che  ne  comunicano  gli  esiti  alla
Presidenza del Consiglio dei ministri per i profili di competenza. 
  7.  Nell'ambito  dell'approvvigionamento  di  prodotti,   processi,
servizi ICT  e  associate  infrastrutture  destinati  alle  reti,  ai
sistemi informativi e per l'espletamento dei servizi  informatici  di
cui al comma 2, lettera b), il CVCN assume i seguenti compiti: 
    a) contribuisce all'elaborazione delle misure di sicurezza di cui
al comma 3, lettera  b),  per  cio'  che  concerne  l'affidamento  di
forniture di beni, sistemi e servizi ICT; 
    b) ai  fini  della  verifica  delle  condizioni  di  sicurezza  e
dell'assenza di vulnerabilita' note, anche in relazione all'ambito di
impiego, (( definisce le metodologie di  verifica  e  di  test  e  ))
svolge le attivita' di cui al comma 6, lettera a), dettando,  se  del
caso, anche prescrizioni di utilizzo al committente; a tali  fini  il
CVCN si avvale anche di laboratori dallo stesso  accreditati  secondo
criteri stabiliti da un decreto  del  Presidente  del  Consiglio  dei
ministri, adottato entro dieci mesi dalla data di entrata  in  vigore
della legge di conversione del  presente  decreto,  su  proposta  del
CISR, impiegando, per  le  esigenze  delle  amministrazioni  centrali
dello Stato, quelli eventualmente istituiti, senza nuovi  o  maggiori
oneri  a  carico  della  finanza   pubblica,   presso   le   medesime
amministrazioni (( . Con lo stesso decreto sono altresi' stabiliti  i
raccordi, ivi compresi i contenuti, le modalita' e  i  termini  delle
comunicazioni, tra il CVCN e i predetti laboratori,  nonche'  tra  il
medesimo CVCN e i Centri di valutazione del Ministero dell'interno  e
del Ministero della difesa, di cui al comma 6, lettera a),  anche  al
fine di assicurare il  coordinamento  delle  rispettive  attivita'  e
perseguire la convergenza e la non duplicazione delle valutazioni  in
presenza di medesimi condizioni e livelli di rischio )); 
    c)  elabora  e  adotta,  previo  conforme  avviso  dell'organismo
tecnico di supporto al CISR, schemi di certificazione cibernetica  ((
, tenendo conto degli standard definiti a  livello  internazionale  e
dell'Unione europea )), laddove, per ragioni di sicurezza  nazionale,
gli schemi di certificazione esistenti non  siano  ritenuti  adeguati
alle  esigenze  di  tutela  del  perimetro  di  sicurezza   nazionale
cibernetica. 
  8. I soggetti di cui agli articoli 12 e 14 del decreto  legislativo
18 maggio 2018, n. 65, e quelli di cui all'articolo 16-ter, comma  2,
del  codice  delle  comunicazioni  elettroniche  di  cui  al  decreto
legislativo  1°  agosto  2003,  n.  259,  inclusi  nel  perimetro  di
sicurezza nazionale cibernetica: 
    a) osservano le misure di  sicurezza  previste,  rispettivamente,
dai predetti decreti legislativi, ove di livello almeno equivalente a
quelle adottate ai sensi  del  comma  3,  lettera  b),  del  presente
articolo; le  eventuali  misure  aggiuntive  necessarie  al  fine  di
assicurare i livelli di sicurezza previsti dal presente decreto  sono
definite dalla Presidenza del Consiglio dei ministri, per i  soggetti
pubblici e per quelli di cui all'articolo 29 del  codice  di  cui  al
decreto legislativo 7 marzo 2005, n. 82,  individuati  ai  sensi  del
comma 2, lettera a), del presente articolo,  e  dal  Ministero  dello
sviluppo economico per  i  soggetti  privati  di  cui  alla  medesima
lettera, avvalendosi anche del  CVCN;  il  Ministero  dello  sviluppo
economico e la Presidenza del Consiglio dei ministri  si  raccordano,
ove necessario, con le autorita' competenti di cui all'articolo 7 del
decreto legislativo 18 maggio 2018, n. 65; 
    b) assolvono l'obbligo di notifica di cui al comma 3, lettera a),
che costituisce anche adempimento, rispettivamente,  dell'obbligo  di
notifica di cui agli articoli 12 e  14  del  decreto  legislativo  18
maggio  2018,  n.  65,  e  dell'analogo  obbligo  previsto  ai  sensi
dell'articolo 16-ter del codice di  cui  al  decreto  legislativo  1°
agosto 2003, n. 259, e delle correlate disposizioni attuative; a  tal
fine, oltre a quanto previsto dal  comma  3,  lettera  a),  anche  in
relazione alle disposizioni di cui all'articolo 16-ter del codice  di
cui al decreto legislativo 1° agosto 2003, n. 259, il CSIRT  italiano
inoltra le notifiche ricevute ai sensi del predetto comma 3,  lettera
a), all'autorita'  competente  di  cui  all'articolo  7  del  decreto
legislativo 18 maggio 2018, n. 65. 
  9. Salvo che il fatto costituisca reato: 
    a) il mancato adempimento degli obblighi di predisposizione e  di
aggiornamento dell'elenco delle reti, dei sistemi informativi  e  dei
servizi informatici di cui al comma 2, lettera b), e' punito  con  la
sanzione amministrativa pecuniaria da euro 200.000 a euro 1.200.000; 
    b) il mancato adempimento dell'obbligo  di  notifica  di  cui  al
comma 3, lettera  a),  nei  termini  prescritti,  e'  punito  con  la
sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000; 
    c) l'inosservanza delle misure di sicurezza di cui  al  comma  3,
lettera b), e' punita con la sanzione  amministrativa  pecuniaria  da
euro 250.000 a euro 1.500.000; 
    d) la mancata comunicazione di cui al comma 6,  lettera  a),  nei
termini  prescritti,  e'  punita  con  la   sanzione   amministrativa
pecuniaria da euro 300.000 a euro 1.800.000; 
    e) l'impiego di  prodotti  e  servizi  sulle  reti,  sui  sistemi
informativi (( e per l'espletamento )) dei servizi informatici di cui
al comma 2, lettera b), in violazione delle condizioni o  in  assenza
del superamento dei test (( imposti dal CVCN  ovvero  dai  Centri  di
valutazione )) di cui al comma  6,  lettera  a),  e'  punito  con  la
sanzione amministrativa pecuniaria da euro 300.000 a euro 1.800.000; 
    f) la mancata collaborazione per l'effettuazione delle  attivita'
di test di cui al comma 6, lettera a), da parte dei soggetti  di  cui
al  medesimo  comma  6,  lettera  b),  e'  punita  con  la   sanzione
amministrativa pecuniaria da euro 250.000 a euro 1.500.000; 
    g)  il  mancato  adempimento  delle  prescrizioni  indicate   dal
Ministero dello sviluppo economico o dalla Presidenza  del  Consiglio
dei ministri in esito alle attivita' di ispezione e  verifica  svolte
ai sensi  del  comma  6,  lettera  c),  e'  punito  con  la  sanzione
amministrativa pecuniaria da euro 250.000 a euro 1.500.000; 
    h) il mancato rispetto delle prescrizioni  di  cui  al  comma  7,
lettera b), e' punito con la sanzione  amministrativa  pecuniaria  da
euro 250.000 a euro 1.500.000. 
  10. (( L'impiego di prodotti e di servizi sulle reti,  sui  sistemi
informativi e per l'espletamento dei servizi informatici  di  cui  al
comma 2, lettera b), in assenza della comunicazione o del superamento
dei test o in violazione delle condizioni di cui al comma 6,  lettera
a), comporta, oltre alle sanzioni di cui al comma 9,  lettere  d)  ed
e), l'applicazione della )) sanzione amministrativa accessoria  della
incapacita' ad assumere incarichi  di  direzione,  amministrazione  e
controllo nelle persone giuridiche e nelle imprese, per un periodo di
tre anni a decorrere dalla data di accertamento della violazione. 
  11.   Chiunque,   allo   scopo   di   ostacolare   o   condizionare
l'espletamento dei procedimenti di cui al comma 2, lettera b),  o  al
comma 6, lettera a), o  delle  attivita'  ispettive  e  di  vigilanza
previste dal comma 6,  lettera  c),  fornisce  informazioni,  dati  o
elementi  di  fatto  non  rispondenti  al  vero,  rilevanti  per   la
predisposizione o l'aggiornamento degli elenchi di cui  al  comma  2,
lettera b), o ai fini delle comunicazioni di cui al comma 6,  lettera
a), o per lo svolgimento delle attivita' ispettive e di vigilanza  di
cui al comma 6), lettera c) od omette di comunicare entro  i  termini
prescritti i predetti dati, informazioni  o  elementi  di  fatto,  e'
punito con la reclusione da uno a (( tre )) anni. 
  (( 11-bis. All'articolo 24-bis, comma 3, del decreto legislativo  8
giugno 2001, n. 231, dopo le parole: «di altro ente  pubblico,»  sono
inserite le seguenti: «e dei delitti di cui all'articolo 1, comma 11,
del decreto-legge 21 settembre 2019, n. 105,» )). 
  12. Le autorita' competenti per l'accertamento delle  violazioni  e
per  l'irrogazione  delle  sanzioni  ((  amministrative  ))  sono  la
Presidenza del Consiglio dei ministri, per i soggetti pubblici e  per
i soggetti di cui all'articolo  29  del  codice  di  cui  al  decreto
legislativo 7 marzo 2005, n. 82, individuati ai sensi  del  comma  2,
lettera a), del presente articolo,  e  il  Ministero  dello  sviluppo
economico, per i soggetti privati di cui alla medesima lettera. 
  13. Ai fini dell'accertamento  e  dell'irrogazione  delle  sanzioni
amministrative di cui  al  comma  9,  si  osservano  le  disposizioni
contenute nel capo I, sezioni I e II, della legge 24  novembre  1981,
n. 689. 
  14. Per i dipendenti dei soggetti pubblici individuati ai sensi del
comma 2, lettera a), la  violazione  delle  disposizioni  di  cui  al
presente  articolo   puo'   costituire   causa   di   responsabilita'
disciplinare e amministrativo-contabile. 
  15. Le autorita' titolari delle attribuzioni  di  cui  al  presente
decreto assicurano gli opportuni raccordi con il  Dipartimento  delle
informazioni  per  la  sicurezza  e  con   l'organo   del   Ministero
dell'interno per  la  sicurezza  e  la  regolarita'  dei  servizi  di
telecomunicazione, quale autorita' di contrasto nell'esercizio  delle
attivita' di cui all'articolo 7-bis del decreto-legge 27 luglio 2005,
n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n.
155. 
  16. La Presidenza del Consiglio dei Ministri,  per  lo  svolgimento
delle funzioni di cui al presente decreto puo' avvalersi dell'Agenzia
per l'Italia Digitale (AgID)  sulla  base  di  apposite  convenzioni,
nell'ambito  delle  risorse  finanziarie  e   umane   disponibili   a
legislazione vigente, senza nuovi o maggiori  oneri  per  la  finanza
pubblica. 
  17. Al decreto legislativo 18 maggio 2018, n. 65, sono apportate le
seguenti modificazioni: 
    a) all'articolo 4, comma 5, dopo il primo periodo e' aggiunto  il
seguente: 
      «Il Ministero dello sviluppo economico inoltra tale  elenco  al
punto di contatto unico e all'organo del Ministero  dell'interno  per
la sicurezza e la regolarita' dei servizi  di  telecomunicazione,  di
cui all'articolo 7-bis del decreto-legge  27  luglio  2005,  n.  144,
convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155.»; 
    b) all'articolo 9, comma 3, le parole «e  il  punto  di  contatto
unico» sono sostituite dalle seguenti: 
      «,  il  punto  di  contatto  unico  e  l'organo  del  Ministero
dell'interno per  la  sicurezza  e  la  regolarita'  dei  servizi  di
telecomunicazione, di cui all'articolo  7-bis  del  decreto-legge  27
luglio 2005, n. 144, convertito, con modificazioni,  dalla  legge  31
luglio 2005, n. 155,». 
  18.  Gli  eventuali  adeguamenti  alle  prescrizioni  di  sicurezza
definite ai sensi del presente  articolo,  delle  reti,  dei  sistemi
informativi  e  dei   servizi   informatici   delle   amministrazioni
pubbliche, degli enti e degli operatori pubblici di cui al  comma  2,
lettera a), sono effettuati con le risorse finanziarie disponibili  a
legislazione vigente. 
  19. Per la realizzazione, l'allestimento  e  il  funzionamento  del
CVCN di cui ai commi 6 e 7 e' autorizzata la spesa di euro  3.200.000
per l'anno 2019 e di euro 2.850.000 per ciascuno degli anni dal  2020
al 2023 e di euro 750.000 annui a decorrere dall'anno 2024. (( Per la
realizzazione,  l'allestimento  e  il  funzionamento  del  Centro  di
valutazione del Ministero dell'interno, di cui ai commi  6  e  7,  e'
autorizzata la spesa di euro  200.000  per  l'anno  2019  e  di  euro
1.500.000 per ciascuno degli anni 2020 e 2021 )). 
  (( 19-bis. Il Presidente del Consiglio  dei  ministri  coordina  la
coerente attuazione  delle  disposizioni  del  presente  decreto  che
disciplinano il perimetro di sicurezza nazionale  cibernetica,  anche
avvalendosi del Dipartimento delle informazioni per la sicurezza, che
assicura gli opportuni  raccordi  con  le  autorita'  titolari  delle
attribuzioni di cui al presente decreto e con i soggetti  di  cui  al
comma 1 del presente articolo. Entro sessanta giorni  dalla  data  di
entrata in vigore del regolamento di cui al comma  6,  il  Presidente
del Consiglio dei ministri trasmette alle Camere una relazione  sulle
attivita' svolte )). 
          Riferimenti normativi 
 
              - Si riporta il testo dell'articolo 4, comma  3,  della
          legge 3 agosto 2007,  n.  124,  pubblicata  nella  Gazzetta
          Ufficiale 13 agosto 2007, n. 187: 
              «Art.  4  (Dipartimento  delle  informazioni   per   la
          sicurezza). - (Omissis). 
              3. Il DIS svolge i seguenti compiti: 
                a) coordina l'intera attivita' di informazione per la
          sicurezza, verificando altresi' i risultati delle attivita'
          svolte dall'AISE e dall'AISI, ferma restando la  competenza
          dei  predetti  servizi  relativamente  alle  attivita'   di
          ricerca informativa e di collaborazione con  i  servizi  di
          sicurezza degli Stati esteri; 
                b) e' costantemente  informato  delle  operazioni  di
          competenza dei servizi di informazione per la  sicurezza  e
          trasmette al  Presidente  del  Consiglio  dei  ministri  le
          informative  e  le  analisi   prodotte   dal   Sistema   di
          informazione per la sicurezza; 
                c) raccoglie le informazioni, le analisi e i rapporti
          provenienti dai servizi di informazione per  la  sicurezza,
          dalle Forze armate  e  di  polizia,  dalle  amministrazioni
          dello Stato e da  enti  di  ricerca  anche  privati;  ferma
          l'esclusiva   competenza   dell'AISE   e   dell'AISI    per
          l'elaborazione dei rispettivi piani di  ricerca  operativa,
          elabora  analisi  strategiche  o  relative  a   particolari
          situazioni; formula valutazioni e previsioni, sulla  scorta
          dei contributi analitici settoriali dell'AISE e dell'AISI; 
                d) elabora, anche sulla base delle informazioni e dei
          rapporti  di  cui  alla  lettera  c),  analisi  globali  da
          sottoporre   al   CISR,   nonche'   progetti   di   ricerca
          informativa, sui quali decide il Presidente  del  Consiglio
          dei ministri, dopo avere acquisito il parere del CISR; 
                d-bis) sulla base delle direttive di cui all'articolo
          1, comma 3-bis, nonche' delle informazioni e  dei  rapporti
          di cui alla lettera c)  del  presente  comma,  coordina  le
          attivita' di ricerca informativa finalizzate  a  rafforzare
          la  protezione  cibernetica  e  la  sicurezza   informatica
          nazionali; 
                e) promuove e garantisce, anche  attraverso  riunioni
          periodiche, lo scambio informativo tra l'AISE, l'AISI e  le
          Forze di polizia; comunica al Presidente del Consiglio  dei
          ministri  le   acquisizioni   provenienti   dallo   scambio
          informativo e i risultati delle riunioni periodiche; 
                f) trasmette,  su  disposizione  del  Presidente  del
          Consiglio dei ministri, sentito  il  CISR,  informazioni  e
          analisi ad  amministrazioni  pubbliche  o  enti,  anche  ad
          ordinamento  autonomo,  interessati   all'acquisizione   di
          informazioni per la sicurezza; 
                g) elabora, d'intesa con l'AISE e l'AISI, il piano di
          acquisizione delle risorse umane  e  materiali  e  di  ogni
          altra  risorsa  comunque  strumentale   all'attivita'   dei
          servizi di informazione per  la  sicurezza,  da  sottoporre
          all'approvazione del Presidente del Consiglio dei ministri; 
                h) sentite  l'AISE  e  l'AISI,  elabora  e  sottopone
          all'approvazione del Presidente del Consiglio dei  ministri
          lo schema del regolamento di cui all'articolo 21, comma 1; 
                i)  esercita  il  controllo  sull'AISE  e  sull'AISI,
          verificando la conformita' delle attivita' di  informazione
          per la sicurezza alle leggi e ai regolamenti, nonche'  alle
          direttive e alle disposizioni del Presidente del  Consiglio
          dei  ministri.  Per  tale  finalita',  presso  il  DIS   e'
          istituito  un  ufficio  ispettivo  le  cui   modalita'   di
          organizzazione e di  funzionamento  sono  definite  con  il
          regolamento di cui al comma 7. Con le modalita' previste da
          tale regolamento e' approvato  annualmente,  previo  parere
          del Comitato parlamentare di cui all'articolo 30, il  piano
          annuale delle attivita' dell'ufficio  ispettivo.  L'ufficio
          ispettivo, nell'ambito delle  competenze  definite  con  il
          predetto regolamento, puo' svolgere, anche a richiesta  del
          direttore generale del DIS, autorizzato dal Presidente  del
          Consiglio dei  ministri,  inchieste  interne  su  specifici
          episodi  e  comportamenti  verificatisi   nell'ambito   dei
          servizi di informazione per la sicurezza; 
                l) assicura l'attuazione delle disposizioni impartite
          dal Presidente del  Consiglio  dei  Ministri  con  apposito
          regolamento adottato ai sensi dell'articolo 1, comma 2,  ai
          fini della tutela amministrativa del  segreto  di  Stato  e
          delle classifiche di segretezza, vigilando  altresi'  sulla
          loro corretta applicazione; 
                m) cura le attivita' di promozione e diffusione della
          cultura della sicurezza e la comunicazione istituzionale; 
                n) impartisce gli indirizzi per la gestione  unitaria
          del personale di cui all'articolo 21, secondo le  modalita'
          definite dal regolamento di cui al  comma  1  del  medesimo
          articolo; 
                n-bis)  gestisce  unitariamente,  ferme  restando  le
          competenze   operative   dell'AISE   e    dell'AISI,    gli
          approvvigionamenti e i servizi logistici comuni. 
              (Omissis).». 
              - Si riporta  il  testo  dell'articolo  29  del  codice
          dell'amministrazione   digitale,   di   cui   al    decreto
          legislativo 7 marzo 2005, n. 82: 
              «Art. 29 (Qualificazione  e  accreditamento).  -  1.  I
          soggetti   che   intendono   fornire   servizi    fiduciari
          qualificati o svolgere  l'attivita'  di  gestore  di  posta
          elettronica  certificata  o   di   gestore   dell'identita'
          digitale di cui all'articolo 64 presentano all'AgID domanda
          di qualificazione, secondo le modalita' fissate dalle Linee
          guida. I soggetti che  intendono  svolgere  l'attivita'  di
          conservatore di documenti informatici  presentano  all'AgID
          domanda di accreditamento,  secondo  le  modalita'  fissate
          dalle Linee guida. 
              2.  Il  richiedente  deve  trovarsi  nelle   condizioni
          previste dall'articolo 24 del Regolamento eIDAS, deve avere
          natura giuridica di societa' di capitali  e  deve  disporre
          dei requisiti di onorabilita', tecnologici e organizzativi,
          nonche'  delle  garanzie  assicurative   e   di   eventuali
          certificazioni, adeguate rispetto al volume  dell'attivita'
          svolta e alla responsabilita'  assunta  nei  confronti  dei
          propri utenti  e  dei  terzi.  I  predetti  requisiti  sono
          individuati, nel rispetto  della  disciplina  europea,  con
          decreto del Presidente del Consiglio dei ministri,  sentita
          l'AgID. Il predetto decreto determina  altresi'  i  criteri
          per la fissazione delle  tariffe  dovute  all'AgID  per  lo
          svolgimento delle predette attivita', nonche' i requisiti e
          le condizioni per lo svolgimento delle attivita' di cui  al
          comma 1 da parte di amministrazioni pubbliche. 
              3. 
              4. La domanda di qualificazione o di accreditamento  si
          considera   accolta   qualora    non    venga    comunicato
          all'interessato il provvedimento di diniego  entro  novanta
          giorni dalla data di presentazione della stessa. 
              5. Il termine di cui al comma 4,  puo'  essere  sospeso
          una  sola  volta  entro  trenta  giorni   dalla   data   di
          presentazione della domanda, esclusivamente per la motivata
          richiesta  di  documenti  che  integrino  o  completino  la
          documentazione  presentata  e  che  non  siano  gia'  nella
          disponibilita'  di  AgID  (259)  o  che  questo  non  possa
          acquisire autonomamente. In tale caso, il termine  riprende
          a decorrere dalla data di  ricezione  della  documentazione
          integrativa. 
              6. A  seguito  dell'accoglimento  della  domanda,  AgID
          dispone l'iscrizione del richiedente in un apposito  elenco
          di fiducia pubblico, tenuto da AgID stesso  e  consultabile
          anche in via telematica, ai  fini  dell'applicazione  della
          disciplina in questione. 
              7. 
              8. 
              9. Alle attivita' previste dal presente articolo si  fa
          fronte nell'ambito delle risorse di  AgID,  senza  nuovi  o
          maggiori oneri per la finanza pubblica.». 
              - Si riporta  l'articolo  7-bis  del  decreto-legge  27
          luglio 2005, n. 144, convertito, con  modificazioni,  dalla
          legge 31 luglio 2005, n. 155: 
              «Art. 7-bis (Sicurezza telematica). - 1. Ferme restando
          le competenze dei Servizi informativi e  di  sicurezza,  di
          cui agli articoli 4 e 6 della legge  24  ottobre  1977,  n.
          801, l'organo del Ministero dell'interno per la sicurezza e
          per  la  regolarita'  dei  servizi   di   telecomunicazione
          assicura  i  servizi  di   protezione   informatica   delle
          infrastrutture   critiche   informatizzate   di   interesse
          nazionale   individuate   con    decreto    del    Ministro
          dell'interno,  operando  mediante  collegamenti  telematici
          definiti con apposite convenzioni con i responsabili  delle
          strutture interessate. 
              2. Per le  finalita'  di  cui  al  comma  1  e  per  la
          prevenzione e repressione delle attivita'  terroristiche  o
          di  agevolazione  del  terrorismo  condotte  con  i   mezzi
          informatici,   gli   ufficiali   di   polizia   giudiziaria
          appartenenti all'organo di cui al comma 1 possono  svolgere
          le attivita' di cui  all'articolo  4,  commi  1  e  2,  del
          decreto-legge 18 ottobre  2001,  n.  374,  convertito,  con
          modificazioni, dalla legge 15  dicembre  2001,  n.  438,  e
          quelle di cui all' articolo 226 delle norme di  attuazione,
          di coordinamento e  transitorie  del  codice  di  procedura
          penale, di cui al decreto legislativo 28  luglio  1989,  n.
          271, anche a richiesta o in collaborazione con  gli  organi
          di polizia giudiziaria ivi indicati». 
              - Si riporta l'articolo 17 della legge 23 agosto  1988,
          n. 400: 
              «Art. 17 (Regolamenti). - 1. Con decreto del Presidente
          della Repubblica, previa deliberazione  del  Consiglio  dei
          ministri, sentito il parere del Consiglio di Stato che deve
          pronunziarsi entro novanta giorni dalla richiesta,  possono
          essere emanati regolamenti per disciplinare: 
                a)   l'esecuzione   delle   leggi   e   dei   decreti
          legislativi, nonche' dei regolamenti comunitari; 
                b) l'attuazione e l'integrazione delle  leggi  e  dei
          decreti legislativi recanti  norme  di  principio,  esclusi
          quelli  relativi  a  materie  riservate   alla   competenza
          regionale; 
                c) le materie in cui manchi la disciplina da parte di
          leggi o di atti aventi forza di legge, sempre  che  non  si
          tratti di materie comunque riservate alla legge; 
                d)  l'organizzazione  ed   il   funzionamento   delle
          amministrazioni pubbliche secondo le  disposizioni  dettate
          dalla legge; 
                e). 
              (Omissis).». 
              - Si riporta l'articolo 1, comma 512,  della  legge  28
          dicembre 2015, n. 208: 
              «512. - Al fine  di  garantire  l'ottimizzazione  e  la
          razionalizzazione  degli  acquisti  di   beni   e   servizi
          informatici e di connettivita', fermi restando gli obblighi
          di acquisizione centralizzata previsti per i beni e servizi
          dalla normativa vigente, le amministrazioni pubbliche e  le
          societa' inserite nel  conto  economico  consolidato  della
          pubblica amministrazione,  come  individuate  dall'Istituto
          nazionale di statistica (ISTAT) ai  sensi  dell'articolo  1
          della legge 31 dicembre 2009, n. 196, provvedono ai  propri
          approvvigionamenti esclusivamente tramite gli strumenti  di
          acquisto e di negoziazione di Consip  Spa  o  dei  soggetti
          aggregatori,  ivi  comprese  le  centrali  di   committenza
          regionali, per i beni e i servizi  disponibili  presso  gli
          stessi soggetti. Le regioni sono  autorizzate  ad  assumere
          personale strettamente necessario ad  assicurare  la  piena
          funzionalita' dei soggetti aggregatori di cui  all'articolo
          9 del decreto-legge 24 aprile 2014, n. 66, convertito,  con
          modificazioni, dalla legge 23 giugno 2014, n. 89, in deroga
          ai vincoli assunzionali previsti dalla  normativa  vigente,
          nei limiti del finanziamento derivante dal Fondo di cui  al
          comma 9 del medesimo articolo 9 del decreto-legge n. 66 del
          2014.». 
              - Si  riportano  gli  articoli  12  e  14  del  decreto
          legislativo 18 maggio 2018, n. 65: 
              «Capo  IV  -  Sicurezza  della  rete  e   dei   sistemi
          informativi degli operatori di servizi essenziali 
              Art. 12 (Obblighi in materia di  sicurezza  e  notifica
          degli incidenti). - 1. Gli operatori di servizi  essenziali
          adottano  misure  tecniche  e  organizzative   adeguate   e
          proporzionate alla gestione dei rischi posti alla sicurezza
          della rete e dei sistemi informativi che  utilizzano  nelle
          loro  operazioni.  Tenuto  conto  delle   conoscenze   piu'
          aggiornate in materia, dette misure assicurano  un  livello
          di sicurezza della rete e dei sistemi informativi  adeguato
          al rischio esistente. 
              2. Gli operatori di servizi essenziali adottano  misure
          adeguate per prevenire e minimizzare l'impatto di incidenti
          a  carico  della  sicurezza  della  rete  e   dei   sistemi
          informativi  utilizzati  per  la  fornitura   dei   servizi
          essenziali, al fine di assicurare la  continuita'  di  tali
          servizi. 
              3. Nell'adozione delle misure di cui ai commi  1  e  2,
          gli operatori di servizi  essenziali  tengono  conto  delle
          linee guida predisposte dal gruppo di cooperazione  di  cui
          all'articolo 10, nonche' delle linee guida di cui al  comma
          7. 
              4. Fatto salvo quanto previsto dai commi 1, 2 e  3,  le
          autorita' competenti NIS possono, se  necessario,  definire
          specifiche  misure,  sentiti  gli  operatori   di   servizi
          essenziali. 
              5. Gli operatori di servizi  essenziali  notificano  al
          CSIRT italiano e, per conoscenza, all'autorita'  competente
          NIS, senza ingiustificato ritardo, gli incidenti aventi  un
          impatto rilevante sulla continuita' dei servizi  essenziali
          forniti. 
              6.  Il  CSIRT  italiano  inoltra   tempestivamente   le
          notifiche  all'organo  istituito  presso  il   Dipartimento
          informazioni per la sicurezza incaricato,  ai  sensi  delle
          direttive  del  Presidente  del  Consiglio   dei   ministri
          adottate  sentito  il  Comitato  interministeriale  per  la
          sicurezza  della  Repubblica  (CISR),  delle  attivita'  di
          prevenzione e preparazione ad eventuali situazioni di crisi
          e di attivazione delle procedure di allertamento. 
              7.  Le  notifiche   includono   le   informazioni   che
          consentono al CSIRT italiano di  determinare  un  eventuale
          impatto transfrontaliero dell'incidente.  La  notifica  non
          espone  la  parte  che   la   effettua   a   una   maggiore
          responsabilita' rispetto a quella derivante dall'incidente.
          Le autorita' competenti NIS possono predisporre linee guida
          per la notifica degli incidenti. 
              8. Per determinare  la  rilevanza  dell'impatto  di  un
          incidente  si  tiene  conto  in  particolare  dei  seguenti
          parametri: 
                a)   il   numero   di   utenti   interessati    dalla
          perturbazione del servizio essenziale; 
                b) la durata dell'incidente; 
                c) la diffusione  geografica  relativamente  all'area
          interessata dall'incidente. 
              9. Sulla base delle informazioni fornite nella notifica
          da parte dell'operatore di  servizi  essenziali,  il  CSIRT
          italiano  informa  gli   eventuali   altri   Stati   membri
          interessati in cui  l'incidente  ha  un  impatto  rilevante
          sulla continuita' dei servizi essenziali. 
              10 Ai fini del comma 9,  il  CSIRT  italiano  preserva,
          conformemente  al  diritto  dell'Unione  europea   e   alla
          legislazione  nazionale,  la  sicurezza  e  gli   interessi
          commerciali dell'operatore di servizi  essenziali,  nonche'
          la riservatezza delle informazioni fornite  nella  notifica
          secondo quanto previsto dall'articolo 1, comma 5. 
              11. Ove le circostanze lo consentano, il CSIRT italiano
          fornisce all'operatore di servizi essenziali, che  effettua
          la notifica, le pertinenti informazioni relative al seguito
          della notifica stessa, nonche' le informazioni che  possono
          facilitare un trattamento efficace dell'incidente. 
              12. Su richiesta dell'autorita' competente  NIS  o  del
          CSIRT italiano,  il  punto  di  contatto  unico  trasmette,
          previa verifica dei presupposti, le notifiche ai  punti  di
          contatto unici degli altri Stati membri interessati. 
              13. Previa valutazione da parte dell'organo di  cui  al
          comma 6, l'autorita' competente NIS, d'intesa con il  CSIRT
          italiano, dopo  aver  consultato  l'operatore  dei  servizi
          essenziali  notificante,  puo'  informare  il  pubblico  in
          merito ai singoli incidenti, qualora ne sia  necessaria  la
          sensibilizzazione per evitare un  incidente  o  gestire  un
          incidente in corso. 
              14. Dall'attuazione del presente  articolo  non  devono
          derivare nuovi o maggiori  oneri  a  carico  della  finanza
          pubblica. Gli operatori di  servizi  essenziali  provvedono
          agli adempimenti previsti dal presente  articolo  a  valere
          sulle risorse finanziarie disponibili sui propri bilanci.» 
              «Capo  V  -  Sicurezza  della  rete   e   dei   sistemi
          informativi dei fornitori di servizi digitali 
              Art. 14 (Obblighi in materia di  sicurezza  e  notifica
          degli incidenti). - 1.  I  fornitori  di  servizi  digitali
          identificano e adottano  misure  tecniche  e  organizzative
          adeguate e proporzionate alla gestione dei rischi  relativi
          alla sicurezza della rete e  dei  sistemi  informativi  che
          utilizzano nel contesto  dell'offerta  di  servizi  di  cui
          all'allegato III all'interno dell'Unione europea. 
              2. Tenuto conto delle  conoscenze  piu'  aggiornate  in
          materia, tali misure assicurano  un  livello  di  sicurezza
          della rete e dei sistemi informativi  adeguato  al  rischio
          esistente e tengono conto dei seguenti elementi: 
                a) la sicurezza dei sistemi e degli impianti; 
                b) trattamento degli incidenti; 
                c) gestione della continuita' operativa; 
                d) monitoraggio, audit e test; 
                e) conformita' con le norme internazionali. 
              3. I fornitori di servizi digitali adottano misure  per
          prevenire e minimizzare l'impatto  di  incidenti  a  carico
          della sicurezza della rete e dei  sistemi  informativi  del
          fornitore  di  servizi  digitali   sui   servizi   di   cui
          all'allegato III offerti all'interno  dell'Unione  europea,
          al fine di assicurare la continuita' di tali servizi. 
              4. I fornitori di servizi digitali notificano al  CSIRT
          italiano e, per conoscenza, all'autorita'  competente  NIS,
          senza  ingiustificato  ritardo,  gli  incidenti  aventi  un
          impatto rilevante sulla fornitura di  un  servizio  di  cui
          all'allegato III che essi offrono  all'interno  dell'Unione
          europea. 
              5.  Le  notifiche   includono   le   informazioni   che
          consentono al CSIRT italiano di determinare la rilevanza di
          un eventuale  impatto  transfrontaliero.  La  notifica  non
          espone  la  parte  che   la   effettua   a   una   maggiore
          responsabilita' rispetto a quella derivante dall'incidente. 
              6.  Il  CSIRT  italiano  inoltra   tempestivamente   le
          notifiche all'organo di cui all'articolo 12, comma 6. 
              7. Al fine di determinare la rilevanza dell'impatto  di
          un   incidente,   sono   tenuti   in   considerazione,   in
          particolare, i seguenti parametri: 
                a) il numero di utenti interessati dall'incidente, in
          particolare gli utenti che dipendono dal servizio  digitale
          per la fornitura dei propri servizi; 
                b) la durata dell'incidente; 
                c) la diffusione  geografica  relativamente  all'area
          interessata dall'incidente; 
                d) la portata della perturbazione  del  funzionamento
          del servizio; 
                e) la portata dell'impatto sulle attivita' economiche
          e sociali. 
              8. L'obbligo di  notificare  un  incidente  si  applica
          soltanto qualora il fornitore  di  servizi  digitali  abbia
          accesso alle informazioni necessarie per valutare l'impatto
          di un incidente con riferimento  ai  parametri  di  cui  al
          comma 7. 
              9. Qualora un operatore di servizi  essenziali  dipenda
          da una terza parte fornitrice di servizi  digitali  per  la
          fornitura di un  servizio  che  e'  indispensabile  per  il
          mantenimento   di   attivita'    economiche    e    sociali
          fondamentali, l'operatore stesso notifica qualsiasi impatto
          rilevante per la continuita' di servizi  essenziali  dovuto
          ad un incidente a carico di tale operatore. 
              10. Qualora l'incidente di cui al comma 4 riguardi  due
          o piu' Stati membri, il CSIRT italiano  informa  gli  altri
          Stati membri coinvolti. 
              11. Ai fini del comma 9, il CSIRT italiano tutela,  nel
          rispetto  del   diritto   dell'Unione   europea   e   della
          legislazione  nazionale,  la  sicurezza  e  gli   interessi
          commerciali del fornitore del servizio digitale nonche'  la
          riservatezza delle informazioni fornite. 
              12. Previa valutazione  da  parte  dell'organo  di  cui
          all'articolo  12,  comma  6,  l'autorita'  competente  NIS,
          d'intesa con il CSIRT italiano,  dopo  aver  consultato  il
          fornitore di servizi digitali interessato e, se  del  caso,
          le autorita' competenti o i CSIRT degli altri Stati  membri
          interessati, puo' informare il pubblico riguardo ai singoli
          incidenti o chiedere al fornitore di  servizi  digitali  di
          provvedervi, qualora ne sia necessaria la sensibilizzazione
          per evitare un incidente o gestirne uno in corso, o qualora
          sussista comunque un interesse pubblico  alla  divulgazione
          dell'incidente. 
              13.  I  fornitori  di  servizi  digitali  applicano  le
          disposizioni di attuazione degli atti di  esecuzione  della
          Commissione europea che specificano ulteriormente le misure
          tecnico-organizzative di cui al comma 1 e i parametri,  ivi
          compresi formati e procedure,  relativi  agli  obblighi  di
          notifica di cui al comma 4. 
              14. Fatto salvo quanto previsto dall'articolo 1,  comma
          7, non  sono  imposti  ulteriori  obblighi  in  materia  di
          sicurezza o di notifica ai fornitori di servizi digitali. 
              15. Il presente capo non si applica alle microimprese e
          alle piccole imprese quali definite  nella  raccomandazione
          della  Commissione  europea   del   6   maggio   2003,   n.
          2003/361/CE.». 
              -  Si  riporta  l'articolo  16-ter  del  Codice   delle
          comunicazioni elettroniche di cui al decreto legislativo 1°
          agosto 2003, n. 259: 
              «Art. 16-ter (Attuazione e controllo). - 1.  Le  misure
          adottate ai fini dell'attuazione del  presente  articolo  e
          dell'articolo  16-bis  sono  approvate  con   decreto   del
          Ministro dello sviluppo economico. 
              2. Ai fini del  controllo  del  rispetto  dell'articolo
          16-bis  le  imprese  che  forniscono  reti   pubbliche   di
          comunicazioni  o  servizi  di   comunicazione   elettronica
          accessibili al pubblico sono tenute a: 
                a)   fornire   al   Ministero,   e   se    necessario
          all'Autorita', le informazioni necessarie per  valutare  la
          sicurezza e l'integrita' dei  loro  servizi  e  delle  loro
          reti, in particolare i documenti relativi alle politiche di
          sicurezza; nonche'; 
                b)  sottostare  a  una   verifica   della   sicurezza
          effettuata dal Ministero, anche su impulso  dell'Autorita',
          in collaborazione  con  gli  Ispettorati  territoriali  del
          Ministero dello  sviluppo  economico,  o  da  un  organismo
          qualificato indipendente designato dal Ministero. L'impresa
          si assume l'onere finanziario della verifica. 
              3. Il Ministero e  l'Autorita'  hanno  la  facolta'  di
          indagare i casi  di  mancata  conformita'  nonche'  i  loro
          effetti sulla sicurezza e l'integrita' delle reti. 
              4. Nel caso in cui il  Ministero  riscontri,  anche  su
          indicazione  dell'Autorita',  il  mancato  rispetto   degli
          articoli  16-bis  o  16-ter   ovvero   delle   disposizioni
          attuative previste dal comma 1 da parte delle  imprese  che
          forniscono reti pubbliche di  comunicazioni  o  servizi  di
          comunicazione  elettronica  accessibili  al  pubblico,   si
          applicano le sanzioni di cui all'articolo 98, commi da 4  a
          12.». 
              - Si riporta l'articolo 7 del  decreto  legislativo  18
          maggio 2018, n. 65: 
              «Art. 7 (Autorita'  nazionali  competenti  e  punto  di
          contatto  unico).  -  1.  Sono  designate  quali  Autorita'
          competenti  NIS  per  i  settori  e  sottosettori  di   cui
          all'allegato II e per i servizi di cui all'allegato III: 
                a) il  Ministero  dello  sviluppo  economico  per  il
          settore energia,  sottosettori  energia  elettrica,  gas  e
          petrolio  e  per  il   settore   infrastrutture   digitali,
          sottosettori IXP, DNS, TLD, nonche' per i servizi digitali; 
                b) il Ministero delle infrastrutture e dei  trasporti
          per il settore trasporti, sottosettori aereo,  ferroviario,
          per vie d'acqua e su strada; 
                c) il Ministero dell'economia e delle finanze per  il
          settore  bancario  e  per  il  settore  infrastrutture  dei
          mercati finanziari, in collaborazione con le  autorita'  di
          vigilanza di settore,  Banca  d'Italia  e  Consob,  secondo
          modalita' di collaborazione e di  scambio  di  informazioni
          stabilite con decreto del Ministro  dell'economia  e  delle
          finanze; 
                d) il  Ministero  della  salute  per  l'attivita'  di
          assistenza sanitaria, come definita dall'articolo 3,  comma
          1, lettera a), del decreto legislativo 4 marzo 2014, n. 38,
          prestata  dagli  operatori  dipendenti  o  incaricati   dal
          medesimo Ministero o  convenzionati  con  lo  stesso  e  le
          Regioni e le Province autonome  di  Trento  e  di  Bolzano,
          direttamente o per il  tramite  delle  Autorita'  sanitarie
          territorialmente competenti, per le attivita' di assistenza
          sanitaria   prestata   dagli   operatori   autorizzati    e
          accreditati delle Regioni o dalle Province  autonome  negli
          ambiti territoriali di rispettiva competenza; 
                e) il Ministero  dell'ambiente  e  della  tutela  del
          territorio e del mare e le Regioni e le  Province  autonome
          di Trento e di Bolzano, direttamente o per il tramite delle
          Autorita' territorialmente competenti, in merito al settore
          fornitura e distribuzione di acqua potabile. 
              2.  Le  Autorita'  competenti  NIS  sono   responsabili
          dell'attuazione  del  presente  decreto  con  riguardo   ai
          settori  di  cui  all'allegato  II  e  ai  servizi  di  cui
          all'allegato III e vigilano sull'applicazione del  presente
          decreto  a  livello  nazionale  esercitando   altresi'   le
          relative potesta' ispettive e sanzionatorie. 
              3. Il Dipartimento delle informazioni per la  sicurezza
          (DIS) e' designato quale punto di contatto unico in materia
          di sicurezza delle reti e dei sistemi informativi. 
              4. Il punto di contatto unico svolge  una  funzione  di
          collegamento per garantire la cooperazione transfrontaliera
          delle autorita' competenti NIS con le autorita'  competenti
          degli  altri  Stati  membri,  nonche'  con  il  gruppo   di
          cooperazione di cui all'articolo 10 e la rete di  CSIRT  di
          cui all'articolo 11. 
              5. Il punto di contatto unico collabora nel  gruppo  di
          cooperazione in modo effettivo, efficiente e sicuro  con  i
          rappresentanti designati dagli altri Stati. 
              6. Le autorita' competenti NIS e il punto  di  contatto
          unico consultano,  conformemente  alla  normativa  vigente,
          l'autorita' di contrasto ed il Garante  per  la  protezione
          dei dati personali e collaborano con essi. 
              7. La Presidenza del Consiglio  dei  ministri  comunica
          tempestivamente alla Commissione  europea  la  designazione
          del punto  di  contatto  unico  e  quella  delle  autorita'
          competenti NIS, i relativi compiti  e  qualsiasi  ulteriore
          modifica. Alle designazioni sono assicurate idonee forme di
          pubblicita'. 
              8. Agli oneri derivanti dal presente  articolo  pari  a
          1.300.000 euro a decorrere dal 2018, si provvede  ai  sensi
          dell'articolo 22.». 
              - Si riporta l'articolo 24-bis del decreto  legislativo
          8 giugno 2001, n. 231, come modificato dalla presente legge
          di conversione: 
              «Art.  24-bis  (Delitti   informatici   e   trattamento
          illecito di dati). - (Omissis). 
              3. In relazione alla commissione  dei  delitti  di  cui
          agli articoli 491-bis e 640-quinquies  del  codice  penale,
          salvo quanto previsto dall'articolo 24 del presente decreto
          per i casi di frode informatica in danno dello Stato  o  di
          altro ente pubblico, e dei delitti di cui  all'articolo  1,
          comma 11, del decreto-legge 21 settembre 2019, n.  105,  si
          applica all'ente la sanzione pecuniaria sino a quattrocento
          quote. 
              (omissis)». 
              - La legge 24 novembre  1981,  n.  689,  e'  pubblicata
          nella Gazzetta Ufficiale 30 novembre 1981, n. 329, S.O. 
              -  Si  riportano  gli  articoli  4  e  9  del   decreto
          legislativo 18 maggio 2018, n. 65: 
              «Art. 4 (Identificazione  degli  operatori  di  servizi
          essenziali). - (Omissis). 
              5. E' istituito  presso  il  Ministero  dello  sviluppo
          economico un elenco nazionale degli  operatori  di  servizi
          essenziali. Il Ministero dello sviluppo  economico  inoltra
          tale elenco al punto di contatto  unico  e  all'organo  del
          Ministero dell'interno per la sicurezza  e  la  regolarita'
          dei servizi di telecomunicazione, di cui all'articolo 7-bis
          del decreto-legge 27 luglio 2005, n. 144,  convertito,  con
          modificazioni, dalla legge 31 luglio 2005, n. 155. 
              (Omissis).» 
              «Art.  9  (Cooperazione   a   livello   nazionale).   -
          (Omissis). 
              3. Il CSIRT italiano informa  le  autorita'  competenti
          NIS, il punto di contatto unico e  l'organo  del  Ministero
          dell'interno per la sicurezza e la regolarita' dei  servizi
          di  telecomunicazione,  di  cui  all'articolo   7-bis   del
          decreto-legge 27  luglio  2005,  n.  144,  convertito,  con
          modificazioni, dalla legge  31  luglio  2005,  n.  155,  in
          merito alle notifiche di incidenti trasmesse ai  sensi  del
          presente decreto.».