stai visualizzando l'atto

DECRETO LEGISLATIVO 4 settembre 2024, n. 138

Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148. (24G00155)

note: Entrata in vigore del provvedimento: 16/10/2024
nascondi
vigente al 15/11/2024
  • Allegati
Testo in vigore dal:  16-10-2024

IL PRESIDENTE DELLA REPUBBLICA

Vista la legge 23 agosto 1988, n. 400, recante «Disciplina dell'attività di Governo e ordinamento della Presidenza del Consiglio dei Ministri» e, in particolare, l'articolo 14;
Vista la legge 24 dicembre 2012, n. 234, recante «Norme generali sulla partecipazione dell'Italia alla formazione e all'attuazione della normativa e delle politiche dell'Unione europea» e, in particolare, gli articoli 31 e 32;
Vista la legge 21 febbraio 2024, n. 15, recante «Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti normativi dell'Unione europea - Legge di delegazione europea 2022-2023» e, in particolare, l'articolo 3;
Vista la direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148;
Vista la comunicazione della Commissione, del 13 settembre 2023, relativa all'applicazione dell'articolo 4, paragrafi 1 e 2, della direttiva (UE) 2022/2555;
Vista la direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche);
Visto il regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE;
Visto il regolamento (UE) 2024/1183 del Parlamento europeo e del Consiglio, dell'11 aprile 2024, che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l'istituzione del quadro europeo relativo a un'identità digitale;
Visto il regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza»);
Vista la raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese;
Vista la direttiva 2013/40/UE del Parlamento europeo e del Consiglio, del 12 agosto 2013, relativa agli attacchi contro i sistemi di informazione e che sostituisce la decisione quadro 2005/222/GAI del Consiglio;
Visto il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011;
Vista la direttiva (UE) 2022/2556 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, che modifica le direttive 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 e (UE) 2016/2341 per quanto riguarda la resilienza operativa digitale per il settore finanziario;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante «Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE»;
Visto il decreto legislativo 7 marzo 2005, n. 82, recante «Codice dell'amministrazione digitale» e, in particolare, le disposizioni in materia di funzioni dell'AgID e di sicurezza informatica;
Visto il decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, recante «Misure urgenti per il contrasto del terrorismo internazionale»;
Vista la legge 3 agosto 2007, n. 124, recante «Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto»;
Visto il decreto legislativo 23 giugno 2011, n. 118, recante «Disposizioni in materia di armonizzazione dei sistemi contabili e degli schemi di bilancio delle Regioni, degli enti locali e dei loro organismi, a norma degli articoli 1 e 2 della legge 5 maggio 2009, n. 42»;
Visto il decreto-legge 22 giugno 2012, n. 83, convertito, con modificazioni, dalla legge 7 agosto 2012, n. 134, recante «Misure urgenti per la crescita del Paese» e, in particolare, l'articolo 19, che ha istituito l'Agenzia per l'Italia digitale (AgID);
Visto il decreto legislativo 4 marzo 2014, n. 39, recante «Attuazione della direttiva 2011/93/UE relativa alla lotta contro l'abuso e lo sfruttamento sessuale dei minori e la pornografia minorile, che sostituisce la decisione quadro 2004/68/GAI»;
Visto il decreto-legge 30 ottobre 2015, n. 174, convertito, con modificazioni, dalla legge 11 dicembre 2015, n. 198, recante «Proroga delle missioni internazionali delle Forze armate e di polizia, iniziative di cooperazione allo sviluppo e sostegno ai processi di ricostruzione e partecipazione alle iniziative delle organizzazioni internazionali per il consolidamento dei processi di pace e di stabilizzazione»;
Visto il decreto legislativo 18 maggio 2018, n. 65, recante «Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione»;
Visto il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, recante «Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica»;
Visto il decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, recante «Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale»;
Vista la legge 28 giugno 2024, n. 90, recante «Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici»;
Visto il decreto legislativo adottato ai sensi dell'articolo 5 della legge n. 15 del 2024 per il recepimento della direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio;
Visto il decreto del Presidente del Consiglio dei ministri n. 5 del 6 novembre 2015, recante «Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate e a diffusione esclusiva», pubblicato nella Gazzetta Ufficiale n. 284 del 5 dicembre 2015;
Visto il decreto del Presidente del Consiglio dei ministri del 17 febbraio 2017, concernente «Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali», pubblicato nella Gazzetta Ufficiale n. 87 del 13 aprile 2017;
Sentita l'Agenzia per la cybersicurezza nazionale, ai sensi dell'articolo 3 della legge n. 15 del 2024;
Vista la preliminare deliberazione del Consiglio dei ministri, adottata nella riunione del 10 giugno 2024;
Acquisito il parere della Conferenza unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, reso nella seduta dell'11 luglio 2024
Acquisiti i pareri delle competenti Commissioni della Camera dei deputati e del Senato della Repubblica;
Vista la deliberazione del Consiglio dei ministri, adottata nella riunione del 7 agosto 2024;
Sulla proposta del Presidente del Consiglio dei ministri e del Ministro per gli affari europei, il Sud, le politiche di coesione e il PNRR, di concerto con i Ministri per la pubblica amministrazione, degli affari esteri e della cooperazione internazionale, dell'interno, della giustizia, della difesa, dell'economia e delle finanze, delle imprese e del made in Italy, dell'agricoltura, della sovranità alimentare e delle foreste, dell'ambiente e della sicurezza energetica, delle infrastrutture e dei trasporti, dell'università e della ricerca, della cultura e della salute;

Emana

il seguente decreto legislativo:

Art. 1

Oggetto
1. Il presente decreto stabilisce misure volte a garantire un livello elevato di sicurezza informatica in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell'Unione europea in modo da migliorare il funzionamento del mercato interno.
2. Ai fini del comma 1, il presente decreto prevede:
a) la Strategia nazionale di cybersicurezza, recante previsioni volte a garantire un livello elevato di sicurezza informatica;
b) l'integrazione del quadro di gestione delle crisi informatiche, nel contesto dell'organizzazione nazionale per la gestione delle crisi che coinvolgono aspetti di cybersicurezza, di cui all'articolo 10 del decreto-legge 4 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109;
c) la conferma dell'Agenzia per la cybersicurezza nazionale quale:
1) Autorità nazionale competente NIS, disciplinandone i poteri inerenti all'implementazione e all'attuazione del presente decreto;
2) Punto di contatto unico NIS, assicurando il raccordo nazionale e transfrontaliero;
3) Gruppo di intervento nazionale per la sicurezza informatica in caso di incidente in ambito nazionale (CSIRT Italia);
d) la designazione dell'Agenzia per la cybersicurezza nazionale, con funzioni di coordinatore ai sensi dell'articolo 9, paragrafo 2, della direttiva (UE) 2022/2555, e del Ministero della difesa, ciascuno per gli ambiti di competenza indicati all'articolo 2, comma 1, lettera g), quali Autorità nazionali di gestione delle crisi informatiche su vasta scala, assicurando la coerenza con il quadro nazionale esistente in materia di gestione generale delle crisi informatiche, fermi restando i compiti del Nucleo per la cybersicurezza di cui all'articolo 9 del decreto-legge 14 giugno 2021, n. 82;
e) l'individuazione di Autorità di settore NIS che collaborano con l'Agenzia per la cybersicurezza nazionale, supportandone le funzioni svolte quale Autorità nazionale competente NIS e Punto di contatto unico NIS;
f) l'indicazione dei criteri per l'individuazione dei soggetti a cui si applica il presente decreto e la definizione dei relativi obblighi in materia di misure di gestione dei rischi per la sicurezza informatica e di notifica di incidente;
g) l'adozione di misure in materia di cooperazione e di condivisione delle informazioni ai fini dell'applicazione del presente decreto, in particolare, attraverso la partecipazione nazionale a livello dell'Unione europea:
1) al Gruppo di cooperazione NIS tra autorità competenti NIS e tra punti di contatto unici degli Stati membri dell'Unione europea, nell'ottica di incrementare la fiducia e la collaborazione a livello unionale;
2) alla Rete delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe) al fine di sostenere la gestione coordinata a livello operativo degli incidenti e delle crisi cibernetiche su vasta scala e di garantire il regolare scambio di informazioni pertinenti tra gli Stati membri e le istituzioni, gli organi e gli organismi dell'Unione europea;
3) alla Rete di CSIRT nazionali nell'ottica di assicurare una cooperazione, sul piano tecnico, rapida ed efficace.
NOTE

Avvertenza:
Il testo delle note qui pubblicato è stato redatto dall'amministrazione competente per materia, ai sensi dell'art. 10, commi 2 e 3, del testo unico delle disposizioni sulla promulgazione delle leggi, sull'emanazione dei decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali della Repubblica italiana, approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo fine di facilitare la lettura delle disposizioni di legge, modificate o alle quali è operato il rinvio. Restano invariati il valore e l'efficacia degli atti legislativi qui trascritti.
Per le direttive CEE vengono forniti gli estremi di pubblicazione nella Gazzetta Ufficiale delle Comunità europee (GUUE).
Note alle premesse:
L'art. 76 della Costituzione stabilisce che l'esercizio della funzione legislativa non può essere delegato al Governo se non con determinazione di principi e criteri direttivi e soltanto per tempo limitato e per oggetti definiti.
L'art. 87, quinto comma, della Costituzione conferisce al Presidente della Repubblica il potere di promulgare le leggi ed emanare i decreti aventi valore di legge e i regolamenti.
- Si riporta l'articolo 14 della legge 23 agosto 1988, n. 400 (Disciplina dell'attività di Governo e ordinamento della Presidenza del Consiglio dei Ministri), pubblicata nella Gazzetta Ufficiale 12 settembre 1988, n. 214, S.O. :
«Art. 14 (Decreti legislativi). - 1. I decreti legislativi adottati dal Governo ai sensi dell'articolo 76 della Costituzione sono emanati dal Presidente della Repubblica con la denominazione di "decreto legislativo" e con l'indicazione, nel preambolo, della legge di delegazione, della deliberazione del Consiglio dei ministri e degli altri adempimenti del procedimento prescritti dalla legge di delegazione.
2. L'emanazione del decreto legislativo deve avvenire entro il termine fissato dalla legge di delegazione; il testo del decreto legislativo adottato dal Governo è trasmesso al Presidente della Repubblica, per la emanazione, almeno venti giorni prima della scadenza.
3. Se la delega legislativa si riferisce ad una pluralità di oggetti distinti suscettibili di separata disciplina, il Governo può esercitarla mediante più atti successivi per uno o più degli oggetti predetti. In relazione al termine finale stabilito dalla legge di delegazione, il Governo informa periodicamente le Camere sui criteri che segue nell'organizzazione dell'esercizio della delega.
4. In ogni caso, qualora il termine previsto per l'esercizio della delega ecceda in due anni, il Governo è tenuto a richiedere il parere delle Camere sugli schemi dei decreti delegati. Il parere è espresso dalle Commissioni permanenti delle due Camere competenti per materia entro sessanta giorni, indicando specificamente le eventuali disposizioni non ritenute corrispondenti alle direttive della legge di delegazione. Il Governo, nei trenta giorni successivi, esaminato il parere, ritrasmette, con le sue osservazioni e con eventuali modificazioni, i testi alle Commissioni per il parere definitivo che deve essere espresso entro trenta giorni.».
- Si riportano gli articoli 31 e 32 della legge 24 dicembre 2012, n. 234 (Norme generali sulla partecipazione dell'Italia alla formazione e all'attuazione della normativa e delle politiche dell'Unione europea), pubblicata nella Gazzetta Ufficiale 4 gennaio 2013, n. 3:
«Art. 31 (Procedure per l'esercizio delle deleghe legislative conferite al Governo con la legge di delegazione europea). - 1. In relazione alle deleghe legislative conferite con la legge di delegazione europea per il recepimento delle direttive, il Governo adotta i decreti legislativi entro il termine di quattro mesi antecedenti a quello di recepimento indicato in ciascuna delle direttive; per le direttive il cui termine così determinato sia già scaduto alla data di entrata in vigore della legge di delegazione europea, ovvero scada nei tre mesi successivi, il Governo adotta i decreti legislativi di recepimento entro tre mesi dalla data di entrata in vigore della medesima legge; per le direttive che non prevedono un termine di recepimento, il Governo adotta i relativi decreti legislativi entro dodici mesi dalla data di entrata in vigore della legge di delegazione europea.
2. I decreti legislativi sono adottati, nel rispetto dell'articolo 14 della legge 23 agosto 1988, n. 400, su proposta del Presidente del Consiglio dei Ministri o del Ministro per gli affari europei e del Ministro con competenza prevalente nella materia, di concerto con i Ministri degli affari esteri, della giustizia, dell'economia e delle finanze e con gli altri Ministri interessati in relazione all'oggetto della direttiva. I decreti legislativi sono accompagnati da una tabella di concordanza tra le disposizioni in essi previste e quelle della direttiva da recepire, predisposta dall'amministrazione con competenza istituzionale prevalente nella materia.
3. La legge di delegazione europea indica le direttive in relazione alle quali sugli schemi dei decreti legislativi di recepimento è acquisito il parere delle competenti Commissioni parlamentari della Camera dei deputati e del Senato della Repubblica. In tal caso gli schemi dei decreti legislativi sono trasmessi, dopo l'acquisizione degli altri pareri previsti dalla legge, alla Camera dei deputati e al Senato della Repubblica affinchè su di essi sia espresso il parere delle competenti Commissioni parlamentari. Decorsi quaranta giorni dalla data di trasmissione, i decreti sono emanati anche in mancanza del parere. Qualora il termine per l'espressione del parere parlamentare di cui al presente comma ovvero i diversi termini previsti dai commi 4 e 9 scadano nei trenta giorni che precedono la scadenza dei termini di delega previsti ai commi 1 o 5 o successivamente, questi ultimi sono prorogati di tre mesi.
4. Gli schemi dei decreti legislativi recanti recepimento delle direttive che comportino conseguenze finanziarie sono corredati della relazione tecnica di cui all'articolo 17, comma 3, della legge 31 dicembre 2009, n. 196. Su di essi è richiesto anche il parere delle Commissioni parlamentari competenti per i profili finanziari. Il Governo, ove non intenda conformarsi alle condizioni formulate con riferimento all'esigenza di garantire il rispetto dell'articolo 81, quarto comma, della Costituzione, ritrasmette alle Camere i testi, corredati dei necessari elementi integrativi d'informazione, per i pareri definitivi delle Commissioni parlamentari competenti per i profili finanziari, che devono essere espressi entro venti giorni.
5. Entro ventiquattro mesi dalla data di entrata in vigore di ciascuno dei decreti legislativi di cui al comma 1, nel rispetto dei principi e criteri direttivi fissati dalla legge di delegazione europea, il Governo può adottare, con la procedura indicata nei commi 2, 3 e 4, disposizioni integrative e correttive dei decreti legislativi emanati ai sensi del citato comma 1, fatto salvo il diverso termine previsto dal comma 6.
6. Con la procedura di cui ai commi 2, 3 e 4 il Governo può adottare disposizioni integrative e correttive di decreti legislativi emanati ai sensi del comma 1, al fine di recepire atti delegati dell'Unione europea di cui all'articolo 290 del Trattato sul funzionamento dell'Unione europea, che modificano o integrano direttive recepite con tali decreti legislativi. Le disposizioni integrative e correttive di cui al primo periodo sono adottate nel termine di cui al comma 5 o nel diverso termine fissato dalla legge di delegazione europea. Resta ferma la disciplina di cui all'articolo 36 per il recepimento degli atti delegati dell'Unione europea che recano meri adeguamenti tecnici.
7. I decreti legislativi di recepimento delle direttive previste dalla legge di delegazione europea, adottati, ai sensi dell'articolo 117, quinto comma, della Costituzione, nelle materie di competenza legislativa delle regioni e delle province autonome, si applicano alle condizioni e secondo le procedure di cui all'articolo 41, comma 1.
8. I decreti legislativi adottati ai sensi dell'articolo 33 e attinenti a materie di competenza legislativa delle regioni e delle province autonome sono emanati alle condizioni e secondo le procedure di cui all'articolo 41, comma 1.
9. Il Governo, quando non intende conformarsi ai pareri parlamentari di cui al comma 3, relativi a sanzioni penali contenute negli schemi di decreti legislativi recanti attuazione delle direttive, ritrasmette i testi, con le sue osservazioni e con eventuali modificazioni, alla Camera dei deputati e al Senato della Repubblica. Decorsi venti giorni dalla data di ritrasmissione, i decreti sono emanati anche in mancanza di nuovo parere.»
«Art. 32 (Principi e criteri direttivi generali di delega per l'attuazione del diritto dell'Unione europea). - 1. Salvi gli specifici principi e criteri direttivi stabiliti dalla legge di delegazione europea e in aggiunta a quelli contenuti nelle direttive da attuare, i decreti legislativi di cui all'articolo 31 sono informati ai seguenti principi e criteri direttivi generali:
a) le amministrazioni direttamente interessate provvedono all'attuazione dei decreti legislativi con le ordinarie strutture amministrative, secondo il principio della massima semplificazione dei procedimenti e delle modalità di organizzazione e di esercizio delle funzioni e dei servizi;
b) ai fini di un migliore coordinamento con le discipline vigenti per i singoli settori interessati dalla normativa da attuare, sono introdotte le occorrenti modificazioni alle discipline stesse, anche attraverso il riassetto e la semplificazione normativi con l'indicazione esplicita delle norme abrogate, fatti salvi i procedimenti oggetto di semplificazione amministrativa ovvero le materie oggetto di delegificazione;
c) gli atti di recepimento di direttive dell'Unione europea non possono prevedere l'introduzione o il mantenimento di livelli di regolazione superiori a quelli minimi richiesti dalle direttive stesse, ai sensi dell'articolo 14, commi 24-bis, 24-ter e 24-quater, della legge 28 novembre 2005, n. 246;
d) al di fuori dei casi previsti dalle norme penali vigenti, ove necessario per assicurare l'osservanza delle disposizioni contenute nei decreti legislativi, sono previste sanzioni amministrative e penali per le infrazioni alle disposizioni dei decreti stessi. Le sanzioni penali, nei limiti, rispettivamente, dell'ammenda fino a 150.000 euro e dell'arresto fino a tre anni, sono previste, in via alternativa o congiunta, solo nei casi in cui le infrazioni ledano o espongano a pericolo interessi costituzionalmente protetti. In tali casi sono previste: la pena dell'ammenda alternativa all'arresto per le infrazioni che espongano a pericolo o danneggino l'interesse protetto; la pena dell'arresto congiunta a quella dell'ammenda per le infrazioni che rechino un danno di particolare gravità.
Nelle predette ipotesi, in luogo dell'arresto e dell'ammenda, possono essere previste anche le sanzioni alternative di cui agli articoli 53 e seguenti del decreto legislativo 28 agosto 2000, n. 274, e la relativa competenza del giudice di pace. La sanzione amministrativa del pagamento di una somma non inferiore a 150 euro e non superiore a 150.000 euro è prevista per le infrazioni che ledono o espongono a pericolo interessi diversi da quelli indicati dalla presente lettera. Nell'ambito dei limiti minimi e massimi previsti, le sanzioni indicate dalla presente lettera sono determinate nella loro entità, tenendo conto della diversa potenzialità lesiva dell'interesse protetto che ciascuna infrazione presenta in astratto, di specifiche qualità personali del colpevole, comprese quelle che impongono particolari doveri di prevenzione, controllo o vigilanza, nonché del vantaggio patrimoniale che l'infrazione può recare al colpevole ovvero alla persona o all'ente nel cui interesse egli agisce. Ove necessario per assicurare l'osservanza delle disposizioni contenute nei decreti legislativi, sono previste inoltre le sanzioni amministrative accessorie della sospensione fino a sei mesi e, nei casi più gravi, della privazione definitiva di facoltà e diritti derivanti da provvedimenti dell'amministrazione, nonché sanzioni penali accessorie nei limiti stabiliti dal codice penale.
Al medesimo fine è prevista la confisca obbligatoria delle cose che servirono o furono destinate a commettere l'illecito amministrativo o il reato previsti dai medesimi decreti legislativi, nel rispetto dei limiti stabiliti dall'articolo 240, terzo e quarto comma, del codice penale e dall'articolo 20 della legge 24 novembre 1981, n. 689, e successive modificazioni. Entro i limiti di pena indicati nella presente lettera sono previste sanzioni anche accessorie identiche a quelle eventualmente già comminate dalle leggi vigenti per violazioni omogenee e di pari offensività rispetto alle infrazioni alle disposizioni dei decreti legislativi. Nelle materie di cui all'articolo 117, quarto comma, della Costituzione, le sanzioni amministrative sono determinate dalle regioni;
e) al recepimento di direttive o all'attuazione di altri atti dell'Unione europea che modificano precedenti direttive o atti già attuati con legge o con decreto legislativo si procede, se la modificazione non comporta ampliamento della materia regolata, apportando le corrispondenti modificazioni alla legge o al decreto legislativo di attuazione della direttiva o di altro atto modificato;
f) nella redazione dei decreti legislativi di cui all'articolo 31 si tiene conto delle eventuali modificazioni delle direttive dell'Unione europea comunque intervenute fino al momento dell'esercizio della delega;
g) quando si verifichino sovrapposizioni di competenze tra amministrazioni diverse o comunque siano coinvolte le competenze di più amministrazioni statali, i decreti legislativi individuano, attraverso le più opportune forme di coordinamento, rispettando i principi di sussidiarietà, differenziazione, adeguatezza e leale collaborazione e le competenze delle regioni e degli altri enti territoriali, le procedure per salvaguardare l'unitarietà dei processi decisionali, la trasparenza, la celerità, l'efficacia e l'economicità nell'azione amministrativa e la chiara individuazione dei soggetti responsabili;
h) qualora non siano di ostacolo i diversi termini di recepimento, vengono attuate con un unico decreto legislativo le direttive che riguardano le stesse materie o che comunque comportano modifiche degli stessi atti normativi;
i) è assicurata la parità di trattamento dei cittadini italiani rispetto ai cittadini degli altri Stati membri dell'Unione europea e non può essere previsto in ogni caso un trattamento sfavorevole dei cittadini italiani.»
- Si riporta l'articolo 3 della legge 21 febbraio 2024, n. 15 (Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti normativi dell'Unione europea - Legge di delegazione europea 2022-2023), pubblicata nella Gazzetta Ufficiale 24 febbraio 2024, n. 46:
«Art. 3. (Principi e criteri direttivi per l'esercizio della delega per il recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS2)). - 1. Nell'esercizio della delega per il recepimento della direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, il Governo, sentita l'Agenzia per la cybersicurezza nazionale, osserva, oltre ai principi e criteri direttivi generali di cui all'articolo 32 della legge 24 dicembre 2012, n. 234, anche i seguenti principi e criteri direttivi specifici:
a) individuare i criteri in base ai quali un ente pubblico può essere considerato pubblica amministrazione ai fini dell'applicazione delle disposizioni della direttiva (UE) 2022/2555, anche considerando la possibilità di applicazione della direttiva medesima ai comuni e alle province secondo principi di gradualità, proporzionalità e adeguatezza;
b) escludere dall'ambito di applicazione delle disposizioni della direttiva (UE) 2022/2555 gli enti della pubblica amministrazione operanti nei settori di cui all'articolo 2, paragrafo 7, della direttiva medesima, compresi gli organismi di informazione per la sicurezza ai quali si applicano le disposizioni della legge 3 agosto 2007, n. 124;
c) avvalersi della facoltà di cui all'articolo 2, paragrafo 8, della direttiva (UE) 2022/2555, prevedendo che con uno o più decreti del Presidente del Consiglio dei ministri, adottati su proposta delle competenti amministrazioni, siano esentati soggetti specifici che svolgono attività nei settori ivi indicati o che forniscono servizi esclusivamente agli enti della pubblica amministrazione di cui all'articolo 2, paragrafo 7, della medesima direttiva;
d) confermare la distinzione tra l'Agenzia per la cybersicurezza nazionale, quale autorità nazionale competente e punto di contatto, ai sensi dell'articolo 8 della direttiva (UE) 2022/2555, e le autorità di settore operanti negli ambiti di cui agli allegati I e II alla medesima direttiva;
e) in relazione all'istituzione del team di risposta agli incidenti di sicurezza informatica (CSIRT), di cui all'articolo 10 della direttiva (UE) 2022/2555, confermare le disposizioni dell'articolo 8 del decreto legislativo 18 maggio 2018, n. 65, in materia di istituzione del CSIRT Italia, nonché ampliare quanto previsto dal medesimo decreto legislativo prevedendo la collaborazione tra tutte le strutture pubbliche con funzioni di Computer Emergency Response Team (CERT) coinvolte in caso di eventi malevoli per la sicurezza informatica;
f) prevedere un regime transitorio per i soggetti già sottoposti alla disciplina del decreto legislativo 18 maggio 2018, n. 65, recante attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, garantendo termini congrui di adeguamento, ai fini della migliore applicazione delle disposizioni previste dalla direttiva (UE) 2022/2555;
g) prevedere meccanismi che consentano la registrazione dei soggetti essenziali e importanti, di cui all'articolo 3 della direttiva (UE) 2022/2555, per la comunicazione dei dati previsti dal paragrafo 4 del medesimo articolo 3, compresi i soggetti che gestiscono servizi connessi o strumentali alle attività oggetto delle disposizioni della direttiva medesima relative al settore della cultura;
h) in relazione alle misure di cui all'articolo 21, paragrafo 2, della direttiva (UE) 2022/2555, prevedere l'individuazione, attraverso l'utilizzo di strumenti flessibili atti a corrispondere al rapido sviluppo tecnologico, delle tecnologie necessarie ad assicurare l'effettiva attivazione delle misure stesse. L'autorità amministrativa individuata come responsabile di tale procedimento provvede altresì all'aggiornamento degli strumenti adottati;
i) introdurre nella legislazione vigente, anche in materia penale, le modifiche necessarie al fine di assicurare il corretto recepimento nell'ordinamento nazionale delle disposizioni della direttiva (UE) 2022/2555 in materia di divulgazione coordinata delle vulnerabilità;
l) definire le competenze dell'Agenzia per l'Italia digitale e dell'Agenzia per la cybersicurezza nazionale in relazione alle attività previste dal regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014;
m) individuare criteri oggettivi e proporzionati ai fini dell'applicazione degli obblighi informativi di cui all'articolo 23, paragrafo 2, della direttiva (UE) 2022/2555;
n) rivedere il sistema sanzionatorio e il sistema di vigilanza ed esecuzione, in particolare:
1) prevedendo sanzioni effettive, proporzionate e dissuasive rispetto alla gravità della violazione degli obblighi derivanti dalla direttiva (UE) 2022/2555, anche in deroga ai criteri e ai limiti previsti dall'articolo 32, comma 1, lettera d), della legge 24 dicembre 2012, n. 234, e alla legge 24 novembre 1981, n. 689, introducendo strumenti deflativi del contenzioso, quali la diffida ad adempiere;
2) prevedendo che gli introiti derivanti dall'irrogazione delle sanzioni siano versati all'entrata del bilancio dello Stato per essere riassegnati all'apposito capitolo dello stato di previsione della spesa del Ministero dell'economia e delle finanze, di cui all'articolo 18 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, per incrementare la dotazione del bilancio dell'Agenzia per la cybersicurezza nazionale;
o) assicurare il migliore coordinamento tra le disposizioni adottate ai sensi del presente articolo per il recepimento della direttiva (UE) 2022/2555, le disposizioni adottate ai sensi dell'articolo 5 della presente legge per il recepimento della direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, nonché le disposizioni del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, e quelle adottate ai sensi dell'articolo 16 della presente legge per l'adeguamento a quest'ultimo e per il recepimento della direttiva (UE) 2022/2556 del Parlamento europeo e del Consiglio, del 14 dicembre 2022;
p) apportare alla normativa vigente tutte le modificazioni e le integrazioni occorrenti ad assicurare il coordinamento con le disposizioni emanate in attuazione del presente articolo.».
- La direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 è pubblicata nella GUUE n. 17 del 27 dicembre 2022, serie L.
- La comunicazione della Commissione, del 13 settembre 2023, relativa all'applicazione dell'articolo 4, paragrafi 1 e 2, della direttiva (UE) 2022/2555 è pubblicata nella GUUE n. 328 del 18 settembre 2023, serie C;
- La direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) è pubblicata nella G.U.C.E. 31 luglio 2002, n. 201, serie L;
- Il regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE è pubblicato nella GUUE del 28 agosto 2014 n. 257, serie L;
- Il regolamento (UE) 2024/1183 del Parlamento europeo e del Consiglio, dell'11 aprile 2024, che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l'istituzione del quadro europeo relativo a un'identità digitale è pubblicato nella GUUE del 30 aprile 2024 serie L;
- Il regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza») è pubblicato nella GUUE del 7 giugno 2019 151 serie L;
- La raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese è pubblicata nella Gazzetta Ufficiale dell'Unione Europea del 20 maggio 2003, n. 124, serie L.
- La direttiva 2013/40/UE del Parlamento europeo e del Consiglio, del 12 agosto 2013, relativa agli attacchi contro i sistemi di informazione e che sostituisce la decisione quadro 2005/222/GAI del Consiglio è pubblicata nella Gazzetta Ufficiale dell'Unione Europea del 14 agosto 2013;
- Il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 è pubblicato nella GUUE del 27 dicembre 2022 n. 133 serie L;
- La direttiva (UE) 2022/2556 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, che modifica le direttive 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 e (UE) 2016/2341 per quanto riguarda la resilienza operativa digitale per il settore finanziario è pubblicata nella GUUE del 27 dicembre 2022 n. 333;
- La direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio è pubblicata nella GUUE del 27 dicembre 2022 n. 333, serie L;
- Si riportano gli articoli 1 e 2 del decreto legislativo 23 giugno 2011, n. 118 (Disposizioni in materia di armonizzazione dei sistemi contabili e degli schemi di bilancio delle Regioni, degli enti locali e dei loro organismi, a norma degli articoli 1 e 2 della legge 5 maggio 2009, n. 42), pubblicato nella Gazzetta Ufficiale 26 luglio 2011, n. 172:
«Art. 1 (Oggetto e ambito di applicazione). - 1. Ai sensi dell'art. 117, secondo comma, lettera e), della Costituzione, il presente titolo e il titolo III disciplinano l'armonizzazione dei sistemi contabili e degli schemi di bilancio delle Regioni, ad eccezione dei casi in cui il Titolo II disponga diversamente, con particolare riferimento alla fattispecie di cui all'art. 19, comma 2, lettera b), degli enti locali di cui all'art. 2 del decreto legislativo 18 agosto 2000, n. 267, e dei loro enti e organismi strumentali, esclusi gli enti di cui al titolo II del presente decreto. A decorrere dal 1° gennaio 2015 cessano di avere efficacia le disposizioni legislative regionali incompatibili con il presente decreto.
2. Ai fini del presente decreto:
a) per enti strumentali si intendono gli enti di cui all'art. 11-ter, distinti nelle tipologie definite in corrispondenza delle missioni del bilancio;
b) per organismi strumentali delle regioni e degli enti locali si intendono le loro articolazioni organizzative, anche a livello territoriale, dotate di autonomia gestionale e contabile, prive di personalità giuridica. Le gestioni fuori bilancio autorizzate da legge e le istituzioni di cui all'art. 114, comma 2, del decreto legislativo 18 agosto 2000, n. 267, sono organismi strumentali. Gli organismi strumentali sono distinti nelle tipologie definite in corrispondenza delle missioni del bilancio.
3.
4.
5. Per gli enti coinvolti nella gestione della spesa sanitaria finanziata con le risorse destinate al Servizio sanitario nazionale, come individuati all'articolo 19, si applicano le disposizioni recate dal Titolo II.»
«Art. 2 (Adozione di sistemi contabili omogenei). - 1. Le Regioni e gli enti locali di cui all'articolo 2 del decreto legislativo 18 agosto 2000, n. 267 adottano la contabilità finanziaria cui affiancano, ai fini conoscitivi, un sistema di contabilità economico-patrimoniale, garantendo la rilevazione unitaria dei fatti gestionali sia sotto il profilo finanziario che sotto il profilo economico-patrimoniale.
2. Gli enti strumentali delle amministrazioni di cui al comma 1 che adottano la contabilità finanziaria affiancano alla stessa, ai fini conoscitivi, un sistema di contabilità economico-patrimoniale, garantendo la rilevazione unitaria dei fatti gestionali, sia sotto il profilo finanziario che sotto il profilo economico-patrimoniale.
3. Le istituzioni degli enti locali di cui all'articolo 114 del decreto legislativo 18 agosto 2000, n. 267 e gli altri organismi strumentali delle amministrazioni pubbliche di cui al comma 1 adottano il medesimo sistema contabile dell'amministrazione di cui fanno parte.
4.»
- Si riporta l'articolo 19 del decreto-legge 22 giugno 2012, n. 83 (Misure urgenti per la crescita del Paese), convertito, con modificazioni, dalla legge 7 agosto 2012, n. 134, pubblicato nella Gazzetta Ufficiale 26 giugno 2012, n. 147, S.O.:
«Art. 19 (Istituzione dell'Agenzia per l'Italia digitale). - 1. È istituita l'Agenzia per l'Italia Digitale, sottoposta alla vigilanza del Presidente del Consiglio dei Ministri o del Ministro da lui delegato.
2. L'Agenzia opera sulla base di principi di autonomia organizzativa, tecnico-operativa, gestionale, di trasparenza e di economicità e persegue gli obiettivi di efficacia, efficienza, imparzialità, semplificazione e partecipazione dei cittadini e delle imprese. Per quanto non previsto dal presente decreto all'Agenzia si applicano gli articoli 8 e 9 del decreto legislativo 30 luglio 1999, n. 300.».
- Si riporta l'articolo 3 della legge L. 21 febbraio 2024, n. 15 (Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea - Legge di delegazione europea 2022-2023), pubblicata nella Gazzetta Ufficiale 24 febbraio 2024, n. 46:
«Art. 3 (Principi e criteri direttivi per l'esercizio della delega per il recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS2)). - 1. Nell'esercizio della delega per il recepimento della direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, il Governo, sentita l'Agenzia per la cybersicurezza nazionale, osserva, oltre ai principi e criteri direttivi generali di cui all'articolo 32 della legge 24 dicembre 2012, n. 234, anche i seguenti principi e criteri direttivi specifici:
a) individuare i criteri in base ai quali un ente pubblico può essere considerato pubblica amministrazione ai fini dell'applicazione delle disposizioni della direttiva (UE) 2022/2555, anche considerando la possibilità di applicazione della direttiva medesima ai comuni e alle province secondo principi di gradualità, proporzionalità e adeguatezza;
b) escludere dall'ambito di applicazione delle disposizioni della direttiva (UE) 2022/2555 gli enti della pubblica amministrazione operanti nei settori di cui all'articolo 2, paragrafo 7, della direttiva medesima, compresi gli organismi di informazione per la sicurezza ai quali si applicano le disposizioni della legge 3 agosto 2007, n. 124;
c) avvalersi della facoltà di cui all'articolo 2, paragrafo 8, della direttiva (UE) 2022/2555, prevedendo che con uno o più decreti del Presidente del Consiglio dei ministri, adottati su proposta delle competenti amministrazioni, siano esentati soggetti specifici che svolgono attività nei settori ivi indicati o che forniscono servizi esclusivamente agli enti della pubblica amministrazione di cui all'articolo 2, paragrafo 7, della medesima direttiva;
d) confermare la distinzione tra l'Agenzia per la cybersicurezza nazionale, quale autorità nazionale competente e punto di contatto, ai sensi dell'articolo 8 della direttiva (UE) 2022/2555, e le autorità di settore operanti negli ambiti di cui agli allegati I e II alla medesima direttiva;
e) in relazione all'istituzione del team di risposta agli incidenti di sicurezza informatica (CSIRT), di cui all'articolo 10 della direttiva (UE) 2022/2555, confermare le disposizioni dell'articolo 8 del decreto legislativo 18 maggio 2018, n. 65, in materia di istituzione del CSIRT Italia, nonché ampliare quanto previsto dal medesimo decreto legislativo prevedendo la collaborazione tra tutte le strutture pubbliche con funzioni di Computer Emergency Response Team (CERT) coinvolte in caso di eventi malevoli per la sicurezza informatica;
f) prevedere un regime transitorio per i soggetti già sottoposti alla disciplina del decreto legislativo 18 maggio 2018, n. 65, recante attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, garantendo termini congrui di adeguamento, ai fini della migliore applicazione delle disposizioni previste dalla direttiva (UE) 2022/2555;
g) prevedere meccanismi che consentano la registrazione dei soggetti essenziali e importanti, di cui all'articolo 3 della direttiva (UE) 2022/2555, per la comunicazione dei dati previsti dal paragrafo 4 del medesimo articolo 3, compresi i soggetti che gestiscono servizi connessi o strumentali alle attività oggetto delle disposizioni della direttiva medesima relative al settore della cultura;
h) in relazione alle misure di cui all'articolo 21, paragrafo 2, della direttiva (UE) 2022/2555, prevedere l'individuazione, attraverso l'utilizzo di strumenti flessibili atti a corrispondere al rapido sviluppo tecnologico, delle tecnologie necessarie ad assicurare l'effettiva attivazione delle misure stesse. L'autorità amministrativa individuata come responsabile di tale procedimento provvede altresì all'aggiornamento degli strumenti adottati;
i) introdurre nella legislazione vigente, anche in materia penale, le modifiche necessarie al fine di assicurare il corretto recepimento nell'ordinamento nazionale delle disposizioni della direttiva (UE) 2022/2555 in materia di divulgazione coordinata delle vulnerabilità;
l) definire le competenze dell'Agenzia per l'Italia digitale e dell'Agenzia per la cybersicurezza nazionale in relazione alle attività previste dal regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014;
m) individuare criteri oggettivi e proporzionati ai fini dell'applicazione degli obblighi informativi di cui all'articolo 23, paragrafo 2, della direttiva (UE) 2022/2555;
n) rivedere il sistema sanzionatorio e il sistema di vigilanza ed esecuzione, in particolare:
1) prevedendo sanzioni effettive, proporzionate e dissuasive rispetto alla gravità della violazione degli obblighi derivanti dalla direttiva (UE) 2022/2555, anche in deroga ai criteri e ai limiti previsti dall'articolo 32, comma 1, lettera d), della legge 24 dicembre 2012, n. 234, e alla legge 24 novembre 1981, n. 689, introducendo strumenti deflativi del contenzioso, quali la diffida ad adempiere;
2) prevedendo che gli introiti derivanti dall'irrogazione delle sanzioni siano versati all'entrata del bilancio dello Stato per essere riassegnati all'apposito capitolo dello stato di previsione della spesa del Ministero dell'economia e delle finanze, di cui all'articolo 18 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, per incrementare la dotazione del bilancio dell'Agenzia per la cybersicurezza nazionale;
o) assicurare il migliore coordinamento tra le disposizioni adottate ai sensi del presente articolo per il recepimento della direttiva (UE) 2022/2555, le disposizioni adottate ai sensi dell'articolo 5 della presente legge per il recepimento della direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, nonché le disposizioni del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, e quelle adottate ai sensi dell'articolo 16 della presente legge per l'adeguamento a quest'ultimo e per il recepimento della direttiva (UE) 2022/2556 del Parlamento europeo e del Consiglio, del 14 dicembre 2022;
p) apportare alla normativa vigente tutte le modificazioni e le integrazioni occorrenti ad assicurare il coordinamento con le disposizioni emanate in attuazione del presente articolo.».
- Si riporta il testo dell'articolo 8 del decreto legislativo 28 agosto 1997, n. 281 (Definizione ed ampliamento delle attribuzioni della Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e Bolzano ed unificazione, per le materie ed i compiti di interesse comune delle regioni, delle province e dei comuni, con la Conferenza Stato-città ed autonomie locali) pubblicato nella Gazzetta Ufficiale 30 agosto 1997, n. 202:
«Art. 8. (Conferenza Stato-città ed autonomie locali e Conferenza unificata). - 1. La Conferenza Stato-città ed autonomie locali è unificata per le materie ed i compiti di interesse comune delle regioni, delle province, dei comuni e delle comunità montane, con la Conferenza Stato-regioni.
2. La Conferenza Stato-città ed autonomie locali è presieduta dal Presidente del Consiglio dei Ministri o, per sua delega, dal Ministro dell'interno o dal Ministro per gli affari regionali nella materia di rispettiva competenza; ne fanno parte altresì il Ministro del tesoro e del bilancio e della programmazione economica, il Ministro delle finanze, il Ministro dei lavori pubblici, il Ministro della sanità, il presidente dell'Associazione nazionale dei comuni d'Italia - ANCI, il presidente dell'Unione province d'Italia - UPI ed il presidente dell'Unione nazionale comuni, comunità ed enti montani - UNCEM. Ne fanno parte inoltre quattordici sindaci designati dall'ANCI e sei presidenti di provincia designati dall'UPI.
Dei quattordici sindaci designati dall'ANCI cinque rappresentano le città individuate dall'articolo 17 della legge 8 giugno 1990, n. 142. Alle riunioni possono essere invitati altri membri del Governo, nonché rappresentanti di amministrazioni statali, locali o di enti pubblici.
3. La Conferenza Stato-città ed autonomie locali è convocata almeno ogni tre mesi, e comunque in tutti i casi il presidente ne ravvisi la necessità o qualora ne faccia richiesta il presidente dell'ANCI, dell'UPI o dell'UNCEM.
4. La Conferenza unificata di cui al comma 1 è convocata dal Presidente del Consiglio dei Ministri. Le sedute sono presiedute dal Presidente del Consiglio dei Ministri o, su sua delega, dal Ministro per gli affari regionali o, se tale incarico non è conferito, dal Ministro dell'interno.».

Note all'art. 1:
- Si riportano gli articoli 9 e 10 del decreto-legge 14 giugno 2021, n. 82 (Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale), pubblicato nella Gazzetta ufficiale 14 giugno 2021, n. 140, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109 (pubblicato nella Gazzetta Ufficiale del 4 agosto 2021, n. 185):
«Art. 9 (Compiti del Nucleo per la cybersicurezza). - 1. Per le finalità di cui all'articolo 8, il Nucleo per la cybersicurezza svolge i seguenti compiti:
a) può formulare proposte di iniziative in materia di cybersicurezza del Paese, anche nel quadro del contesto internazionale in materia;
b) promuove, sulla base delle direttive di cui all'articolo 2, comma 2, la programmazione e la pianificazione operativa della risposta a situazioni di crisi cibernetica da parte delle amministrazioni e degli operatori privati interessati e l'elaborazione delle necessarie procedure di coordinamento interministeriale, in raccordo con le pianificazioni di difesa civile e di protezione civile, anche nel quadro di quanto previsto dall'articolo 7-bis, comma 5, del decreto-legge 30 ottobre 2015, n. 174, convertito, con modificazioni, dalla legge 11 dicembre 2015, n. 198;
c) promuove e coordina lo svolgimento di esercitazioni interministeriali, ovvero la partecipazione nazionale a esercitazioni internazionali che riguardano la simulazione di eventi di natura cibernetica al fine di innalzare la resilienza del Paese;
d) valuta e promuove, in raccordo con le amministrazioni competenti per specifici profili della cybersicurezza, procedure di condivisione delle informazioni, anche con gli operatori privati interessati, ai fini della diffusione di allarmi relativi ad eventi cibernetici e per la gestione delle crisi;
e) acquisisce, anche per il tramite del CSIRT Italia, le comunicazioni circa i casi di violazioni o tentativi di violazione della sicurezza o di perdita dell'integrità significativi ai fini del corretto funzionamento delle reti e dei servizi dagli organismi di informazione di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124, dalle Forze di polizia e, in particolare, dall'organo del Ministero dell'interno di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, dalle strutture del Ministero della difesa, nonché dalle altre amministrazioni che compongono il Nucleo e dai gruppi di intervento per le emergenze informatiche (Computer Emergency Response Team - CERT) istituiti ai sensi della normativa vigente;
f) riceve dal CSIRT Italia le notifiche di incidente ai sensi delle disposizioni vigenti;
g) valuta se gli eventi di cui alle lettere e) e f) assumono dimensioni, intensità o natura tali da non poter essere fronteggiati dalle singole amministrazioni competenti in via ordinaria, ma richiedono l'assunzione di decisioni coordinate in sede interministeriale, provvedendo in tal caso a informare tempestivamente il Presidente del Consiglio dei ministri, ovvero l'Autorità delegata, ove istituita, sulla situazione in atto e allo svolgimento delle attività di raccordo e coordinamento di cui all'articolo 10, nella composizione ivi prevista.».
«Art. 10 (Gestione delle crisi che coinvolgono aspetti di cybersicurezza). - 1. Nelle situazioni di crisi che coinvolgono aspetti di cybersicurezza, nei casi in cui il Presidente del Consiglio dei ministri convochi il CISR in materia di gestione delle predette situazioni di crisi, alle sedute del Comitato sono chiamati a partecipare il Ministro delegato per l'innovazione tecnologica e la transizione digitale e il direttore generale dell'Agenzia.
2.
3. In situazioni di crisi di natura cibernetica il Nucleo è integrato, in ragione della necessità, con un rappresentante, rispettivamente, del Ministero della salute e del Ministero dell'interno-Dipartimento dei Vigili del fuoco, del soccorso pubblico e della difesa civile, in rappresentanza anche della Commissione interministeriale tecnica di difesa civile, autorizzati ad assumere decisioni che impegnano la propria amministrazione. Alle riunioni i componenti possono farsi accompagnare da altri funzionari della propria amministrazione. Alle stesse riunioni possono essere chiamati a partecipare rappresentanti di altre amministrazioni, anche locali, ed enti, anche essi autorizzati ad assumere decisioni, e di altri soggetti pubblici o privati eventualmente interessati. Per la partecipazione non sono previsti compensi, gettoni di presenza, rimborsi di spese o altri emolumenti comunque denominati.
4. È compito del Nucleo, nella composizione per la gestione delle crisi, di cui al comma 3, assicurare che le attività di reazione e stabilizzazione di competenza delle diverse amministrazioni ed enti rispetto a situazioni di crisi di natura cibernetica vengano espletate in maniera coordinata secondo quanto previsto dall'articolo 9, comma 1, lettera b).
5. Il Nucleo, per l'espletamento delle proprie funzioni e fermo restando quanto previsto ai sensi dell'articolo 7-bis, comma 5, del decreto-legge 30 ottobre 2015, n. 174, convertito, con modificazioni, dalla legge 11 dicembre 2015, n. 198:
a) mantiene costantemente informato il Presidente del Consiglio dei ministri, ovvero l'Autorità delegata, ove istituita, sulla crisi in atto, predisponendo punti aggiornati di situazione;
b) assicura il coordinamento per l'attuazione a livello interministeriale delle determinazioni del Presidente del Consiglio dei ministri per il superamento della crisi;
c) raccoglie tutti i dati relativi alla crisi;
d) elabora rapporti e fornisce informazioni sulla crisi e li trasmette ai soggetti pubblici e privati interessati;
e) partecipa ai meccanismi europei di gestione delle crisi cibernetiche, assicurando altresì i collegamenti finalizzati alla gestione della crisi con gli omologhi organismi di altri Stati, della NATO, dell'Unione europea o di organizzazioni internazionali di cui l'Italia fa parte.».
- Per i riferimenti della direttiva (UE) 2022/2555 (misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) si veda nelle note alle premesse.