DECRETO LEGISLATIVO 4 settembre 2024, n. 134

Attuazione della direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio. (24G00150)

note: Entrata in vigore del provvedimento: 18/10/2024

(GU n.223 del 23-09-2024) visualizza atto intero

nascondi

Articoli
Capo I
Disposizioni generali
1
2
Capo II
Contesto strategico e istituzionale
3
4
5
6
7
8
9
10
11
12
Capo III
Resilienza dei soggetti critici
13
14
15
16
Capo IV
Soggetti critici di particolare rilevanza europea
17
18
Capo V
Cooperazione e comunicazione
19
Capo VI
Vigilanza ed esecuzione
20
21
22
Capo VII
Disposizioni finali
23

Allegati

Allegato A
Allegato A

articolo successivo

Testo in vigore dal: 18-10-2024

IL PRESIDENTE DELLA REPUBBLICA

Visti gli articoli 76 e 87, quinto comma, della Costituzione;

Vista la legge 23 agosto 1988, n. 400, recante «Disciplina dell'attività di Governo e ordinamento della Presidenza del Consiglio dei ministri» e, in particolare, l'articolo 14;

Vista la legge 24 dicembre 2012, n. 234, recante «Norme generali sulla partecipazione dell'Italia alla formazione e all'attuazione della normativa e delle politiche dell'Unione europea» e, in particolare, gli articoli 31 e 32;

Vista la legge 21 febbraio 2024, n. 15, recante «Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea - Legge di delegazione europea 2022-2023» e, in particolare, l'articolo 5, che reca principi e criteri direttivi per l'esercizio della delega per il recepimento della direttiva (UE) 2022/2557, relativa alla resilienza dei soggetti critici;

Vista la direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio;

Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati);

Visto il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011;

Vista la direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2);

Visto il regolamento delegato (UE) 2023/2450 della Commissione, del 25 luglio 2023, che integra la direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio stabilendo un elenco di servizi essenziali;

Visto il decreto legislativo 30 giugno 2003, n. 196, recante «Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE»;

Visto il decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, recante «Misure urgenti per il contrasto del terrorismo internazionale»;

Vista la legge 3 agosto 2007, n. 124, recante «Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto»;

Visto il decreto legislativo 11 aprile 2011, n. 61, recante «Attuazione della direttiva 2008/114/CE recante l'individuazione e la designazione delle infrastrutture critiche europee e la valutazione della necessità di migliorarne la protezione»;

Visto il decreto legislativo 23 giugno 2011, n. 118, recante «Disposizioni in materia di armonizzazione dei sistemi contabili e degli schemi di bilancio delle Regioni, degli enti locali e dei loro organismi, a norma degli articoli 1 e 2 della legge 5 maggio 2009, n. 42»;

Visto il decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, recante «Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale»;

Vista la preliminare deliberazione del Consiglio dei ministri, adottata nella riunione del 10 giugno 2024;

Acquisito il parere del Garante per la protezione dei dati personali, reso nella seduta del 18 luglio 2024;

Acquisito il parere della Conferenza unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, reso nella seduta dell'11 luglio 2024;

Acquisiti i pareri delle competenti Commissioni della Camera dei deputati e del Senato della Repubblica;

Vista la deliberazione del Consiglio dei ministri, adottata nella riunione del 7 agosto 2024;

Sulla proposta del Presidente del Consiglio dei ministri e del Ministro per gli affari europei, il Sud, le politiche di coesione e il PNRR, di concerto con i Ministri per gli affari regionali e le autonomie, per la protezione civile e le politiche del mare, degli affari esteri e della cooperazione internazionale, dell'interno, della giustizia, della difesa, dell'economia e delle finanze, delle imprese e del made in Italy, dell'ambiente e della sicurezza energetica, delle infrastrutture e dei trasporti, della salute e dell'agricoltura, della sovranità alimentare e delle foreste;

Emana

il seguente decreto legislativo:

Art. 1

Oggetto e ambito di applicazione

1. Il presente decreto stabilisce:

a) misure volte a garantire che i servizi essenziali per il mantenimento di funzioni vitali della società, di attività economiche, della salute e della sicurezza pubbliche o dell'ambiente, di cui all'articolo 2, comma 1, lettera e), siano forniti senza impedimenti nonché criteri per l'individuazione dei soggetti critici di cui all'articolo 2, comma 1, lettera a);

b) obblighi per i soggetti critici di cui all'articolo 2, comma 1, lettera a), volti a rafforzarne la resilienza, fino al raggiungimento di un livello elevato, e a rafforzarne la capacità di fornire i servizi essenziali di cui all'articolo 2, comma 1, lettera e), nel mercato interno, al fine di migliorarne il funzionamento;

c) misure per il sostegno nell'adempimento degli obblighi imposti dal presente decreto ai soggetti critici di cui all'articolo 2, comma 1, lettera a);

d) disposizioni riguardanti la vigilanza e l'irrogazione di sanzioni nei confronti dei soggetti critici di cui all'articolo 2, comma 1, lettera a);

e) disposizioni riguardanti l'individuazione dei soggetti critici di particolare rilevanza europea, di cui all'articolo 17, e le missioni di consulenza della Commissione europea finalizzate a valutare le misure predisposte da tali soggetti per adempiere ai propri obblighi, di cui all'articolo 18;

f) disposizioni per la predisposizione della strategia nazionale per la resilienza dei soggetti critici, di cui all'articolo 6;

g) la disciplina della valutazione del rischio da parte dello Stato, di cui all'articolo 7, e della valutazione del rischio da parte dei soggetti critici, di cui all'articolo 13;

h) l'istituzione del Comitato interministeriale per la resilienza, di cui all'articolo 4, nonché l'individuazione delle autorità settoriali competenti e del punto di contatto unico, di cui all'articolo 5;

i) le modalità di cooperazione con gli altri Stati membri e con la Commissione europea, inclusa la partecipazione nazionale al gruppo per la resilienza dei soggetti critici di cui all'articolo 19.

2. Fermo restando quanto previsto dall'articolo 10, il presente decreto non si applica alle materie disciplinate dalle disposizioni nazionali di attuazione della direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, le cui misure sulla gestione dei rischi della cibersicurezza sono basate su un approccio multirischio che mira a proteggere anche l'ambiente fisico dei sistemi informatici da eventi che possono avere origini diverse.

3. Qualora gli obblighi previsti per i soggetti critici di adottare misure per rafforzare la loro resilienza siano oggetto di uno specifico atto giuridico dell'Unione europea, si applicano le disposizioni di detto atto giuridico nella misura in cui gli effetti di tali obblighi siano almeno equivalenti a quelli degli obblighi di cui al presente decreto. In tale circostanza non si applicano le disposizioni in materia di vigilanza ed esecuzione di cui al presente decreto.

4. Fatto salvo quanto previsto dall'articolo 346 del Trattato sul funzionamento dell'Unione europea, se l'applicazione del presente decreto comporta la comunicazione di informazioni riservate ai sensi delle disposizioni nazionali o delle disposizioni dell'Unione europea, tale comunicazione è limitata a quanto strettamente necessario ai fini dell'applicazione medesima e le informazioni scambiate sono esclusivamente quelle pertinenti e commisurate allo scopo. In ogni caso, la comunicazione di cui al primo periodo tutela la riservatezza di tali informazioni, nonché la sicurezza e gli interessi commerciali dei soggetti critici di cui all'articolo 2, comma 1, lettera a). Gli obblighi stabiliti dal presente decreto non comportano la comunicazione di informazioni la cui divulgazione sarebbe contraria agli interessi essenziali dello Stato in materia di sicurezza nazionale, di difesa o di pubblica sicurezza.

5. Resta impregiudicata la responsabilità dello Stato di tutelare la sicurezza nazionale, la difesa e le altre funzioni essenziali dello Stato, tra cui la garanzia dell'integrità territoriale dello Stato e il mantenimento dell'ordine pubblico.

6. Il presente decreto non si applica agli organi e alle articolazioni della pubblica amministrazione, nonché agli enti di cui all'articolo 2, comma 1, lettera l), che operano nei settori della pubblica sicurezza, della difesa nazionale o dell'attività di contrasto, compresi l'indagine, l'accertamento e il perseguimento di reati, nonché agli organismi di informazione per la sicurezza di cui alla legge 3 agosto 2007, n. 124, all'Agenzia per la cybersicurezza nazionale di cui al decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109. Esso non si applica, altresì, al Parlamento, alla Banca d'Italia, all'Unità di informazione finanziaria per l'Italia di cui all'articolo 6 del decreto legislativo 21 novembre 2007, n. 231 e agli organi giudiziari.

7. Con uno o più decreti del Presidente del Consiglio dei ministri, di concerto, per gli ambiti di rispettiva competenza, con i Ministri della giustizia, dell'interno e della difesa, sentito il Comitato interministeriale per la resilienza di cui all'articolo 4, sono individuati specifici soggetti critici che svolgono attività principalmente nei settori della pubblica sicurezza, della protezione civile, della difesa o dell'attività di contrasto, accertamento e perseguimento di reati, ovvero che forniscono servizi esclusivamente agli organi, alle articolazioni o agli enti della pubblica amministrazione di cui al comma 6, ai quali, nell'espletamento di tali attività o servizi, non si applicano le disposizioni di cui all'articolo 12 e ai capi III, IV e VI del presente decreto.

8. Resta ferma l'applicazione del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196.

9. Con decreto del Presidente del Consiglio dei ministri, da adottare ai sensi dell'articolo 43 della legge 3 agosto 2007, n. 124, sono individuati specifici soggetti critici che svolgono attività principalmente o forniscono servizi esclusivamente per gli organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della legge n. 124 del 2007, ai quali, nell'espletamento delle predette attività o servizi, non si applicano le disposizioni di cui all'articolo 12 e ai capi III, IV e VI del presente decreto.

N O T E

Avvertenza:
Il testo delle note qui pubblicato è stato redatto dall'amministrazione competente per materia, ai sensi dell'art. 10, commi 2 e 3, del testo unico delle disposizioni sulla promulgazione delle leggi, sull'emanazione dei decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali della Repubblica italiana, approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo fine di facilitare la lettura delle disposizioni di legge modificate o alle quali è operato il rinvio. Restano invariati il valore e l'efficacia degli atti legislativi qui trascritti.
- Per le direttive CEE vengono forniti gli estremi di pubblicazione nella Gazzetta Ufficiale delle Comunità europee (GUUE).

Note alle premesse:
- L'art. 76 della Costituzione stabilisce che l'esercizio della funzione legislativa non può essere delegato al Governo se non con determinazione di principi e criteri direttivi e soltanto per tempo limitato e per oggetti definiti.
- L'art. 87, quinto comma, della Costituzione conferisce al Presidente della Repubblica il potere di promulgare le leggi ed emanare i decreti aventi valore di legge e i regolamenti.
- Si riporta l'articolo 14 della legge 23 agosto 1988, n. 400 (Disciplina dell'attività di Governo e ordinamento della Presidenza del Consiglio dei Ministri), pubblicato nella Gazzetta Ufficiale n. 214 del 12 settembre 1988, S.O.
n. 86:
«Art. 14 (Decreti legislativi). - 1. I decreti legislativi adottati dal Governo ai sensi dell'articolo 76 della Costituzione sono emanati dal Presidente della Repubblica con la denominazione di "decreto legislativo" e con l'indicazione, nel preambolo, della legge di delegazione, della deliberazione del Consiglio dei ministri e degli altri adempimenti del procedimento prescritti dalla legge di delegazione.
2. L'emanazione del decreto legislativo deve avvenire entro il termine fissato dalla legge di delegazione; il testo del decreto legislativo adottato dal Governo è trasmesso al Presidente della Repubblica, per la emanazione, almeno venti giorni prima della scadenza.
3. Se la delega legislativa si riferisce ad una pluralità di oggetti distinti suscettibili di separata disciplina, il Governo può esercitarla mediante più atti successivi per uno o più degli oggetti predetti. In relazione al termine finale stabilito dalla legge di delegazione, il Governo informa periodicamente le Camere sui criteri che segue nell'organizzazione dell'esercizio della delega.
4. In ogni caso, qualora il termine previsto per l'esercizio della delega ecceda i due anni, il Governo è tenuto a richiedere il parere delle Camere sugli schemi dei decreti delegati. Il parere è espresso dalle Commissioni permanenti delle due Camere competenti per materia entro sessanta giorni, indicando specificamente le eventuali disposizioni non ritenute corrispondenti alle direttive della legge di delegazione. Il Governo, nei trenta giorni successivi, esaminato il parere, ritrasmette, con le sue osservazioni e con eventuali modificazioni, i testi alle Commissioni per il parere definitivo che deve essere espresso entro trenta giorni.».
- Si riportano gli articoli 31 e 32 della legge 24 dicembre 2012, n. 234 (Norme generali sulla partecipazione dell'Italia alla formazione e all'attuazione della normativa e delle politiche dell'Unione europea), pubblicata nella Gazzetta Ufficiale n. 3 del 4 gennaio 2013:
«Art. 31 (Procedure per l'esercizio delle deleghe legislative conferite al Governo con la legge di delegazione europea). - 1. In relazione alle deleghe legislative conferite con la legge di delegazione europea per il recepimento delle direttive, il Governo adotta i decreti legislativi entro il termine di quattro mesi antecedenti a quello di recepimento indicato in ciascuna delle direttive; per le direttive il cui termine così determinato sia già scaduto alla data di entrata in vigore della legge di delegazione europea, ovvero scada nei tre mesi successivi, il Governo adotta i decreti legislativi di recepimento entro tre mesi dalla data di entrata in vigore della medesima legge; per le direttive che non prevedono un termine di recepimento, il Governo adotta i relativi decreti legislativi entro dodici mesi dalla data di entrata in vigore della legge di delegazione europea.
2. I decreti legislativi sono adottati, nel rispetto dell'articolo 14 della legge 23 agosto 1988, n. 400, su proposta del Presidente del Consiglio dei Ministri o del Ministro per gli affari europei e del Ministro con competenza prevalente nella materia, di concerto con i Ministri degli affari esteri, della giustizia, dell'economia e delle finanze e con gli altri Ministri interessati in relazione all'oggetto della direttiva. I decreti legislativi sono accompagnati da una tabella di concordanza tra le disposizioni in essi previste e quelle della direttiva da recepire, predisposta dall'amministrazione con competenza istituzionale prevalente nella materia.
3. La legge di delegazione europea indica le direttive in relazione alle quali sugli schemi dei decreti legislativi di recepimento è acquisito il parere delle competenti Commissioni parlamentari della Camera dei deputati e del Senato della Repubblica. In tal caso gli schemi dei decreti legislativi sono trasmessi, dopo l'acquisizione degli altri pareri previsti dalla legge, alla Camera dei deputati e al Senato della Repubblica affinchè su di essi sia espresso il parere delle competenti Commissioni parlamentari. Decorsi quaranta giorni dalla data di trasmissione, i decreti sono emanati anche in mancanza del parere. Qualora il termine per l'espressione del parere parlamentare di cui al presente comma ovvero i diversi termini previsti dai commi 4 e 9 scadano nei trenta giorni che precedono la scadenza dei termini di delega previsti ai commi 1 o 5 o successivamente, questi ultimi sono prorogati di tre mesi.
4. Gli schemi dei decreti legislativi recanti recepimento delle direttive che comportino conseguenze finanziarie sono corredati della relazione tecnica di cui all'articolo 17, comma 3, della legge 31 dicembre 2009, n. 196. Su di essi è richiesto anche il parere delle Commissioni parlamentari competenti per i profili finanziari. Il Governo, ove non intenda conformarsi alle condizioni formulate con riferimento all'esigenza di garantire il rispetto dell'articolo 81, quarto comma, della Costituzione, ritrasmette alle Camere i testi, corredati dei necessari elementi integrativi d'informazione, per i pareri definitivi delle Commissioni parlamentari competenti per i profili finanziari, che devono essere espressi entro venti giorni.
5. Entro ventiquattro mesi dalla data di entrata in vigore di ciascuno dei decreti legislativi di cui al comma 1, nel rispetto dei principi e criteri direttivi fissati dalla legge di delegazione europea, il Governo può adottare, con la procedura indicata nei commi 2, 3 e 4, disposizioni integrative e correttive dei decreti legislativi emanati ai sensi del citato comma 1, fatto salvo il diverso termine previsto dal comma 6.
6. Con la procedura di cui ai commi 2, 3 e 4 il Governo può adottare disposizioni integrative e correttive di decreti legislativi emanati ai sensi del comma 1, al fine di recepire atti delegati dell'Unione europea di cui all'articolo 290 del Trattato sul funzionamento dell'Unione europea, che modificano o integrano direttive recepite con tali decreti legislativi. Le disposizioni integrative e correttive di cui al primo periodo sono adottate nel termine di cui al comma 5 o nel diverso termine fissato dalla legge di delegazione europea. Resta ferma la disciplina di cui all'articolo 36 per il recepimento degli atti delegati dell'Unione europea che recano meri adeguamenti tecnici.
7. I decreti legislativi di recepimento delle direttive previste dalla legge di delegazione europea, adottati, ai sensi dell'articolo 117, quinto comma, della Costituzione, nelle materie di competenza legislativa delle regioni e delle province autonome, si applicano alle condizioni e secondo le procedure di cui all'articolo 41, comma 1.
8. I decreti legislativi adottati ai sensi dell'articolo 33 e attinenti a materie di competenza legislativa delle regioni e delle province autonome sono emanati alle condizioni e secondo le procedure di cui all'articolo 41, comma 1.
9. Il Governo, quando non intende conformarsi ai pareri parlamentari di cui al comma 3, relativi a sanzioni penali contenute negli schemi di decreti legislativi recanti attuazione delle direttive, ritrasmette i testi, con le sue osservazioni e con eventuali modificazioni, alla Camera dei deputati e al Senato della Repubblica. Decorsi venti giorni dalla data di ritrasmissione, i decreti sono emanati anche in mancanza di nuovo parere.»
«Art. 32 (Principi e criteri direttivi generali di delega per l'attuazione del diritto dell'Unione europea). - 1. Salvi gli specifici principi e criteri direttivi stabiliti dalla legge di delegazione europea e in aggiunta a quelli contenuti nelle direttive da attuare, i decreti legislativi di cui all'articolo 31 sono informati ai seguenti principi e criteri direttivi generali:
a) le amministrazioni direttamente interessate provvedono all'attuazione dei decreti legislativi con le ordinarie strutture amministrative, secondo il principio della massima semplificazione dei procedimenti e delle modalità di organizzazione e di esercizio delle funzioni e dei servizi;
b) ai fini di un migliore coordinamento con le discipline vigenti per i singoli settori interessati dalla normativa da attuare, sono introdotte le occorrenti modificazioni alle discipline stesse, anche attraverso il riassetto e la semplificazione normativi con l'indicazione esplicita delle norme abrogate, fatti salvi i procedimenti oggetto di semplificazione amministrativa ovvero le materie oggetto di delegificazione;
c) gli atti di recepimento di direttive dell'Unione europea non possono prevedere l'introduzione o il mantenimento di livelli di regolazione superiori a quelli minimi richiesti dalle direttive stesse, ai sensi dell'articolo 14, commi 24-bis, 24-ter e 24-quater, della legge 28 novembre 2005, n. 246 ;
d) al di fuori dei casi previsti dalle norme penali vigenti, ove necessario per assicurare l'osservanza delle disposizioni contenute nei decreti legislativi, sono previste sanzioni amministrative e penali per le infrazioni alle disposizioni dei decreti stessi. Le sanzioni penali, nei limiti, rispettivamente, dell'ammenda fino a 150.000 euro e dell'arresto fino a tre anni, sono previste, in via alternativa o congiunta, solo nei casi in cui le infrazioni ledano o espongano a pericolo interessi costituzionalmente protetti. In tali casi sono previste: la pena dell'ammenda alternativa all'arresto per le infrazioni che espongano a pericolo o danneggino l'interesse protetto; la pena dell'arresto congiunta a quella dell'ammenda per le infrazioni che rechino un danno di particolare gravità.
Nelle predette ipotesi, in luogo dell'arresto e dell'ammenda, possono essere previste anche le sanzioni alternative di cui agli articoli 53 e seguenti del decreto legislativo 28 agosto 2000, n. 274, e la relativa competenza del giudice di pace. La sanzione amministrativa del pagamento di una somma non inferiore a 150 euro e non superiore a 150.000 euro è prevista per le infrazioni che ledono o espongono a pericolo interessi diversi da quelli indicati dalla presente lettera. Nell'ambito dei limiti minimi e massimi previsti, le sanzioni indicate dalla presente lettera sono determinate nella loro entità, tenendo conto della diversa potenzialità lesiva dell'interesse protetto che ciascuna infrazione presenta in astratto, di specifiche qualità personali del colpevole, comprese quelle che impongono particolari doveri di prevenzione, controllo o vigilanza, nonché del vantaggio patrimoniale che l'infrazione può recare al colpevole ovvero alla persona o all'ente nel cui interesse egli agisce. Ove necessario per assicurare l'osservanza delle disposizioni contenute nei decreti legislativi, sono previste inoltre le sanzioni amministrative accessorie della sospensione fino a sei mesi e, nei casi più gravi, della privazione definitiva di facoltà e diritti derivanti da provvedimenti dell'amministrazione, nonché sanzioni penali accessorie nei limiti stabiliti dal codice penale.
Al medesimo fine è prevista la confisca obbligatoria delle cose che servirono o furono destinate a commettere l'illecito amministrativo o il reato previsti dai medesimi decreti legislativi, nel rispetto dei limiti stabiliti dall'articolo 240, terzo e quarto comma, del codice penale e dall'articolo 20 della legge 24 novembre 1981, n. 689, e successive modificazioni. Entro i limiti di pena indicati nella presente lettera sono previste sanzioni anche accessorie identiche a quelle eventualmente già comminate dalle leggi vigenti per violazioni omogenee e di pari offensività rispetto alle infrazioni alle disposizioni dei decreti legislativi. Nelle materie di cui all'articolo 117, quarto comma, della Costituzione, le sanzioni amministrative sono determinate dalle regioni;
e) al recepimento di direttive o all'attuazione di altri atti dell'Unione europea che modificano precedenti direttive o atti già attuati con legge o con decreto legislativo si procede, se la modificazione non comporta ampliamento della materia regolata, apportando le corrispondenti modificazioni alla legge o al decreto legislativo di attuazione della direttiva o di altro atto modificato;
f) nella redazione dei decreti legislativi di cui all'articolo 31 si tiene conto delle eventuali modificazioni delle direttive dell'Unione europea comunque intervenute fino al momento dell'esercizio della delega;
g) quando si verifichino sovrapposizioni di competenze tra amministrazioni diverse o comunque siano coinvolte le competenze di più amministrazioni statali, i decreti legislativi individuano, attraverso le più opportune forme di coordinamento, rispettando i principi di sussidiarietà, differenziazione, adeguatezza e leale collaborazione e le competenze delle regioni e degli altri enti territoriali, le procedure per salvaguardare l'unitarietà dei processi decisionali, la trasparenza, la celerità, l'efficacia e l'economicità nell'azione amministrativa e la chiara individuazione dei soggetti responsabili;
h) qualora non siano di ostacolo i diversi termini di recepimento, vengono attuate con un unico decreto legislativo le direttive che riguardano le stesse materie o che comunque comportano modifiche degli stessi atti normativi;
i) è assicurata la parità di trattamento dei cittadini italiani rispetto ai cittadini degli altri Stati membri dell'Unione europea e non può essere previsto in ogni caso un trattamento sfavorevole dei cittadini italiani.».
- Si riporta l'articolo 5 della legge 21 febbraio 2024, n. 15 (Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea - Legge di delegazione europea 2022-2023), pubblicata nella Gazzetta Ufficiale 24 febbraio, n. 15:
«Art. 5. (Principi e criteri direttivi per l'esercizio della delega per il recepimento della direttiva (UE) 2022/2557, relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio). - 1. Nell'esercizio della delega per il recepimento della direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, il Governo osserva, oltre ai principi e criteri direttivi di cui all'articolo 32 della legge 24 dicembre 2012, n. 234, anche i seguenti principi e criteri direttivi specifici:
a) escludere dall'ambito di applicazione delle disposizioni di recepimento della direttiva (UE) 2022/2557 gli enti della pubblica amministrazione operanti nei settori di cui all'articolo 1, paragrafo 6, della direttiva medesima, compresi gli organismi di informazione per la sicurezza ai quali si applicano le disposizioni della legge 3 agosto 2007, n. 124;
b) avvalersi della facoltà di cui all'articolo 1, paragrafo 7, della direttiva (UE) 2022/2557 , prevedendo che con uno o più decreti del Presidente del Consiglio dei ministri, su proposta delle competenti amministrazioni di settore, siano individuati gli specifici soggetti critici la cui attività principale ricade nei settori ivi indicati o che forniscono servizi esclusivamente agli enti della pubblica amministrazione di cui all'articolo 1, paragrafo 6, della medesima direttiva, ai quali non si applicano, in tutto o in parte, le disposizioni di attuazione dell'articolo 11 e dei capi III, IV e VI della medesima direttiva;
c) istituire o designare, ai sensi dell'articolo 9 della direttiva (UE) 2022/2557, una o più autorità competenti, con riferimento ai settori di cui all'allegato alla medesima direttiva; in caso di istituzione o designazione di un'unica autorità competente, istituire o designare presso quest'ultima un punto di contatto unico, ai sensi dell'articolo 9, paragrafo 2, della direttiva (UE) 2022/2557;
d) istituire o designare, ai sensi dell'articolo 9, paragrafo 2, della direttiva (UE) 2022/2557 , un punto di contatto unico, cui sono attribuite anche le funzioni di assicurare il collegamento con la Commissione europea e la cooperazione con i Paesi terzi, di coordinare le attività di sostegno di cui all'articolo 10 della citata direttiva (UE) 2022/2557 , di ricevere da parte dei soggetti critici, contestualmente alle autorità competenti di cui alla lettera c) del presente comma, le notifiche degli incidenti ai sensi dell'articolo 15 della medesima direttiva (UE) 2022/2557 , di promuovere le attività di ricerca e formazione in materia di resilienza delle infrastrutture critiche, nonché di coordinare l'attività delle autorità competenti di cui alla citata lettera c);
e) avvalersi della facoltà, ai sensi dell'articolo 7, paragrafo 2, lettera a), della direttiva (UE) 2022/2557, di individuare servizi essenziali aggiuntivi rispetto all'elenco contenuto nell'atto delegato di cui all'articolo 5, paragrafo 1, della medesima direttiva;
f) prevedere che, ai sensi dell'articolo 7, paragrafo 2, secondo comma, della direttiva (UE) 2022/2557, le soglie ivi previste possano essere presentate come tali o in forma aggregata;
g) prevedere, ai sensi dell'articolo 8 della direttiva (UE) 2022/2557, ove necessario, misure atte a conseguire un livello di resilienza più elevato per i soggetti critici del settore bancario, del settore delle infrastrutture dei mercati finanziari e del settore delle infrastrutture digitali;
h) introdurre, ai sensi dell'articolo 22 della direttiva (UE) 2022/2557, sanzioni penali e amministrative efficaci, proporzionate e dissuasive, anche, ove necessario, in deroga a quanto previsto dall'articolo 32, comma 1, lettera d), della legge 24 dicembre 2012, n. 234, e dalla legge 24 novembre 1981, n. 689, nonché introdurre strumenti deflativi del contenzioso, quali, in particolare, la diffida ad adempiere;
i) prevedere che le autorità di cui alla lettera c) possano irrogare sanzioni amministrative ai sensi dell'articolo 22 della direttiva (UE) 2022/2557;
l) prevedere la facoltà, anche per le autorità di cui alla lettera c), nell'ambito delle rispettive competenze, di adottare una disciplina secondaria, secondo quanto previsto dalle disposizioni attuative del presente articolo;
m) assicurare, in attuazione degli articoli 1 , 4 , 6 , 8 , 9 , 19 e 21 della direttiva (UE) 2022/2557 , il coordinamento tra le disposizioni adottate per il recepimento della medesima direttiva, le disposizioni di recepimento della direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022 , nonché le disposizioni del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, ivi comprese le disposizioni nazionali di adeguamento a quest'ultimo;
n) curare il coordinamento delle disposizioni vigenti, operando le necessarie modifiche o abrogazioni espresse e, in particolare, modificando o abrogando l'articolo 211-bis del decreto-legge 19 maggio 2020, n. 34, convertito, con modificazioni, dalla legge 17 luglio 2020, n. 77, nonché, ai sensi dell'articolo 27 della direttiva (UE) 2022/2557, il decreto legislativo 11 aprile 2011, n. 61;
o) nell'attuazione del presente articolo, tenere ferme le vigenti attribuzioni dell'autorità giudiziaria relativamente alla ricezione delle notizie di reato, del Ministero dell'interno in materia di tutela dell'ordine e della sicurezza pubblica e di difesa civile, del Ministero della difesa in materia di difesa e sicurezza dello Stato, del Dipartimento della protezione civile della Presidenza del Consiglio dei ministri in materia di previsione, prevenzione e mitigazione dei rischi, del Ministero delle imprese e del made in Italy in materia di resilienza fisica delle reti di comunicazione elettronica nonché dell'Agenzia per la cybersicurezza nazionale in materia di cybersicurezza e resilienza nazionale nello spazio cibernetico, istituendo un tavolo di coordinamento tra il punto di contatto unico di cui alle lettere c) e d) e la Commissione interministeriale tecnica di difesa civile in relazione alla formulazione e attuazione degli obiettivi di resilienza nazionale. Restano ferme le attribuzioni degli organismi preposti alla tutela della sicurezza nazionale ai sensi della legge 3 agosto 2007, n. 124;
p) favorire la più ampia tutela dei lavoratori nello svolgimento delle attività ritenute critiche o sensibili, anche prevedendo disposizioni speciali, in raccordo con la normativa dell'Unione europea.».
- La direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio è pubblicata nella Gazzetta ufficiale dell'Unione europea del 27 dicembre 2022, n. L 333.
- Il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) è pubblicato nella Gazzetta ufficiale dell'Unione europea del 4 maggio 2026, n. L 119.
- Il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 è pubblicato nella Gazzetta ufficiale dell'Unione europea del 27 dicembre 2022, n. L 333.
- La direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) è pubblicata nella Gazzetta ufficiale dell'Unione europea del 27 dicembre 2022, n. L 333.
- Il regolamento delegato (UE) 2023/2450 della Commissione, del 25 luglio 2023, che integra la direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio stabilendo un elenco di servizi essenziali, è pubblicato nella Gazzetta ufficiale dell'Unione europea del 30 ottobre 2023, serie L.
- Il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE) è pubblicato nella Gazzetta Ufficiale n. 174 del 29 luglio 2003, S.O. n. 123.
- Il decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155 (Misure urgenti per il contrasto del terrorismo internazionale) è pubblicato nella Gazzetta Ufficiale n. 173 del 27 luglio 2005.
- La legge 3 agosto 2007, n. 124 (Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto) è pubblicata nella Gazzetta Ufficiale n. 187 del 13 agosto 2007.
- Il decreto legislativo 11 aprile 2011, n. 61 (Attuazione della direttiva 2008/114/CE recante l'individuazione e la designazione delle infrastrutture critiche europee e la valutazione della necessità di migliorarne la protezione), abrogato dal presente decreto, a partire dal 18 ottobre 2024, è pubblicato nella Gazzetta Ufficiale n. 102 del 4 maggio 2011.
- Il decreto legislativo 23 giugno 2011, n. 118 (Disposizioni in materia di armonizzazione dei sistemi contabili e degli schemi di bilancio delle Regioni, degli enti locali e dei loro organismi, a norma degli articoli 1 e 2 della legge 5 maggio 2009, n. 42) è pubblicato nella Gazzetta Ufficiale n. 172 del 26 luglio 2011.
- Il decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109 (Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale) è pubblicato nella Gazzetta Ufficiale n. 140 del 14 giugno 2021.

Note all'art. 1:
- Per la direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) si rinvia alle note alle premesse.
- Il Trattato sul funzionamento dell'Unione europea è pubblicato nella Gazzetta ufficiale dell'Unione europea del 7 giugno 2016, n. C 202.
- Per la legge 3 agosto 2007, n. 124 (Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto) si rinvia alle note alle premesse.
- Per il decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109 (Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale) si rinvia alle note alle premesse.
- Si riporta l'articolo 6 del decreto legislativo 21 novembre 2007, n. 231 (Attuazione della direttiva 2005/60/CE concernente la prevenzione dell'utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo nonché della direttiva 2006/70/CE che ne reca misure di esecuzione), pubblicato nella Gazzetta Ufficiale n. 290 del 14 dicembre 2007, S.O.:
«Art. 6. (Unità d'informazione finanziaria). - 1.
L'Unità di informazione finanziaria per l'Italia (UIF), istituita presso la Banca d'Italia, è autonoma e operativamente indipendente. In attuazione di tale principio, la Banca d'Italia ne disciplina con regolamento l'organizzazione e il funzionamento, ivi compresa la riservatezza delle informazioni acquisite, attribuendole i mezzi finanziari e le risorse idonei ad assicurare l'efficace perseguimento dei suoi fini istituzionali. Alla UIF e al personale addetto si applica l'articolo 24, comma 6-bis, della legge 28 dicembre 2005, n. 262.
2. Il Direttore della UIF, al quale compete in autonomia la responsabilità della gestione, è nominato con provvedimento del Direttorio della Banca d'Italia, su proposta del Governatore della Banca d'Italia, tra persone dotate di adeguati requisiti di onorabilità, professionalità e conoscenza del sistema finanziario. Il mandato ha la durata di cinque anni ed è rinnovabile una sola volta.
3. Per l'efficace svolgimento dei compiti fissati dalla legge e dagli obblighi internazionali, presso la UIF è costituito un Comitato di esperti, del quale fanno parte il Direttore e quattro membri, dotati di adeguati requisiti di onorabilità e professionalità. I componenti del Comitato sono nominati, nel rispetto del principio dell'equilibrio di genere, con decreto del Ministro dell'economia e delle finanze, sentito il Governatore della Banca d'Italia, e restano in carica tre anni, rinnovabili per altri tre. La partecipazione al Comitato non dà luogo a compensi. Il Comitato è convocato dal Direttore della UIF con cadenza almeno semestrale e svolge funzioni di consulenza e ausilio a supporto dell'azione della UIF. Il Comitato cura, altresì, la redazione di un parere sull'azione dell'UIF, che forma parte integrante della documentazione trasmessa al Parlamento ai sensi del comma 8.
4. La UIF esercita le seguenti funzioni:
a) riceve le segnalazioni di operazioni sospette e ne effettua l'analisi finanziaria;
b) analizza i flussi finanziari, al fine di individuare e prevenire fenomeni di riciclaggio di denaro e di finanziamento del terrorismo;
c) può sospendere, per un massimo di cinque giorni lavorativi, operazioni sospette, anche su richiesta del Nucleo speciale di polizia valutaria della Guardia di finanza, della Direzione investigativa antimafia e dell'autorità giudiziaria ovvero su richiesta di un'altra FIU, ove non ne derivi pregiudizio per il corso delle indagini. La UIF provvede a dare immediata notizia della sospensione all'autorità che ne ha fatto richiesta;
d) avuto riguardo alle caratteristiche dei soggetti obbligati, emana istruzioni, pubblicate nella Gazzetta Ufficiale della Repubblica italiana, sui dati e le informazioni che devono essere contenuti nelle segnalazioni di operazioni sospette e nelle comunicazioni oggettive, sulla relativa tempistica nonché sulle modalità di tutela della riservatezza dell'identità del segnalante;
e) al fine di agevolare l'individuazione delle operazioni sospette, emana e aggiorna periodicamente, previa presentazione al Comitato di sicurezza finanziaria, indicatori di anomalia, pubblicati nella Gazzetta Ufficiale della Repubblica italiana e in apposita sezione del proprio sito istituzionale;
f) effettua, anche attraverso ispezioni, verifiche al fine di accertare il rispetto delle disposizioni in materia di prevenzione e contrasto del riciclaggio e del finanziamento del terrorismo, con riguardo alle segnalazioni di operazioni sospette e ai casi di omessa segnalazione di operazioni sospette, nonché con riguardo alle comunicazioni alla UIF previste dal presente decreto e ai casi di omissione delle medesime, anche avvalendosi della collaborazione del Nucleo speciale di polizia valutaria della Guardia di finanza;
g) in relazione ai propri compiti, accerta e contesta ovvero trasmette alle autorità di vigilanza di settore le violazioni degli obblighi di cui al presente decreto di cui viene a conoscenza nell'esercizio delle proprie funzioni istituzionali;
h) assicura la tempestiva trasmissione alla Direzione nazionale antimafia e antiterrorismo dei dati, delle informazioni e delle analisi, secondo quanto stabilito dall'articolo 8, comma 1, lettera a). Assicura, altresì, l'effettuazione delle analisi richieste dalla Direzione nazionale antimafia e antiterrorismo ai sensi dell'articolo 8, comma 1, lettera d).
5. Per lo svolgimento delle proprie funzioni istituzionali, la UIF:
a) acquisisce, anche attraverso ispezioni, dati e informazioni presso i soggetti destinatari degli obblighi di cui al presente decreto;
b) riceve la comunicazione dei dati statistici aggregati da parte dei soggetti obbligati tenuti a effettuarla e le comunicazioni cui sono tenute le Pubbliche amministrazioni, ai sensi dell'articolo 10.
6. Per l'esercizio delle funzioni di cui ai commi 4 e 5, la UIF:
a) si avvale dei dati contenuti nell'anagrafe dei conti e dei depositi di cui all'articolo 20, comma 4, della legge 30 dicembre 1991, n. 413, e nell'anagrafe tributaria di cui all'articolo 37 del decreto-legge 4 luglio 2006, n. 223, convertito, con modificazioni, dalla legge 4 agosto 2006, n. 248;
b) ha accesso ai dati e alle informazioni contenute nell'anagrafe immobiliare integrata di cui all'articolo 19 del decreto-legge 31 maggio 2010, n. 78, convertito, con modificazioni dalla legge 30 luglio 2010, n. 122;
c) ha accesso alle informazioni sul titolare effettivo di persone giuridiche e trust espressi, contenute in apposita sezione del Registro delle imprese, ai sensi dell'articolo 21 del presente decreto.
7. Avvalendosi delle informazioni raccolte nello svolgimento delle proprie funzioni, la UIF:
a) svolge analisi e studi su singole anomalie, riferibili a ipotesi di riciclaggio e di finanziamento del terrorismo su specifici settori dell'economia ritenuti a rischio, su categorie di strumenti di pagamento e su specifiche realtà economiche territoriali, anche sulla base dell'analisi nazionale dei rischi elaborata dal Comitato di sicurezza finanziaria;
b) elabora e diffonde modelli e schemi rappresentativi di comportamenti anomali sul piano economico e finanziario riferibili a possibili attività di riciclaggio e di finanziamento del terrorismo.
8. Ai fini della presentazione al Parlamento della relazione sullo stato dell'azione di prevenzione del riciclaggio e del finanziamento del terrorismo, il Direttore della UIF, entro il 30 maggio di ogni anno, trasmette al Ministro dell'economia e delle finanze, per il tramite del Comitato di sicurezza finanziaria, gli allegati alla medesima relazione, di cui all'articolo 4, comma 2, del presente decreto.».
- Per il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE) si rinvia alle note alle premesse.
- Si riportano gli articoli 4, 6, 7 e 43 della legge 3 agosto 2007, n. 124 (Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto), pubblicata nella Gazzetta Ufficiale n. 187 del 13 agosto 2007:
«Art. 4. (Dipartimento delle informazioni per la sicurezza). - 1. Per lo svolgimento dei compiti di cui al comma 3 è istituito, presso la Presidenza del Consiglio dei ministri, il Dipartimento delle informazioni per la sicurezza (DIS).
2. Il Presidente del Consiglio dei ministri e l'Autorità delegata, ove istituita, si avvalgono del DIS per l'esercizio delle loro competenze, al fine di assicurare piena unitarietà nella programmazione della ricerca informativa del Sistema di informazione per la sicurezza, nonché nelle analisi e nelle attività operative dei servizi di informazione per la sicurezza.
3. Il DIS svolge i seguenti compiti:
a) coordina l'intera attività di informazione per la sicurezza, verificando altresì i risultati delle attività svolte dall'AISE e dall'AISI, ferma restando la competenza dei predetti servizi relativamente alle attività di ricerca informativa e di collaborazione con i servizi di sicurezza degli Stati esteri;
b) è costantemente informato delle operazioni di competenza dei servizi di informazione per la sicurezza e trasmette al Presidente del Consiglio dei ministri le informative e le analisi prodotte dal Sistema di informazione per la sicurezza;
c) raccoglie le informazioni, le analisi e i rapporti provenienti dai servizi di informazione per la sicurezza, dalle Forze armate e di polizia, dalle amministrazioni dello Stato e da enti di ricerca anche privati; ferma l'esclusiva competenza dell'AISE e dell'AISI per l'elaborazione dei rispettivi piani di ricerca operativa, elabora analisi strategiche o relative a particolari situazioni; formula valutazioni e previsioni, sulla scorta dei contributi analitici settoriali dell'AISE e dell'AISI;
d) elabora, anche sulla base delle informazioni e dei rapporti di cui alla lettera c), analisi globali da sottoporre al CISR, nonché progetti di ricerca informativa, sui quali decide il Presidente del Consiglio dei ministri, dopo avere acquisito il parere del CISR;
d-bis) sulla base delle direttive di cui all'articolo 1, comma 3-bis, nonché delle informazioni e dei rapporti di cui alla lettera c) del presente comma, coordina le attività di ricerca informativa finalizzate a rafforzare la protezione cibernetica e la sicurezza informatica nazionali;
e) promuove e garantisce, anche attraverso riunioni periodiche, lo scambio informativo tra l'AISE, l'AISI e le Forze di polizia; comunica al Presidente del Consiglio dei ministri le acquisizioni provenienti dallo scambio informativo e i risultati delle riunioni periodiche;
f) trasmette, su disposizione del Presidente del Consiglio dei ministri, sentito il CISR, informazioni e analisi ad amministrazioni pubbliche o enti, anche ad ordinamento autonomo, interessati all'acquisizione di informazioni per la sicurezza;
g) elabora, d'intesa con l'AISE e l'AISI, il piano di acquisizione delle risorse umane e materiali e di ogni altra risorsa comunque strumentale all'attività dei servizi di informazione per la sicurezza, da sottoporre all'approvazione del Presidente del Consiglio dei ministri;
h) sentite l'AISE e l'AISI, elabora e sottopone all'approvazione del Presidente del Consiglio dei ministri lo schema del regolamento di cui all'articolo 21, comma 1;
i) esercita il controllo sull'AISE e sull'AISI, verificando la conformità delle attività di informazione per la sicurezza alle leggi e ai regolamenti, nonché alle direttive e alle disposizioni del Presidente del Consiglio dei ministri. Per tale finalità, presso il DIS è istituito un ufficio ispettivo le cui modalità di organizzazione e di funzionamento sono definite con il regolamento di cui al comma 7. Con le modalità previste da tale regolamento è approvato annualmente, previo parere del Comitato parlamentare di cui all'articolo 30, il piano annuale delle attività dell'ufficio ispettivo. L'ufficio ispettivo, nell'ambito delle competenze definite con il predetto regolamento, può svolgere, anche a richiesta del direttore generale del DIS, autorizzato dal Presidente del Consiglio dei ministri, inchieste interne su specifici episodi e comportamenti verificatisi nell'ambito dei servizi di informazione per la sicurezza;
l) assicura l'attuazione delle disposizioni impartite dal Presidente del Consiglio dei Ministri con apposito regolamento adottato ai sensi dell'articolo 1, comma 2, ai fini della tutela amministrativa del segreto di Stato e delle classifiche di segretezza, vigilando altresì sulla loro corretta applicazione;7
m) cura le attività di promozione e diffusione della cultura della sicurezza e la comunicazione istituzionale;
n) impartisce gli indirizzi per la gestione unitaria del personale di cui all'articolo 21, secondo le modalità definite dal regolamento di cui al comma 1 del medesimo articolo;
n-bis) gestisce unitariamente, ferme restando le competenze operative dell'AISE e dell'AISI, gli approvvigionamenti e i servizi logistici comuni.
4. Fermo restando quanto previsto dall'articolo 118-bis del codice di procedura penale, introdotto dall'articolo 14 della presente legge, qualora le informazioni richieste alle Forze di polizia, ai sensi delle lettere c) ed e) del comma 3 del presente articolo, siano relative a indagini di polizia giudiziaria, le stesse, se coperte dal segreto di cui all'articolo 329 del codice di procedura penale, possono essere acquisite solo previo nulla osta della autorità giudiziaria competente.
L'autorità giudiziaria può trasmettere gli atti e le informazioni anche di propria iniziativa.
5. La direzione generale del DIS è affidata ad un dirigente di prima fascia o equiparato dell'amministrazione dello Stato, la cui nomina e revoca spettano in via esclusiva al Presidente del Consiglio dei ministri, sentito il CISR. L'incarico ha la durata massima di otto anni ed è conferibile, senza soluzione di continuità, anche con provvedimenti successivi, ciascuno dei quali di durata non superiore al quadriennio. Per quanto previsto dalla presente legge, il direttore del DIS è il diretto referente del Presidente del Consiglio dei ministri e dell'Autorità delegata, ove istituita, salvo quanto previsto dall'articolo 6, comma 5, e dall'articolo 7, comma 5, ed è gerarchicamente e funzionalmente sovraordinato al personale del DIS e degli uffici istituiti nell'ambito del medesimo Dipartimento.
6. Il Presidente del Consiglio dei ministri, sentito il direttore generale del DIS, nomina uno o più vice direttori generali; il direttore generale affida gli altri incarichi nell'ambito del Dipartimento, ad eccezione degli incarichi il cui conferimento spetta al Presidente del Consiglio dei ministri.
7. L'ordinamento e l'organizzazione del DIS e degli uffici istituiti nell'ambito del medesimo Dipartimento sono disciplinati con apposito regolamento.
8. Il regolamento previsto dal comma 7 definisce le modalità di organizzazione e di funzionamento dell'ufficio ispettivo di cui al comma 3, lettera i), secondo i seguenti criteri:
a) agli ispettori è garantita piena autonomia e indipendenza di giudizio nell'esercizio delle funzioni di controllo;
b) salva specifica autorizzazione del Presidente del Consiglio dei ministri o dell'Autorità delegata, ove istituita, i controlli non devono interferire con le operazioni in corso;
c) sono previste per gli ispettori specifiche prove selettive e un'adeguata formazione;
d) non è consentito il passaggio di personale dall'ufficio ispettivo ai servizi di informazione per la sicurezza;
e) gli ispettori, previa autorizzazione del Presidente del Consiglio dei ministri o dell'Autorità delegata, ove istituita, possono accedere a tutti gli atti conservati presso i servizi di informazione per la sicurezza e presso il DIS; possono altresì acquisire, tramite il direttore generale del DIS, altre informazioni da enti pubblici e privati.»
«Art. 6. (Agenzia informazioni e sicurezza esterna). - 1. È istituita l'Agenzia informazioni e sicurezza esterna (AISE), alla quale è affidato il compito di ricercare ed elaborare nei settori di competenza tutte le informazioni utili alla difesa dell'indipendenza, dell'integrità e della sicurezza della Repubblica, anche in attuazione di accordi internazionali, dalle minacce provenienti dall'estero.
2. Spettano all'AISE inoltre le attività in materia di controproliferazione concernenti i materiali strategici, nonché le attività di informazione per la sicurezza, che si svolgono al di fuori del territorio nazionale, a protezione degli interessi politici, militari, economici, scientifici e industriali dell'Italia.
3. È, altresì, compito dell'AISE individuare e contrastare al di fuori del territorio nazionale le attività di spionaggio dirette contro l'Italia e le attività volte a danneggiare gli interessi nazionali.
4. L'AISE può svolgere operazioni sul territorio nazionale soltanto in collaborazione con l'AISI, quando tali operazioni siano strettamente connesse ad attività che la stessa AISE svolge all'estero. A tal fine il direttore generale del DIS provvede ad assicurare le necessarie forme di coordinamento e di raccordo informativo, anche al fine di evitare sovrapposizioni funzionali o territoriali.
5. L'AISE risponde al Presidente del Consiglio dei ministri.
6. L'AISE informa tempestivamente e con continuità il Ministro della difesa, il Ministro degli affari esteri e il Ministro dell'interno per i profili di rispettiva competenza.
7. Il Presidente del Consiglio dei ministri, con proprio decreto, nomina e revoca il direttore dell'AISE, scelto tra dirigenti di prima fascia o equiparati dell'amministrazione dello Stato, sentito il CISR.
L'incarico ha la durata massima di otto anni ed è conferibile, senza soluzione di continuità, anche con provvedimenti successivi, ciascuno dei quali di durata non superiore al quadriennio.15
8. Il direttore dell'AISE riferisce costantemente sull'attività svolta al Presidente del Consiglio dei ministri o all'Autorità delegata, ove istituita, per il tramite del direttore generale del DIS. Riferisce direttamente al Presidente del Consiglio dei ministri in caso di urgenza o quando altre particolari circostanze lo richiedano, informandone senza ritardo il direttore generale del DIS; presenta al CISR, per il tramite del direttore generale del DIS, un rapporto annuale sul funzionamento e sull'organizzazione dell'Agenzia.
9. Il Presidente del Consiglio dei ministri nomina e revoca, sentito il direttore dell'AISE, uno o più vice direttori. Il direttore dell'AISE affida gli altri incarichi nell'ambito dell'Agenzia.
10. L'organizzazione e il funzionamento dell'AISE sono disciplinati con apposito regolamento.»
«Art. 7. (Agenzia informazioni e sicurezza interna). - 1. È istituita l'Agenzia informazioni e sicurezza interna (AISI), alla quale è affidato il compito di ricercare ed elaborare nei settori di competenza tutte le informazioni utili a difendere, anche in attuazione di accordi internazionali, la sicurezza interna della Repubblica e le istituzioni democratiche poste dalla Costituzione a suo fondamento da ogni minaccia, da ogni attività eversiva e da ogni forma di aggressione criminale o terroristica.
2. Spettano all'AISI le attività di informazione per la sicurezza, che si svolgono all'interno del territorio nazionale, a protezione degli interessi politici, militari, economici, scientifici e industriali dell'Italia.
3. È, altresì, compito dell'AISI individuare e contrastare all'interno del territorio nazionale le attività di spionaggio dirette contro l'Italia e le attività volte a danneggiare gli interessi nazionali.
4. L'AISI può svolgere operazioni all'estero soltanto in collaborazione con l'AISE, quando tali operazioni siano strettamente connesse ad attività che la stessa AISI svolge all'interno del territorio nazionale. A tal fine il direttore generale del DIS provvede ad assicurare le necessarie forme di coordinamento e di raccordo informativo, anche al fine di evitare sovrapposizioni funzionali o territoriali.
5. L'AISI risponde al Presidente del Consiglio dei ministri.
6. L'AISI informa tempestivamente e con continuità il Ministro dell'interno, il Ministro degli affari esteri e il Ministro della difesa per i profili di rispettiva competenza.
7. Il Presidente del Consiglio dei ministri nomina e revoca, con proprio decreto, il direttore dell'AISI, scelto tra i dirigenti di prima fascia o equiparati dell'amministrazione dello Stato, sentito il CISR.
L'incarico ha la durata massima di otto anni ed è conferibile, senza soluzione di continuità, anche con provvedimenti successivi, ciascuno dei quali di durata non superiore al quadriennio.
8. Il direttore dell'AISI riferisce costantemente sull'attività svolta al Presidente del Consiglio dei ministri o all'Autorità delegata, ove istituita, per il tramite del direttore generale del DIS. Riferisce direttamente al Presidente del Consiglio dei ministri in caso di urgenza o quando altre particolari circostanze lo richiedano, informandone senza ritardo il direttore generale del DIS; presenta al CISR, per il tramite del direttore generale del DIS, un rapporto annuale sul funzionamento e sull'organizzazione dell'Agenzia.
9. Il Presidente del Consiglio dei ministri nomina e revoca, sentito il direttore dell'AISI, uno o più vice direttori. Il direttore dell'AISI affida gli altri incarichi nell'ambito dell'Agenzia.
10. L'organizzazione e il funzionamento dell'AISI sono disciplinati con apposito regolamento.»
«Art. 43. (Procedura per l'adozione dei regolamenti). - 1. Salvo che non sia diversamente stabilito, le disposizioni regolamentari previste dalla presente legge sono emanate entro centottanta giorni dalla data della sua entrata in vigore, con uno o più decreti del Presidente del Consiglio dei ministri adottati anche in deroga all'articolo 17 della legge 23 agosto 1988, n. 400, e successive modificazioni, previo parere del Comitato parlamentare di cui all'articolo 30 e sentito il CISR.
2. I suddetti decreti stabiliscono il regime della loro pubblicità, anche in deroga alle norme vigenti.».

articolo successivo

nascondi