§ 81.1.77 - D.L. 21 settembre 2019, n. 105.
Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza [...]


Settore:Normativa nazionale
Materia:81. Pubblica sicurezza
Capitolo:81.1 disciplina generale
Data:21/09/2019
Numero:105


Sommario
Art. 1.  Perimetro di sicurezza nazionale cibernetica
Art. 2.  Personale per esigenze di funzionamento del CVCN e della Presidenza del Consiglio dei ministri
Art. 3.  Disposizioni in materia di reti di telecomunicazione elettronica a banda larga con tecnologia 5G
Art. 4.  Disposizioni in materia di infrastrutture e tecnologie critiche
Art. 4 bis.  Modifiche alla disciplina dei poteri speciali nei settori di rilevanza strategica
Art. 5.  Determinazioni del Presidente del Consiglio dei ministri in caso di crisi di natura cibernetica
Art. 6.  Copertura finanziaria
Art. 7.  Entrata in vigore


§ 81.1.77 - D.L. 21 settembre 2019, n. 105. [1]

Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica [2].

(G.U. 21 settembre 2019, n. 222)

 

Art. 1. Perimetro di sicurezza nazionale cibernetica

     1. Al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati aventi una sede nel territorio nazionale, da cui dipende l'esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale, è istituito il perimetro di sicurezza nazionale cibernetica [3].

     2. Entro quattro mesi dalla data di entrata in vigore della legge di conversione del presente decreto, con decreto del Presidente del Consiglio dei ministri, adottato su proposta del Comitato interministeriale per la sicurezza della Repubblica (CISR):

     a) sono definiti modalità e criteri procedurali di individuazione di amministrazioni pubbliche, enti e operatori pubblici e privati di cui al comma 1 aventi una sede nel territorio nazionale, inclusi nel perimetro di sicurezza nazionale cibernetica e tenuti al rispetto delle misure e degli obblighi previsti dal presente articolo; ai fini dell'individuazione, fermo restando che per gli Organismi di informazione per la sicurezza si applicano le norme previste dalla legge 3 agosto 2007, n. 124, si procede sulla base dei seguenti criteri:

     1) il soggetto esercita una funzione essenziale dello Stato, ovvero assicura un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato;

     2) l'esercizio di tale funzione o la prestazione di tale servizio dipende da reti, sistemi informativi e servizi informatici;

     2-bis) l'individuazione avviene sulla base di un criterio di gradualità, tenendo conto dell'entità del pregiudizio per la sicurezza nazionale che, in relazione alle specificità dei diversi settori di attività, può derivare dal malfunzionamento, dall'interruzione, anche parziali, ovvero dall'utilizzo improprio delle reti, dei sistemi informativi e dei servizi informatici predetti;

     b) sono definiti, sulla base di un'analisi del rischio e di un criterio di gradualità che tenga conto delle specificità dei diversi settori di attività, i criteri con i quali i soggetti di cui al comma 2-bis predispongono e aggiornano con cadenza almeno annuale un elenco delle reti, dei sistemi informativi e dei servizi informatici di cui al comma 1, di rispettiva pertinenza, comprensivo della relativa architettura e componentistica, fermo restando che, per le reti, i sistemi informativi e i servizi informatici attinenti alla gestione delle informazioni classificate, si applica quanto previsto dal regolamento adottato ai sensi dell'articolo 4, comma 3, lettera l), della legge 3 agosto 2007, n. 124; all'elaborazione di tali criteri provvede, adottando opportuni moduli organizzativi, il Tavolo interministeriale di cui all'articolo 6 del regolamento di cui al decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131; entro sei mesi dalla data della comunicazione, prevista dal comma 2-bis, a ciascuno dei soggetti iscritti nell'elenco di cui al medesimo comma, i soggetti pubblici e quelli di cui all'articolo 29 del codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, nonchè quelli privati, di cui al citato comma 2-bis, trasmettono tali elenchi all'Agenzia per la cybersicurezza nazionale, anche per le attività di prevenzione, preparazione e gestione di crisi cibernetiche affidate al Nucleo per la cybersicurezza; il Dipartimento delle informazioni per la sicurezza, l'Agenzia informazioni e sicurezza esterna (AISE) e l'Agenzia informazioni e sicurezza interna (AISI) ai fini dell'esercizio delle funzioni istituzionali previste dagli articoli 1, comma 3-bis, 4, 6 e 7 della legge n. 124 del 2007, nonchè l'organo del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, accedono a tali elenchi per il tramite della piattaforma digitale di cui all'articolo 9, comma 1, del regolamento di cui al decreto del Presidente del Consiglio dei ministri n. 131 del 2020, costituita presso l'Agenzia per la cybersicurezza nazionale [4].

     2-bis. L'elencazione dei soggetti individuati ai sensi del comma 2, lettera a), è contenuta in un atto amministrativo, adottato dal Presidente del Consiglio dei ministri, su proposta del CISR, entro trenta giorni dalla data di entrata in vigore del decreto del Presidente del Consiglio dei ministri di cui al comma 2. Il predetto atto amministrativo, per il quale è escluso il diritto di accesso, non è soggetto a pubblicazione, fermo restando che a ciascun soggetto è data, separatamente, comunicazione senza ritardo dell'avvenuta iscrizione nell'elenco. L'aggiornamento del predetto atto amministrativo è effettuato con le medesime modalità di cui al presente comma [5].

     2-ter. Gli elenchi dei soggetti di cui alla lettera a) del comma 2 del presente articolo sono trasmessi al Dipartimento delle informazioni per la sicurezza, che provvede anche a favore dell'AISE e dell'AISI ai fini dell'esercizio delle funzioni istituzionali previste dagli articoli 1, comma 3-bis, 4, 6 e 7 della legge 3 agosto 2007, n. 124 [6].

     3. Entro dieci mesi dalla data di entrata in vigore della legge di conversione del presente decreto, con decreto del Presidente del Consiglio dei ministri, che disciplina altresì i relativi termini e modalità attuative, adottato su proposta del CISR:

     a) sono definite le procedure secondo cui i soggetti di cui al comma 2-bis, notificano gli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui al comma 2, lettera b), al Gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT) italiano, che inoltra tali notifiche, tempestivamente, al Dipartimento delle informazioni per la sicurezza anche per le attività demandate al Nucleo per la sicurezza cibernetica; il Dipartimento delle informazioni per la sicurezza assicura la trasmissione delle notifiche così ricevute all'organo del Ministero dell'interno per la sicurezza e la regolarità dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, nonchè alla Presidenza del Consiglio dei ministri, se provenienti da un soggetto pubblico o da un soggetto di cui all'articolo 29 del decreto legislativo 7 marzo 2005, n. 82, ovvero al Ministero dello sviluppo economico, se effettuate da un soggetto privato;

     b) sono stabilite misure volte a garantire elevati livelli di sicurezza delle reti, dei sistemi informativi e dei servizi informatici di cui al comma 2, lettera b), tenendo conto degli standard definiti a livello internazionale e dell'Unione europea, relative:

     1) alla struttura organizzativa preposta alla gestione della sicurezza;

     1-bis) alle politiche di sicurezza e alla gestione del rischio;

     2) alla mitigazione e gestione degli incidenti e alla loro prevenzione, anche attraverso interventi su apparati o prodotti che risultino gravemente inadeguati sul piano della sicurezza;

     3) alla protezione fisica e logica e dei dati;

     4) all'integrità delle reti e dei sistemi informativi;

     5) alla gestione operativa, ivi compresa la continuità del servizio;

     6) al monitoraggio, test e controllo;

     7) alla formazione e consapevolezza;

     8) all'affidamento di forniture di beni, sistemi e servizi di information and communication technology (ICT), anche mediante definizione di caratteristiche e requisiti di carattere generale, di standard e di eventuali limiti [7].

     3-bis. Al di fuori dei casi di cui al comma 3, i soggetti di cui al comma 2-bis notificano gli incidenti di cui all'articolo 1, comma 1, lettera h), del regolamento di cui al decreto del Presidente del Consiglio dei ministri 14 aprile 2021, n. 81, aventi impatto su reti, sistemi informativi e servizi informatici di propria pertinenza diversi da quelli di cui al comma 2, lettera b), del presente articolo, fatta eccezione per quelli aventi impatto sulle reti, sui sistemi informativi e sui servizi informatici del Ministero della difesa, per i quali si applicano i principi e le modalità di cui all'articolo 528, comma 1, lettera d), del codice di cui al decreto legislativo 15 marzo 2010, n. 66. I medesimi soggetti effettuano la notifica entro il termine di settantadue ore. Si applicano, per la decorrenza del termine e per le modalità di notifica, in quanto compatibili, le disposizioni dell'articolo 3, comma 4, secondo e terzo periodo, del regolamento di cui al decreto del Presidente del Consiglio dei ministri 14 aprile 2021, n. 81. Si applicano, altresì, le disposizioni di cui all'articolo 4, commi 2 e 4, del medesimo regolamento. Con determinazioni tecniche del direttore generale, sentito il vice direttore generale, dell'Agenzia per la cybersicurezza nazionale, è indicata la tassonomia degli incidenti che debbono essere oggetto di notifica ai sensi del presente comma e possono essere dettate specifiche modalità di notifica [8].

     4. All'elaborazione delle misure di cui al comma 3, lettera b), provvedono, secondo gli ambiti di competenza delineati dal presente decreto, il Ministero dello sviluppo economico e la Presidenza del Consiglio dei ministri, d'intesa con il Ministero della difesa, il Ministero dell'interno, il Ministero dell'economia e delle finanze e il Dipartimento delle informazioni per la sicurezza.

     4-bis. Gli schemi dei decreti di cui ai commi 2 e 3 sono trasmessi alla Camera dei deputati e al Senato della Repubblica per l'espressione del parere delle Commissioni parlamentari competenti per materia, che si pronunciano nel termine di trenta giorni, decorso il quale il decreto può essere comunque adottato. I medesimi schemi sono altresì trasmessi al Comitato parlamentare per la sicurezza della Repubblica [9].

     4-ter. L'atto amministrativo di cui al comma 2-bis e i suoi aggiornamenti sono trasmessi, entro dieci giorni dall'adozione, al Comitato parlamentare per la sicurezza della Repubblica [10].

     5. Per l'aggiornamento di quanto previsto dai decreti di cui ai commi 2 e 3 si procede secondo le medesime modalità di cui ai commi 2, 3, 4 e 4-bis con cadenza almeno biennale [11].

     6. Con regolamento, adottato ai sensi dell'articolo 17, comma 1, della legge 23 agosto 1988, n. 400, entro dieci mesi dalla data di entrata in vigore della legge di conversione del presente decreto, sono disciplinati le procedure, le modalità e i termini con cui:

     a) i soggetti di cui al comma 2-bis, che intendano procedere, anche per il tramite delle centrali di committenza alle quali essi sono tenuti a fare ricorso ai sensi dell'articolo 1, comma 512, della legge 28 dicembre 2015, n. 208, all'affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici di cui al comma 2, lettera b), appartenenti a categorie individuate, sulla base di criteri di natura tecnica, con decreto del Presidente del Consiglio dei ministri, da adottare entro dieci mesi dalla data di entrata in vigore della legge di conversione del presente decreto, ne danno comunicazione al Centro di valutazione e certificazione nazionale (CVCN), istituito presso il Ministero dello sviluppo economico; la comunicazione comprende anche la valutazione del rischio associato all'oggetto della fornitura, anche in relazione all'ambito di impiego. L'obbligo di comunicazione di cui alla presente lettera è efficace a decorrere dal trentesimo giorno successivo alla pubblicazione nella Gazzetta Ufficiale della Repubblica italiana del decreto del Presidente del Consiglio dei ministri che, sentita l'Agenzia per la cybersicurezza nazionale, attesta l'operatività del CVCN e comunque dal 30giugno 2022. Entro quarantacinque giorni dalla ricezione della comunicazione, prorogabili di quindici giorni, una sola volta, in caso di particolare complessità, il CVCN può effettuare verifiche preliminari ed imporre condizioni e test di hardware e software da compiere anche in collaborazione con i soggetti di cui al comma 2-bis, secondo un approccio gradualmente crescente nelle verifiche di sicurezza. Decorso il termine di cui al precedente periodo senza che il CVCN si sia pronunciato, i soggetti che hanno effettuato la comunicazione possono proseguire nella procedura di affidamento. In caso di imposizione di condizioni e test di hardware e software, i relativi bandi di gara e contratti sono integrati con clausole che condizionano, sospensivamente ovvero risolutivamente, il contratto al rispetto delle condizioni e all'esito favorevole dei test disposti dal CVCN. I test devono essere conclusi nel termine di sessanta giorni. Decorso il termine di cui al precedente periodo, i soggetti che hanno effettuato la comunicazione possono proseguire nella procedura di affidamento. In relazione alla specificità delle forniture di beni, sistemi e servizi ICT da impiegare su reti, sistemi informativi e servizi informatici del Ministero dell'interno e del Ministero della difesa, individuati ai sensi del comma 2, lettera b), i predetti Ministeri, nell'ambito delle risorse umane e finanziarie disponibili a legislazione vigente e senza nuovi o maggiori oneri a carico della finanza pubblica, in coerenza con quanto previsto dal presente decreto, possono procedere, con le medesime modalità e i medesimi termini previsti dai periodi precedenti, attraverso la comunicazione ai propri Centri di valutazione accreditati per le attività di cui al presente decreto, ai sensi del comma 7, lettera b), che impiegano le metodologie di verifica e di test definite dal CVCN. Per tali casi i predetti Centri informano il CVCN con le modalità stabilite con il decreto del Presidente del Consiglio dei ministri, di cui al comma 7, lettera b). Non sono oggetto di comunicazione gli affidamenti delle forniture di beni, sistemi e servizi ICT destinate alle reti, ai sistemi informativi e ai servizi informatici per lo svolgimento delle attività di prevenzione, accertamento e repressione dei reati e i casi di deroga stabiliti dal medesimo regolamento con riguardo alle forniture di beni, sistemi e servizi ICT per le quali sia indispensabile procedere in sede estera, fermo restando, in entrambi i casi, l'utilizzo di beni, sistemi e servizi ICT conformi ai livelli di sicurezza di cui al comma 3, lettera b), salvo motivate esigenze connesse agli specifici impieghi cui essi sono destinati [12];

     b) i soggetti individuati quali fornitori di beni, sistemi e servizi destinati alle reti, ai sistemi informativi e ai servizi informatici di cui al comma 2, lettera b), assicurano al CVCN e, limitatamente agli ambiti di specifica competenza, ai Centri di valutazione operanti presso i Ministeri dell'interno e della difesa, di cui alla lettera a) del presente comma, la propria collaborazione per l'effettuazione delle attività di test di cui alla lettera a) del presente comma, sostenendone gli oneri; il CVCN segnala la mancata collaborazione al Ministero dello sviluppo economico, in caso di fornitura destinata a soggetti privati, o alla Presidenza del Consiglio dei ministri, in caso di fornitura destinata a soggetti pubblici ovvero a quelli di cui all'articolo 29 del codice di cui al decreto legislativo 7 marzo 2005, n. 82; sono inoltrate altresì alla Presidenza del Consiglio dei ministri le analoghe segnalazioni dei Centri di valutazione dei Ministeri dell'interno e della difesa, di cui alla lettera a);

     c) la Presidenza del Consiglio dei ministri, per i profili di pertinenza dei soggetti pubblici e di quelli di cui all'articolo 29 del codice dell'Amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, di cui al comma 2-bis, e il Ministero dello sviluppo economico, per i soggetti privati di cui al medesimo comma, svolgono attività di ispezione e verifica in relazione a quanto previsto dal comma 2, lettera b), dal comma 3, dal presente comma e dal comma 7, lettera b), impartendo, se necessario, specifiche prescrizioni; nello svolgimento delle predette attività di ispezione e verifica l'accesso, se necessario, a dati o metadati personali e amministrativi è effettuato in conformità a quanto previsto dal regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, e dal codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196; per le reti, i sistemi informativi e i servizi informatici di cui al comma 2, lettera b), connessi alla funzione di prevenzione e repressione dei reati, alla tutela dell'ordine e della sicurezza pubblica, alla difesa civile e alla difesa e sicurezza militare dello Stato, le attività di ispezione e verifica sono svolte, nell'ambito delle risorse umane e finanziarie disponibili a legislazione vigente e senza nuovi o maggiori oneri a carico della finanza pubblica, dalle strutture specializzate in tema di protezione di reti e sistemi, nonchè, nei casi in cui siano espressamente previste dalla legge, in tema di prevenzione e di contrasto del crimine informatico, delle amministrazioni da cui dipendono le Forze di polizia e le Forze armate, che ne comunicano gli esiti alla Presidenza del Consiglio dei ministri per i profili di competenza [13].

     7. Nell'ambito dell'approvvigionamento di prodotti, processi, servizi ICT e associate infrastrutture destinati alle reti, ai sistemi informativi e per l'espletamento dei servizi informatici di cui al comma 2, lettera b), il CVCN assume i seguenti compiti:

     a) contribuisce all'elaborazione delle misure di sicurezza di cui al comma 3, lettera b), per ciò che concerne l'affidamento di forniture di beni, sistemi e servizi ICT;

     b) ai fini della verifica delle condizioni di sicurezza e dell'assenza di vulnerabilità note, anche in relazione all'ambito di impiego, definisce le metodologie di verifica e di test e svolge le attività di cui al comma 6, lettera a), dettando, se del caso, anche prescrizioni di utilizzo al committente; a tali fini il CVCN si avvale anche di laboratori dallo stesso accreditati secondo criteri stabiliti da un decreto del Presidente del Consiglio dei ministri, adottato entro dieci mesi dalla data di entrata in vigore della legge di conversione del presente decreto, su proposta del CISR, impiegando, per le esigenze delle amministrazioni centrali dello Stato, quelli eventualmente istituiti, senza nuovi o maggiori oneri a carico della finanza pubblica, presso le medesime amministrazioni. Con lo stesso decreto sono altresì stabiliti i raccordi, ivi compresi i contenuti, le modalità e i termini delle comunicazioni, tra il CVCN e i predetti laboratori, nonchè tra il medesimo CVCN e i Centri di valutazione del Ministero dell'interno e del Ministero della difesa, di cui al comma 6, lettera a), anche al fine di assicurare il coordinamento delle rispettive attività e perseguire la convergenza e la non duplicazione delle valutazioni in presenza di medesimi condizioni e livelli di rischio;

     c) elabora e adotta, previo conforme avviso del Tavolo interministeriale di cui all'articolo 6 del decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131, schemi di certificazione cibernetica, tenendo conto degli standard definiti a livello internazionale e dell'Unione europea, laddove, per ragioni di sicurezza nazionale, gli schemi di certificazione esistenti non siano ritenuti adeguati alle esigenze di tutela del perimetro di sicurezza nazionale cibernetica [14].

     8. I soggetti di cui agli articoli 12 e 14 del decreto legislativo 18 maggio 2018, n. 65, e quelli di cui all'articolo 16-ter, comma 2, del codice delle comunicazioni elettroniche di cui al decreto legislativo 1 agosto 2003, n. 259, inclusi nel perimetro di sicurezza nazionale cibernetica:

     a) osservano le misure di sicurezza previste, rispettivamente, dai predetti decreti legislativi, ove di livello almeno equivalente a quelle adottate ai sensi del comma 3, lettera b), del presente articolo; le eventuali misure aggiuntive necessarie al fine di assicurare i livelli di sicurezza previsti dal presente decreto sono definite dall'Agenzia per la cybersicurezza nazionale [15];

     b) assolvono l'obbligo di notifica di cui al comma 3, lettera a), che costituisce anche adempimento, rispettivamente, dell'obbligo di notifica di cui agli articoli 12 e 14 del decreto legislativo 18 maggio 2018, n. 65, e dell'analogo obbligo previsto ai sensi dell'articolo 16-ter del codice di cui al decreto legislativo 1 agosto 2003, n. 259, e delle correlate disposizioni attuative; a tal fine, oltre a quanto previsto dal comma 3, lettera a), anche in relazione alle disposizioni di cui all'articolo 16-ter del codice di cui al decreto legislativo 1 agosto 2003, n. 259, il CSIRT italiano inoltra le notifiche ricevute ai sensi del predetto comma 3, lettera a), all'autorità nazionale competente NIS di cui all'articolo 7 del decreto legislativo 18 maggio 2018, n. 65 [16].

     9. Salvo che il fatto costituisca reato:

     a) il mancato adempimento degli obblighi di predisposizione, di aggiornamento e di trasmissione dell'elenco delle reti, dei sistemi informativi e dei servizi informatici di cui al comma 2, lettera b), è punito con la sanzione amministrativa pecuniaria da euro 200.000 a euro 1.200.000 [17];

     b) il mancato adempimento dell'obbligo di notifica di cui al comma 3, lettera a), nei termini prescritti, è punito con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000;

     c) l'inosservanza delle misure di sicurezza di cui al comma 3, lettera b), è punita con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000;

     d) la mancata comunicazione di cui al comma 6, lettera a), nei termini prescritti, è punita con la sanzione amministrativa pecuniaria da euro 300.000 a euro 1.800.000;

     e) l'impiego di prodotti e servizi sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici di cui al comma 2, lettera b), in violazione delle condizioni o in assenza del superamento dei test imposti dal CVCN ovvero dai Centri di valutazione di cui al comma 6, lettera a), è punito con la sanzione amministrativa pecuniaria da euro 300.000 a euro 1.800.000 [18];

     f) la mancata collaborazione per l'effettuazione delle attività di test di cui al comma 6, lettera a), da parte dei soggetti di cui al medesimo comma 6, lettera b), è punita con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000;

     g) il mancato adempimento delle prescrizioni indicate dal Ministero dello sviluppo economico o dalla Presidenza del Consiglio dei ministri in esito alle attività di ispezione e verifica svolte ai sensi del comma 6, lettera c), è punito con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000;

     h) il mancato rispetto delle prescrizioni di cui al comma 7, lettera b), è punito con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000.

     10. L'impiego di prodotti e di servizi sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici di cui al comma 2, lettera b), in assenza della comunicazione o del superamento dei test o in violazione delle condizioni di cui al comma 6, lettera a), comporta, oltre alle sanzioni di cui al comma 9, lettere d) ed e), l'applicazione della sanzione amministrativa accessoria della incapacità ad assumere incarichi di direzione, amministrazione e controllo nelle persone giuridiche e nelle imprese, per un periodo di tre anni a decorrere dalla data di accertamento della violazione [19].

     11. Chiunque, allo scopo di ostacolare o condizionare l'espletamento dei procedimenti di cui al comma 2, lettera b), o al comma 6, lettera a), o delle attività ispettive e di vigilanza previste dal comma 6, lettera c), fornisce informazioni, dati o elementi di fatto non rispondenti al vero, rilevanti per la predisposizione o l'aggiornamento degli elenchi di cui al comma 2, lettera b), o ai fini delle comunicazioni di cui al comma 6, lettera a), o per lo svolgimento delle attività ispettive e di vigilanza di cui al comma 6), lettera c) od omette di comunicare entro i termini prescritti i predetti dati, informazioni o elementi di fatto, è punito con la reclusione da uno a tre anni [20].

     11-bis. All'articolo 24-bis, comma 3, del decreto legislativo 8 giugno 2001, n. 231, dopo le parole: «di altro ente pubblico,» sono inserite le seguenti: «e dei delitti di cui all'articolo 1, comma 11, del decreto-legge 21 settembre 2019, n. 105,» [21].

     12. Le autorità competenti per l'accertamento delle violazioni e per l'irrogazione delle sanzioni amministrative sono la Presidenza del Consiglio dei ministri, per i soggetti pubblici e per i soggetti di cui all'articolo 29 del codice di cui al decreto legislativo 7 marzo 2005, n. 82, di cui al comma 2-bis, e il Ministero dello sviluppo economico, per i soggetti privati di cui al medesimo comma [22].

     13. Ai fini dell'accertamento e dell'irrogazione delle sanzioni amministrative di cui al comma 9, si osservano le disposizioni contenute nel capo I, sezioni I e II, della legge 24 novembre 1981, n. 689.

     14. Per i dipendenti dei soggetti pubblici di cui al comma 2-bis, la violazione delle disposizioni di cui al presente articolo può costituire causa di responsabilità disciplinare e amministrativo-contabile [23].

     15. Le autorità titolari delle attribuzioni di cui al presente decreto assicurano gli opportuni raccordi con il Dipartimento delle informazioni per la sicurezza e con l'organo del Ministero dell'interno per la sicurezza e la regolarità dei servizi di telecomunicazione, quale autorità di contrasto nell'esercizio delle attività di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155.

     16. La Presidenza del Consiglio dei Ministri, per lo svolgimento delle funzioni di cui al presente decreto può avvalersi dell'Agenzia per l'Italia Digitale (AgID) sulla base di apposite convenzioni, nell'ambito delle risorse finanziarie e umane disponibili a legislazione vigente, senza nuovi o maggiori oneri per la finanza pubblica.

     17. Al decreto legislativo 18 maggio 2018, n. 65, sono apportate le seguenti modificazioni:

     a) all'articolo 4, comma 5, dopo il primo periodo è aggiunto il seguente:

     «Il Ministero dello sviluppo economico inoltra tale elenco al punto di contatto unico e all'organo del Ministero dell'interno per la sicurezza e la regolarità dei servizi di telecomunicazione, di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155.»;

     b) all'articolo 9, comma 3, le parole «e il punto di contatto unico» sono sostituite dalle seguenti:

     «, il punto di contatto unico e l'organo del Ministero dell'interno per la sicurezza e la regolarità dei servizi di telecomunicazione, di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155,».

     18. Gli eventuali adeguamenti alle prescrizioni di sicurezza definite ai sensi del presente articolo, delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici di cui al comma 2-bis, sono effettuati con le risorse finanziarie disponibili a legislazione vigente [24].

     19. Per la realizzazione, l'allestimento e il funzionamento del CVCN di cui ai commi 6 e 7 è autorizzata la spesa di euro 3.200.000 per l'anno 2019 e di euro 2.850.000 per ciascuno degli anni dal 2020 al 2023 e di euro 750.000 annui a decorrere dall'anno 2024. Per la realizzazione, l'allestimento e il funzionamento del Centro di valutazione del Ministero dell'interno, di cui ai commi 6 e 7, è autorizzata la spesa di euro 200.000 per l'anno 2019 e di euro 1.500.000 per ciascuno degli anni 2020 e 2021 [25].

     19-bis. Il Presidente del Consiglio dei ministri coordina la coerente attuazione delle disposizioni del presente decreto che disciplinano il perimetro di sicurezza nazionale cibernetica, anche avvalendosi del Dipartimento delle informazioni per la sicurezza, che assicura gli opportuni raccordi con le autorità titolari delle attribuzioni di cui al presente decreto e con i soggetti di cui al comma 1 del presente articolo. Entro sessanta giorni dalla data di entrata in vigore del regolamento di cui al comma 6, il Presidente del Consiglio dei ministri trasmette alle Camere una relazione sulle attività svolte [26].

     19-ter. Nei casi in cui sui decreti del Presidente del Consiglio dei ministri previsti dal presente articolo è acquisito, ai fini della loro adozione, il parere del Consiglio di Stato, i termini ordinatori stabiliti dal presente articolo sono sospesi per un periodo di quarantacinque giorni [27].

 

     Art. 2. Personale per esigenze di funzionamento del CVCN e della Presidenza del Consiglio dei ministri

     1. Tenuto conto dell'esigenza di disporre di personale in possesso della professionalità necessaria per lo svolgimento delle funzioni del CVCN, di cui all'articolo 1, commi 6 e 7, il Ministero dello sviluppo economico è autorizzato ad assumere a tempo indeterminato, con incremento della vigente dotazione organica nel limite delle unità eccedenti, in aggiunta alle ordinarie facoltà assunzionali, un contingente massimo di settantasette unità di personale, di cui sessantasette di area terza e dieci di area seconda, nel limite di spesa di euro 3.005.000 annui a decorrere dall'anno 2020.

     2. Fino al completamento delle procedure di cui al comma 1, il Ministero dello sviluppo economico, fatte salve le unità dedicate all'assolvimento delle esigenze connesse alle operazioni condotte dalle Forze armate per la difesa nazionale anche nell'ambito del Trattato dell'Atlantico del Nord, può avvalersi, per le esigenze del CVCN di un contingente di personale non dirigenziale appartenente alle pubbliche amministrazioni di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, con esclusione del personale docente, educativo, amministrativo, tecnico e ausiliario delle istituzioni scolastiche, in posizione di fuori ruolo o di comando o altro analogo istituto previsto dai rispettivi ordinamenti ai sensi dell'articolo 17, comma 14, della legge 15 maggio 1997, n. 127, e dell'articolo 70, comma 12, del decreto legislativo 30 marzo 2001, n. 165, per un massimo del 40 per cento delle unità di personale di cui al comma 1. Nei limiti complessivi della stessa quota il Ministero dello sviluppo economico può avvalersi, in posizione di comando, di personale che non risulti impiegato in compiti operativi o specialistici con qualifiche o gradi non dirigenziali del comparto sicurezza-difesa fino a un massimo di venti unità, conservando lo stato giuridico e il trattamento economico fisso, continuativo ed accessorio, secondo quanto previsto dai rispettivi ordinamenti, con oneri a carico del Ministero dello sviluppo economico, ai sensi dell'articolo 1777, del codice dell'ordinamento militare di cui al decreto legislativo 15 marzo 2010, n. 66, e dell'articolo 2, comma 91, della legge 24 dicembre 2007, n. 244 [28].

     3. Per lo svolgimento delle funzioni in materia di digitalizzazione, la Presidenza del Consiglio dei ministri è autorizzata ad assumere con contratti di lavoro a tempo indeterminato, in aggiunta alle ordinarie facoltà assunzionali e con corrispondente incremento della dotazione organica, un contingente massimo di dieci unità di personale non dirigenziale, da inquadrare nella categoria funzionale A, parametro retributivo F1, nel limite di spesa di euro 640.000 annui a decorrere dall'anno 2020.

     4. Fino al completamento delle procedure di cui al comma 3, la Presidenza del Consiglio dei ministri, fatte salve le unità dedicate all'assolvimento delle esigenze connesse alle operazioni condotte dalle Forze armate per la difesa nazionale anche nel quadro del Trattato dell'Atlantico del Nord, può avvalersi, entro il limite del 40 per cento delle unità previste dal medesimo comma, di personale non dirigenziale appartenente alle pubbliche amministrazioni di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, con esclusione del personale docente, educativo, amministrativo, tecnico e ausiliario delle istituzioni scolastiche, in posizione di fuori ruolo, di comando o altro analogo istituto previsto dai rispettivi ordinamenti ai sensi dell'articolo 17, comma 14, della legge 15 maggio 1997, n. 127, e dell'articolo 9, comma 5-ter, del decreto legislativo 30 luglio 1999, n. 303, nonchè di esperti o consulenti, nominati ai sensi dell'articolo 7, comma 6, del decreto legislativo 30 marzo 2001, n. 165, in possesso di particolare e comprovata specializzazione in materia informatica [29].

     5. Il reclutamento del personale di cui ai commi 1 e 3 avviene mediante uno o più concorsi pubblici da espletare anche in deroga all'articolo 4, commi 3-quinquies e 3-sexies, del decreto-legge 31 agosto 2013, n. 101, convertito, con modificazioni, dalla legge 30 ottobre 2013, n. 125, e all'articolo 35, comma 5, del decreto legislativo 30 marzo 2001, n. 165. Resta in ogni caso ferma la possibilità da parte delle amministrazioni di avvalersi delle modalità semplificate e delle misure di riduzione dei tempi di reclutamento previste dall'articolo 3 della legge 19 giugno 2019, n. 56.

 

     Art. 3. Disposizioni in materia di reti di telecomunicazione elettronica a banda larga con tecnologia 5G [30]

     [1. I soggetti che intendono procedere all'acquisizione, a qualsiasi titolo, di beni, servizi e componenti di cui all'articolo 1-bis, comma 2, del decreto-legge 15 marzo 2012, n.21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, sono obbligati ad effettuare la comunicazione di cui all'articolo 1, comma 6, lettera a), per lo svolgimento delle verifiche di sicurezza da parte del CVCN sulla base delle procedure, modalità e termini previsti dal regolamento di attuazione. Ai fornitori dei predetti beni, servizi e componenti si applica l'articolo 1, comma 6, lettera b) [31].

     2. [Dalla data di entrata in vigore del regolamento previsto dall'articolo 1, comma 6, i poteri speciali di cui all'articolo 1-bis del decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, sono esercitati previa valutazione degli elementi indicanti la presenza di fattori di vulnerabilità che potrebbero compromettere l'integrità e la sicurezza delle reti e dei dati che vi transitano, da parte dei centri di valutazione di cui all'articolo 1, comma 6, lettera a), sulla base della disciplina prevista in attuazione del predetto regolamento] [32].

     3. [Entro sessanta giorni dalla data di entrata in vigore del regolamento di cui all'articolo 1, comma 6, le condizioni e le prescrizioni relative ai beni e servizi acquistati con contratti già autorizzati con decreti del Presidente del Consiglio dei ministri, adottati ai sensi dell'articolo 1-bis del decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, in data anteriore alla data di entrata in vigore del medesimo regolamento, qualora attinenti alle reti, ai sistemi informativi e ai servizi informatici inseriti negli elenchi di cui all'articolo 1, comma 2, lettera b), del presente decreto, possono essere modificate o integrate, con la procedura di cui al comma 2, del presente articolo, se, a seguito della valutazione svolta da parte dei centri di valutazione di cui all'articolo 1, comma 6, lettera a), emergono elementi indicanti la presenza di fattori di vulnerabilità che potrebbero compromettere l'integrità e la sicurezza delle reti e dei dati che vi transitano, con misure aggiuntive necessarie al fine di assicurare livelli di sicurezza equivalenti a quelli previsti dal presente decreto, anche prescrivendo la sostituzione di apparati o prodotti, ove indispensabile al fine di risolvere le vulnerabilità accertate] [33].]

 

     Art. 4. Disposizioni in materia di infrastrutture e tecnologie critiche

     (Omissis). [34]

 

     Art. 4 bis. Modifiche alla disciplina dei poteri speciali nei settori di rilevanza strategica [35]

     1. Al fine di rafforzare la tutela della sicurezza nazionale in ambiti di rilevanza strategica, al decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, sono apportate le seguenti modificazioni:

     a) all'articolo 1:

     1) al comma 1, alinea, la parola: "contestualmente" è sostituita dalle seguenti: "tempestivamente e per estratto";

     2) al comma 1, lettera b):

     2.1) dopo le parole: "all'adozione di delibere" sono inserite le seguenti: ", atti od operazioni";

     2.2) le parole: "il mutamento" sono sostituite dalle seguenti: "la modifica";

     2.3) dopo le parole: "di vincoli che ne condizionino l'impiego" sono aggiunte le seguenti: ", anche in ragione della sottoposizione dell'impresa a procedure concorsuali";

     3) al comma 2:

     3.1) dopo le parole: "derivante dalle delibere" sono inserite le seguenti: ", dagli atti o dalle operazioni";

     3.2) dopo le parole: "oggetto della delibera," sono inserite le seguenti: "dell'atto o dell'operazione,";

     3.3) dopo le parole: "risultante dalla delibera" sono inserite le seguenti: ", dall'atto";

     4) dopo il comma 3 è inserito il seguente:

     "3-bis. Qualora l'acquisto delle partecipazioni di cui al comma 1, lettere a) e c), sia effettuato da un soggetto esterno all'Unione europea, di cui all'articolo 2, comma 5-bis, il Governo può considerare altresì le seguenti circostanze:

     a) che l'acquirente sia direttamente o indirettamente controllato dall'amministrazione pubblica, compresi organismi statali o forze armate, di un Paese non appartenente all'Unione europea, anche attraverso l'assetto proprietario o finanziamenti consistenti;

     b) che l'acquirente sia già stato coinvolto in attività che incidono sulla sicurezza o sull'ordine pubblico in uno Stato membro dell'Unione europea;

     c) che vi sia un grave rischio che l'acquirente intraprenda attività illegali o criminali";

     5) al comma 4:

     5.1) al primo periodo, le parole: "o sull'atto" sono sostituite dalle seguenti: ", sull'atto o sull'operazione";

     5.2) al terzo periodo, la parola: "quindici" è sostituita dalla seguente: "quarantacinque";

     5.3) dopo il quarto periodo è inserito il seguente: "Qualora si renda necessario formulare richieste istruttorie a soggetti terzi, il predetto termine di quarantacinque giorni è sospeso, per una sola volta, fino al ricevimento delle informazioni richieste, che sono rese entro il termine di venti giorni";

     5.4) al quinto periodo, dopo le parole: "Le richieste di informazioni" sono inserite le seguenti: "e le richieste istruttorie a soggetti terzi";

     5.5) dopo il quinto periodo è inserito il seguente: "In caso di incompletezza della notifica, il termine di quarantacinque giorni previsto dal presente comma decorre dal ricevimento delle informazioni o degli elementi che la integrano";

     5.6) al decimo periodo, le parole: "le disposizioni di cui al presente comma" sono sostituite dalle seguenti: "gli obblighi di cui al presente comma, ivi compresi quelli derivanti dal provvedimento di esercizio del potere di cui al comma 1, lettera b), eventualmente esercitato nella forma dell'imposizione di specifiche prescrizioni o condizioni,";

     6) al comma 5:

     6.1) al secondo periodo, le parole: "prevista dall'articolo 120, comma 2, del testo unico di cui al decreto legislativo 24 febbraio 1998, n. 58, e successive modificazioni" sono sostituite dalle seguenti: "del 3 per cento";

     6.2) al secondo periodo, le parole: "3 per cento," sono soppresse;

     6.3) al secondo periodo, le parole: "20 per cento e 25 per cento" sono sostituite dalle seguenti: "20 per cento, 25 per cento e 50 per cento";

     6.4) dopo il secondo periodo è inserito il seguente: "Nel caso in cui l'acquisizione abbia ad oggetto azioni o quote di una società non ammessa alla negoziazione nei mercati regolamentati, la notifica deve essere effettuata qualora l'acquirente venga a detenere, a seguito dell'acquisizione, una partecipazione superiore alle soglie indicate nel secondo periodo";

     6.5) al terzo periodo, la parola: "quindici" è sostituita dalla seguente: "quarantacinque";

     6.6) dopo il quarto periodo è inserito il seguente: "Qualora si renda necessario formulare richieste istruttorie a soggetti terzi, il predetto termine di quarantacinque giorni è sospeso, per una sola volta, fino al ricevimento delle informazioni richieste, che sono rese entro il termine di venti giorni";

     6.7) al quinto periodo, dopo le parole: "Eventuali richieste di informazioni" sono inserite le seguenti: "e richieste istruttorie a soggetti terzi";

     6.8) dopo il quinto periodo è inserito il seguente: "In caso di incompletezza della notifica, il termine di quarantacinque giorni previsto dal presente comma decorre dal ricevimento delle informazioni o degli elementi che la integrano";

     6.9) al sesto periodo, dopo le parole: "connessi alle azioni" sono inserite le seguenti: "o quote";

     6.10) al decimo periodo, dopo le parole: "connessi alle azioni" sono inserite le seguenti: "o quote" e dopo le parole: "dovrà cedere le stesse azioni" sono inserite le seguenti: "o quote";

     6.11) all'undicesimo periodo, dopo le parole: "la vendita delle suddette azioni" sono inserite le seguenti: "o quote";

     6.12) al dodicesimo periodo, dopo le parole: "adottate con il voto determinante di tali azioni" sono inserite le seguenti: "o quote";

 

     b) all'articolo 1-bis:

     1) al comma 2, primo periodo:

     1.1) le parole: "l'acquisto" sono sostituite dalle seguenti: "l'acquisizione, a qualsiasi titolo,";

     1.2) dopo le parole: "ovvero l'acquisizione" sono inserite le seguenti: ", a qualsiasi titolo,";

     1.3) le parole: "sono soggetti alla notifica di cui all'articolo 1, comma 4" sono sostituite dalle seguenti: "è soggetta alla notifica di cui al comma 3-bis";

     2) dopo il comma 2 è inserito il seguente:

     "2-bis. In sede di prima applicazione delle disposizioni di cui al comma 2, l'impresa notificante fornisce un'informativa completa sui contratti o accordi di cui al primo periodo del medesimo comma 2, conclusi prima del 26 marzo 2019 e che non sono in corso di esecuzione";

     3) il comma 3 è sostituito dal seguente:

     "3. Per le finalità di cui ai commi 2 e 2-bis, per soggetto esterno all'Unione europea si intende il soggetto di cui all'articolo 2, comma 5-bis";

     4) dopo il comma 3 è inserito il seguente:

     "3-bis. Entro dieci giorni dalla conclusione di un contratto o accordo di cui al comma 2, l'impresa che ha acquisito, a qualsiasi titolo, i beni o i servizi di cui allo stesso comma notifica alla Presidenza del Consiglio dei ministri un'informativa completa, in modo da consentire l'eventuale esercizio del potere di veto o l'imposizione di specifiche prescrizioni o condizioni. Entro trenta giorni dalla notifica, il Presidente del Consiglio dei ministri comunica l'eventuale veto ovvero l'imposizione di specifiche prescrizioni o condizioni. Qualora sia necessario svolgere approfondimenti riguardanti aspetti tecnici relativi alla valutazione di possibili fattori di vulnerabilità che potrebbero compromettere l'integrità e la sicurezza delle reti e dei dati che vi transitano, il termine di trenta giorni previsto dal presente comma può essere prorogato fino a venti giorni, prorogabili ulteriormente di venti giorni, per una sola volta, in casi di particolare complessità. I poteri speciali sono esercitati nella forma dell'imposizione di specifiche prescrizioni o condizioni ogniqualvolta ciò sia sufficiente ad assicurare la tutela degli interessi essenziali della difesa e della sicurezza nazionale. Decorsi i predetti termini, i poteri speciali si intendono non esercitati. Qualora si renda necessario richiedere informazioni all'acquirente, tale termine è sospeso, per una sola volta, fino al ricevimento delle informazioni richieste, che sono rese entro il termine di dieci giorni. Qualora si renda necessario formulare richieste istruttorie a soggetti terzi, il predetto termine di trenta giorni è sospeso, per una sola volta, fino al ricevimento delle informazioni richieste, che sono rese entro il termine di venti giorni. Le richieste di informazioni e le richieste istruttorie a soggetti terzi successive alla prima non sospendono i termini. In caso di incompletezza della notifica, il termine di trenta giorni previsto dal presente comma decorre dal ricevimento delle informazioni o degli elementi che la integrano. Fermo restando quanto previsto dall'ultimo periodo del presente comma, nel caso in cui l'impresa notificante abbia iniziato l'esecuzione del contratto o dell'accordo oggetto della notifica prima che sia decorso il termine per l'esercizio dei poteri speciali, il Governo, nel provvedimento di esercizio dei predetti poteri, può ingiungere all'impresa di ripristinare a proprie spese la situazione anteriore all'esecuzione del predetto contratto o accordo. Salvo che il fatto costituisca reato, chiunque non osservi gli obblighi di notifica di cui al presente articolo ovvero le disposizioni contenute nel provvedimento di esercizio dei poteri speciali è soggetto alla sanzione amministrativa pecuniaria fino al 150 per cento del valore dell'operazione e comunque non inferiore al 25 per cento del medesimo valore";

 

     c) all'articolo 2:

     1) il comma 1 è sostituito dal seguente:

     "1. Con uno o più decreti del Presidente del Consiglio dei ministri, su proposta del Ministro dell'economia e delle finanze, del Ministro dello sviluppo economico e del Ministro delle infrastrutture e dei trasporti, di concerto con il Ministro dell'interno, con il Ministro degli affari esteri e della cooperazione internazionale e con i Ministri competenti per settore, adottati, anche in deroga all'articolo 17 della legge 23 agosto 1988, n. 400, previo parere delle Commissioni parlamentari competenti, che è reso entro trenta giorni, decorsi i quali i decreti possono comunque essere adottati, sono individuati le reti e gli impianti, ivi compresi quelli necessari ad assicurare l'approvvigionamento minimo e l'operatività dei servizi pubblici essenziali, i beni e i rapporti di rilevanza strategica per l'interesse nazionale nei settori dell'energia, dei trasporti e delle comunicazioni, nonchè la tipologia di atti od operazioni all'interno di un medesimo gruppo ai quali non si applica la disciplina di cui al presente articolo. I decreti di cui al primo periodo sono adottati entro centoventi giorni dalla data di entrata in vigore della presente disposizione e sono aggiornati almeno ogni tre anni";

     2) il comma 1-bis è abrogato;

     3) il comma 1-ter è sostituito dal seguente:

     "1-ter. Con uno o più decreti del Presidente del Consiglio dei ministri, su proposta del Ministro dell'economia e delle finanze, del Ministro dello sviluppo economico e del Ministro delle infrastrutture e dei trasporti, di concerto con il Ministro dell'interno, con il Ministro della difesa, con il Ministro degli affari esteri e della cooperazione internazionale e con i Ministri competenti per settore, adottati anche in deroga all'articolo 17 della legge 23 agosto 1988, n. 400, previo parere delle Commissioni parlamentari competenti, che è reso entro trenta giorni, decorsi i quali i decreti possono comunque essere adottati, sono individuati, ai fini della verifica in ordine alla sussistenza di un pericolo per la sicurezza e l'ordine pubblico, compreso il possibile pregiudizio alla sicurezza e al funzionamento delle reti e degli impianti e alla continuità degli approvvigionamenti, i beni e i rapporti di rilevanza strategica per l'interesse nazionale, ulteriori rispetto a quelli individuati nei decreti di cui all'articolo 1, comma 1, e al comma 1 del presente articolo, nei settori di cui all'articolo 4, paragrafo 1, del regolamento (UE) 2019/452 del Parlamento europeo e del Consiglio, del 19 marzo 2019, nonchè la tipologia di atti od operazioni all'interno di un medesimo gruppo ai quali non si applica la disciplina di cui al presente articolo. I decreti di cui al primo periodo sono adottati entro centoventi giorni dalla data di entrata in vigore della presente disposizione e sono aggiornati almeno ogni tre anni";

     4) al comma 2, primo periodo:

     4.1) le parole: "adottato da una società" sono sostituite dalle seguenti: "adottato da un'impresa";

     4.2) le parole: "o 1-ter" sono soppresse;

     4.3) le parole: "il mutamento dell'oggetto sociale" sono sostituite dalle seguenti: "la modifica dell'oggetto sociale";

     4.4) le parole: "dalla società stessa" sono sostituite dalle seguenti: "dalla stessa impresa";

     5) dopo il comma 2 è inserito il seguente:

     "2-bis. Qualsiasi delibera, atto od operazione, adottato da un'impresa che detiene uno o più degli attivi individuati ai sensi del comma 1-ter, che abbia per effetto modifiche della titolarità, del controllo o della disponibilità degli attivi medesimi a favore di un soggetto esterno all'Unione europea, di cui al comma 5-bis, comprese le delibere dell'assemblea o degli organi di amministrazione aventi ad oggetto la fusione o la scissione della società, il trasferimento dell'azienda o di rami di essa in cui siano compresi detti attivi o l'assegnazione degli stessi a titolo di garanzia, il trasferimento di società controllate che detengono i predetti attivi, ovvero che abbia per effetto il trasferimento della sede sociale in un Paese non appartenente all'Unione europea, è notificato, entro dieci giorni e comunque prima che vi sia data attuazione, alla Presidenza del Consiglio dei ministri dalla stessa impresa. Sono notificati altresì nei medesimi termini qualsiasi delibera, atto od operazione, adottato da un'impresa che detiene uno o più degli attivi individuati ai sensi del comma 1-ter, che abbia per effetto il cambiamento della loro destinazione, nonchè qualsiasi delibera che abbia ad oggetto la modifica dell'oggetto sociale, lo scioglimento della società o la modifica di clausole statutarie eventualmente adottate ai sensi dell'articolo 2351, terzo comma, del codice civile ovvero introdotte ai sensi dell'articolo 3, comma 1, del decreto-legge 31 maggio 1994, n. 332, convertito, con modificazioni, dalla legge 30 luglio 1994, n. 474, come da ultimo modificato dall'articolo 3 del presente decreto";

     6) al comma 3:

     6.1) la parola: "contestualmente" è sostituita dalle seguenti: "tempestivamente e per estratto";

     6.2) le parole: "di cui al comma 2" sono sostituite dalle seguenti: "di cui ai commi 2 e 2-bis";

     7) al comma 4:

     7.1) al primo periodo, le parole: "la notifica di cui al comma 2" sono sostituite dalle seguenti: "le notifiche di cui ai commi 2 e 2-bis";

     7.2) al terzo periodo, la parola: "quindici" è sostituita dalla seguente: "quarantacinque";

     7.3) dopo il quarto periodo è inserito il seguente: "Qualora si renda necessario formulare richieste istruttorie a soggetti terzi, il predetto termine di quarantacinque giorni è sospeso, per una sola volta, fino al ricevimento delle informazioni richieste, che sono rese entro il termine di venti giorni";

     7.4) al quinto periodo, dopo le parole: "Le richieste di informazioni" sono inserite le seguenti: "e le richieste istruttorie a soggetti terzi";

     7.5) dopo il quinto periodo è inserito il seguente: "In caso di incompletezza della notifica, il termine di quarantacinque giorni previsto dal presente comma decorre dal ricevimento delle informazioni o degli elementi che la integrano";

     7.6) all'ultimo periodo, le parole: "di cui al comma 2 e al presente comma" sono sostituite dalle seguenti: "di cui ai commi 2 e 2-bis e al presente comma";

     8) al comma 5:

     8.1) il terzo periodo è soppresso;

     8.2) è aggiunto, in fine, il seguente periodo: "Salvo che il fatto costituisca reato e ferme restando le invalidità previste dalla legge, chiunque non osservi gli obblighi di notifica di cui al presente comma è soggetto a una sanzione amministrativa pecuniaria fino al doppio del valore dell'operazione e comunque non inferiore all'1 per cento del fatturato cumulato realizzato dalle imprese coinvolte nell'ultimo esercizio per il quale sia stato approvato il bilancio";

     9) dopo il comma 5 è inserito il seguente:

     "5-bis. Per le finalità di cui agli articoli 1, comma 3-bis, e 1-bis, commi 2 e 2-bis, nonchè di cui ai commi 2-bis, 5 e 6 del presente articolo, per 'soggetto esterno all'Unione europeà si intende:

     a) qualsiasi persona fisica o persona giuridica che non abbia la residenza, la dimora abituale, la sede legale o dell'amministrazione ovvero il centro di attività principale in uno Stato membro dell'Unione europea o dello Spazio economico europeo o che non sia comunque ivi stabilita;

     b) qualsiasi persona giuridica che abbia stabilito la sede legale o dell'amministrazione o il centro di attività principale in uno Stato membro dell'Unione europea o dello Spazio economico europeo, o che sia comunque ivi stabilita, e che risulti controllata, direttamente o indirettamente, da una persona fisica o da una persona giuridica di cui alla lettera a);

     c) qualsiasi persona fisica o persona giuridica che abbia stabilito la residenza, la dimora abituale, la sede legale o dell'amministrazione ovvero il centro di attività principale in uno Stato membro dell'Unione europea o dello Spazio economico europeo, o che sia comunque ivi stabilita, qualora sussistano elementi che indichino un comportamento elusivo rispetto all'applicazione della disciplina di cui al presente decreto";

     10) al comma 6:

     10.1) al primo periodo, la parola: "quindici" è sostituita dalla seguente: "quarantacinque" e la parola: "contestualmente" è sostituita dalle seguenti: "tempestivamente e per estratto";

     10.2) dopo il primo periodo sono inseriti i seguenti: "Qualora si renda necessario richiedere informazioni all'acquirente, il termine di cui al primo periodo è sospeso, per una sola volta, fino al ricevimento delle informazioni richieste, che sono rese entro il termine di dieci giorni. Qualora si renda necessario formulare richieste istruttorie a soggetti terzi, il predetto termine di quarantacinque giorni è sospeso, per una sola volta, fino al ricevimento delle informazioni richieste, che sono rese entro il termine di venti giorni. Le richieste di informazioni e le richieste istruttorie a soggetti terzi successive alla prima non sospendono i termini, decorsi i quali i poteri speciali si intendono non esercitati. In caso di incompletezza della notifica, il termine di quarantacinque giorni previsto dal presente comma decorre dal ricevimento delle informazioni o degli elementi che la integrano";

     10.3) all'ottavo periodo, dopo le parole: "connessi alle azioni" sono inserite le seguenti: "o quote" e dopo le parole: "dovrà cedere le stesse azioni" sono inserite le seguenti: "o quote";

     10.4) al nono periodo, dopo le parole: "ordina la vendita delle suddette azioni" sono inserite le seguenti: "o quote";

     10.5) al decimo periodo, dopo le parole: "con il voto determinante di tali azioni" sono inserite le seguenti: "o quote";

     10.6) all'ultimo periodo, le parole: "la circostanza che l'investitore straniero è controllato dal governo di un paese terzo, non appartenente all'Unione europea, anche attraverso finanziamenti significativi" sono sostituite dalle seguenti: "le seguenti circostanze:

     a) che l'acquirente sia direttamente o indirettamente controllato dall'amministrazione pubblica, compresi organismi statali o forze armate, di un Paese non appartenente all'Unione europea, anche attraverso l'assetto proprietario o finanziamenti consistenti;

     b) che l'acquirente sia già stato coinvolto in attività che incidono sulla sicurezza o sull'ordine pubblico in uno Stato membro dell'Unione europea;

     c) che vi sia un grave rischio che l'acquirente intraprenda attività illegali o criminali";

     11) al comma 8, le parole: "individuate con i regolamenti" sono sostituite dalle seguenti: "individuate con i decreti";

 

     d) dopo l'articolo 2 sono inseriti i seguenti:

     "Art. 2 bis. (Collaborazione con autorità amministrative di settore). - 1. La Banca d'Italia, la Commissione nazionale per le società e la borsa, la Commissione di vigilanza sui fondi pensione, l'Istituto per la vigilanza sulle assicurazioni, l'Autorità di regolazione dei trasporti, l'Autorità garante della concorrenza e del mercato, l'Autorità per le garanzie nelle comunicazioni, l'Autorità di regolazione per energia, reti e ambiente e il gruppo di coordinamento istituito ai sensi dell'articolo 3 del decreto del Presidente del Consiglio dei ministri 6 agosto 2014 collaborano tra loro, anche mediante scambio di informazioni, al fine di agevolare l'esercizio delle funzioni di cui al presente decreto. Le autorità indicate al primo periodo, esclusivamente per le finalità di cui al medesimo periodo, non possono opporre al gruppo di coordinamento il segreto d'ufficio.

 

     Art. 2 ter. (Adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2019/452 e termini per l'esercizio dei poteri speciali). - 1. Qualora uno Stato membro o la Commissione notifichi, ai sensi dell'articolo 6, paragrafo 6, del regolamento (UE) 2019/452 del Parlamento europeo e del Consiglio, del 19 marzo 2019, l'intenzione di formulare osservazioni o di emettere un parere in relazione ad un investimento estero diretto oggetto di un procedimento in corso, i termini per l'esercizio dei poteri speciali indicati agli articoli 1 e 2 sono sospesi fino al ricevimento delle osservazioni dello Stato membro o del parere della Commissione europea. Se il parere della Commissione europea è successivo alle osservazioni dello Stato membro, i termini per l'esercizio dei poteri speciali riprendono a decorrere dalla data di ricevimento del parere della Commissione. I termini per l'esercizio dei poteri speciali sono altresì sospesi nel caso in cui il Governo, ai sensi dell'articolo 6, paragrafo 4, del citato regolamento (UE) 2019/452, richieda alla Commissione di emettere un parere o agli altri Stati membri di formulare osservazioni in relazione a un procedimento in corso ai sensi del presente articolo. È fatta salva la possibilità di esercitare i poteri speciali anche prima del ricevimento del parere della Commissione o delle osservazioni degli Stati membri, nei casi in cui la tutela della sicurezza nazionale o dell'ordine pubblico richiedano l'adozione di una decisione immediata ai sensi dell'articolo 6, paragrafo 8, del medesimo regolamento (UE) 2019/452.

     2. Con regolamento emanato ai sensi dell'articolo 17, comma 2, della legge 23 agosto 1988, n. 400, su proposta del Presidente del Consiglio dei ministri, di concerto con il Ministro dell'economia e delle finanze e, per i rispettivi ambiti di competenza, con i Ministri degli affari esteri e della cooperazione internazionale, dell'interno, della difesa, dello sviluppo economico e delle infrastrutture e dei trasporti, nonchè con i Ministri competenti per settore, possono essere ridisciplinati i termini di cui agli articoli 1 e 2 del presente decreto, al fine di individuare procedure semplificate, tenuto conto del grado di potenziale pregiudizio per gli interessi essenziali della difesa, della sicurezza nazionale e dell'ordine pubblico, compresi quelli relativi alla sicurezza e al funzionamento delle reti e degli impianti e alla continuità degli approvvigionamenti, nonchè dell'esigenza di assicurare l'armonizzazione delle procedure nazionali con quelle relative ai meccanismi di controllo, scambio di informazione e cooperazione definiti ai sensi del regolamento (UE) 2019/452.

     3. Il punto di contatto di cui all'articolo 11 del regolamento (UE) 2019/452 è istituito presso la Presidenza del Consiglio dei ministri. L'organizzazione e il funzionamento del punto di contatto sono disciplinati con decreto del Presidente del Consiglio dei ministri, adottato ai sensi dell'articolo 7 del decreto legislativo 30 luglio 1999, n. 303, nell'ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente e senza nuovi o maggiori oneri a carico della finanza pubblica";

 

     e) all'articolo 3:

     1) al comma 1, le parole: "comma 5, ultimo periodo" sono sostituite dalle seguenti: "comma 5-bis" e le parole: "e dell'articolo 2, comma 1" sono sostituite dalle seguenti: "e dell'articolo 2, commi 1 e 1-ter";

     2) al comma 2:

     2.1) al primo periodo, le parole: "e dei regolamenti, relativi a ciascun settore, di cui all'articolo 2, comma 1, del presente decreto" sono sostituite dalle seguenti: "e dei decreti, relativi a ciascun settore, di cui all'articolo 2, commi 1 e 1-ter, del presente decreto";

     2.2) al secondo periodo, le parole: "ovvero dei regolamenti" sono soppresse.

 

     2. Le disposizioni introdotte dal comma 1 del presente articolo, ad esclusione di quelle di cui al medesimo comma 1, lettera d), capoverso Art. 2-ter, si applicano anche ai procedimenti in corso alla data di entrata in vigore della legge di conversione del presente decreto; i termini non ancora trascorsi alla medesima data, ferma restando la data di inizio del loro decorso, sono prorogati fino al raggiungimento della durata stabilita dal presente articolo, se maggiore di quella anteriormente prevista.

     3. Fino alla data di entrata in vigore del primo decreto del Presidente del Consiglio dei ministri di cui all'articolo 2, comma 1-ter, del decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, come sostituito dal comma 1, lettera c), numero 3), del presente articolo, fatta salva l'applicazione degli articoli 1 e 2 del citato decreto-legge, come modificati dal presente articolo, è soggetto alla notifica di cui al comma 5 dell'articolo 2 del medesimo decreto-legge n. 21 del 2012 l'acquisto a qualsiasi titolo di partecipazioni in società che detengono beni e rapporti nei settori di cui all'articolo 4, paragrafo 1, lettere a), b), c), d) ed e), del regolamento (UE) 2019/452 del Parlamento europeo e del Consiglio, del 19 marzo 2019, intendendosi compresi nel settore finanziario i settori creditizio e assicurativo, e, nel settore sanitario, la produzione, l'importazione e la distribuzione all'ingrosso di dispositivi medicali, medico-chirurgici e di protezione individuale [36].

     3-bis. Al fine di contrastare l'emergenza epidemiologica da COVID-19 e contenerne gli effetti negativi, fino al 31 dicembre 2022:

     a) sono soggetti all'obbligo di notifica di cui al comma 2 dell'articolo 2 del decreto-legge n. 21 del 2012, anche le delibere, gli atti o le operazioni, adottati da un'impresa che detiene beni e rapporti nei settori di cui all'articolo 4, paragrafo 1, lettere a), b), c), d) ed e) del regolamento (UE) 2019/452, intendendosi compresi nel settore finanziario i settori creditizio e assicurativo, nonchè le delibere, gli atti o le operazioni individuati con decreto del Presidente del Consiglio dei ministri di cui al citato articolo 2, comma 1-ter, del decreto-legge n. 21 del 2012, che abbiano per effetto modifiche della titolarità, del controllo o della disponibilità di detti attivi o il cambiamento della loro destinazione;

     b) sono soggetti all'obbligo di notifica di cui al comma 5 dell'articolo 2 del medesimo decreto-legge n. 21 del 2012, in relazione ai beni e ai rapporti di cui al comma 1 dell'articolo 2, del medesimo decreto-legge n. 21 del 2012, nonchè ai beni e rapporti nei settori indicati alla lettera a), ovvero individuati con decreto del Presidente del Consiglio dei ministri di cui al citato articolo 2, comma 1-ter, del decreto- legge n. 21 del 2012, anche gli acquisti a qualsiasi titolo di partecipazioni, da parte di soggetti esteri, anche appartenenti all'Unione europea, di rilevanza tale da determinare l'insediamento stabile dell'acquirente in ragione dell'assunzione del controllo della società la cui partecipazione è oggetto dell'acquisto, ai sensi dell'articolo 2359 del codice civile e del testo unico di cui al decreto legislativo 24 febbraio 1998, n. 58;

     c) la disposizione di cui all'articolo 2, comma 6, lettera a), del decreto-legge n. 21 del 2012, si applica anche quando il controllo ivi previsto sia esercitato da un'amministrazione pubblica di uno Stato membro dell'Unione europea [37].

     3-ter. Si applicano le disposizioni dell'articolo 2, commi 6 e 7, del citato decreto-legge n. 21 del 2012, come modificato dal presente articolo [38].

     3-quater. Le disposizioni di cui ai commi 3 e 3-bis aventi vigenza fino al 31 dicembre 2022 si applicano nei confronti di delibere, atti o operazioni, nonchè di acquisti di partecipazioni, rilevanti ai fini degli obblighi di notifica di cui ai commi 2 e 5 dell'articolo 2 del decreto-legge n. 21 del 2012, per i quali tale obbligo sia sorto nel predetto arco temporale, ancorchè la notifica sia intervenuta successivamente o sia stata omessa. Restano validi, anche successivamente al termine del 31 dicembre 2022, gli atti e i provvedimenti adottati a seguito di esercizio dei poteri speciali in applicazione delle disposizioni dei commi 3 e 3-bis, e sono fatti salvi gli effetti prodottisi ed i rapporti giuridici sorti sulla base degli stessi atti e provvedimenti successivamente al decorso del predetto termine. Fermo restando l'obbligo di notifica, i poteri speciali di cui all'articolo 2 del decreto-legge n. 21 del 2012 relativi a società che detengono beni e rapporti nei settori di cui all'articolo 4, paragrafo 1, lettere a), b), c), d) e e) del regolamento (UE) 2019/452, intendendosi compresi nel settore finanziario i settori creditizio e assicurativo, si applicano nella misura in cui la tutela degli interessi essenziali dello Stato, ovvero la tutela della sicurezza e dell'ordine pubblico, previsti dal medesimo articolo 2, non sia adeguatamente garantita dalla sussistenza di una specifica regolamentazione di settore [39].

     4. Fino alla data di entrata in vigore dei decreti di cui ai commi 1 e 1-ter dell'articolo 2 del decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, come sostituiti dal presente articolo, continuano ad avere efficacia i regolamenti adottati in attuazione delle norme previgenti modificate dal presente articolo.

 

     Art. 5. Determinazioni del Presidente del Consiglio dei ministri in caso di crisi di natura cibernetica

     1. Il Presidente del Consiglio dei ministri, in presenza di un rischio grave e imminente per la sicurezza nazionale connesso alla vulnerabilità di reti, sistemi informativi e servizi informatici, su deliberazione del Comitato interministeriale per la sicurezza della Repubblica, può comunque disporre, ove indispensabile e per il tempo strettamente necessario alla eliminazione dello specifico fattore di rischio o alla sua mitigazione, in deroga ad ogni disposizione vigente, nel rispetto dei principi generali dell'ordinamento giuridico e secondo un criterio di proporzionalità, la disattivazione, totale o parziale, di uno o più apparati o prodotti impiegati nelle reti, nei sistemi o per l'espletamento dei servizi interessati. Laddove nelle determinazioni di cui al presente comma sia recata deroga alle leggi vigenti anche ai fini delle ulteriori necessarie misure correlate alla disattivazione o all'interruzione, le stesse determinazioni devono contenere l'indicazione delle principali norme a cui si intende derogare e tali deroghe devono essere specificamente motivate. Le determinazioni di cui al presente comma non sono soggette al controllo preventivo di legittimità di cui all'articolo 3 della legge 14 gennaio 1994, n. 20 [40].

     1-bis. Il Presidente del Consiglio dei ministri informa entro trenta giorni il Comitato parlamentare per la sicurezza della Repubblica delle misure disposte ai sensi del comma 1 [41].

 

     Art. 6. Copertura finanziaria

     1. Agli oneri di cui agli articoli 1, comma 19, e 2, commi 1 e 3, per complessivi euro 3.400.000 per l'anno 2019, euro 7.995.000 per ciascuno degli anni 2020 e 2021, euro 6.495.000 per ciascuno degli anni 2022 e 2023, ed euro 4.395.000 annui a decorrere dall'anno 2024, si provvede:

     a) quanto a euro 4.395.000 annui a decorrere dal 2020, mediante corrispondente riduzione delle proiezioni dello stanziamento del fondo speciale di parte corrente iscritto, ai fini del bilancio triennale 2019-2021, nell'ambito del programma «Fondi di riserva e speciali» della missione «Fondi da ripartire» dello stato di previsione del Ministero dell'economia e delle finanze per l'anno 2019, allo scopo parzialmente utilizzando l'accantonamento relativo al Ministero dello sviluppo economico per euro 350.000 annui a decorrere dall'anno 2020 e l'accantonamento relativo al Ministero dell'economia e delle finanze, per euro 4.045.000 annui a decorrere dall'anno 2020;

     b) quanto a euro 3.200.000 per l'anno 2019 e a euro 2.100.000 per ciascuno degli anni dal 2020 al 2023, mediante corrispondente utilizzo dell'autorizzazione di spesa recata dall'articolo 1, comma 95, della legge 30 dicembre 2018, n. 145, da imputare sulla quota parte del fondo attribuita al Ministero dello sviluppo economico.

     b-bis) quanto a euro 200.000 per l'anno 2019 e a euro 1.500.000 per ciascuno degli anni 2020 e 2021, mediante corrispondente riduzione dell'autorizzazione di spesa di cui all'articolo 1, comma 623, della legge 11 dicembre 2016, n. 232 [42].

     2. Il Ministro dell'economia e delle finanze è autorizzato ad apportare, con propri decreti, le occorrenti variazioni di bilancio.

 

     Art. 7. Entrata in vigore

     1. Il presente decreto entra in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana e sarà presentato alle Camere per la conversione in legge.

 

 

 

 

Decreto-legge 21 settembre 2019, n. 105. (TESTO ORIGINALE)

Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica.

 

     IL PRESIDENTE DELLA REPUBBLICA

 

     Visti gli articoli 77 e 87, quinto comma, della Costituzione;

     Considerata la straordinaria necessità ed urgenza, nell'attuale quadro normativo ed a fronte della realizzazione in corso di importanti e strategiche infrastrutture tecnologiche, anche in relazione a recenti attacchi alle reti di Paesi europei, di disporre, per le finalità di sicurezza nazionale, di un sistema di organi, procedure e misure, che consenta una efficace valutazione sotto il profilo tecnico della sicurezza degli apparati e dei prodotti, in linea con le più elevate ed aggiornate misure di sicurezza adottate a livello internazionale;

     Ritenuta, altresì, la necessità di prevedere, in coerenza con il predetto sistema, il raccordo con le disposizioni in materia di valutazione della presenza di fattori di vulnerabilità che potrebbero compromettere l'integrità e la sicurezza delle reti inerenti ai servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G e dei dati che vi transitano, ai sensi dell'articolo 1-bis del decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56;

     Considerata altresì la straordinaria necessità ed urgenza di disporre anche dei più idonei strumenti d'immediato intervento che consentano di affrontare con la massima efficacia e tempestività eventuali situazioni di emergenza in ambito cibernetico;

     Vista la deliberazione del Consiglio dei ministri, adottata nella riunione del 19 settembre 2019;

     Sulla proposta del Presidente del Consiglio dei ministri, di concerto con i Ministri dell'economia e delle finanze, dello sviluppo economico, della difesa, dell'interno, degli affari esteri e della cooperazione internazionale, della giustizia, per la pubblica amministrazione e per l'innovazione tecnologica e la digitalizzazione;

 

     Emana

     il seguente decreto-legge:

 

     Art. 1. Perimetro di sicurezza nazionale cibernetica

     1. Al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, da cui dipende l'esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale, è istituito il perimetro di sicurezza nazionale cibernetica.

     2. Entro quattro mesi dalla data di entrata in vigore della legge di conversione del presente decreto, con decreto del Presidente del Consiglio dei ministri, adottato su proposta del Comitato interministeriale per la sicurezza della Repubblica (CISR):

     a) sono individuati le amministrazioni pubbliche, gli enti e gli operatori nazionali, pubblici e privati di cui al comma 1, inclusi nel perimetro di sicurezza nazionale cibernetica e tenuti al rispetto delle misure e degli obblighi previsti dal presente articolo; alla predetta individuazione, fermo restando che per gli Organismi di informazione per la sicurezza si applicano le norme previste dalla legge 3 agosto 2007, n. 124, si procede sulla base dei seguenti criteri:

     1) il soggetto esercita una funzione essenziale dello Stato, ovvero assicura un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato;

     2) l'esercizio di tale funzione o la prestazione di tale servizio dipende da reti, sistemi informativi e servizi informatici dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio possa derivare un pregiudizio per la sicurezza nazionale;

     b) sono definiti i criteri in base ai quali i soggetti di cui alla precedente lettera a) predispongono e aggiornano con cadenza almeno annuale un elenco delle reti, dei sistemi informativi e dei servizi informatici di cui al comma 1, di rispettiva pertinenza, comprensivo della relativa architettura e componentistica; all'elaborazione di tali criteri provvede, adottando opportuni moduli organizzativi, l'organismo tecnico di supporto al CISR, integrato con un rappresentante della Presidenza del Consiglio dei ministri; entro sei mesi dalla data di entrata in vigore del decreto del Presidente del Consiglio dei ministri di cui al presente comma, i soggetti pubblici e quelli di cui all'articolo 29 del codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, nonchè quelli privati, individuati ai sensi della lettera a) trasmettono tali elenchi, rispettivamente, alla Presidenza del Consiglio dei ministri e al Ministero dello sviluppo economico; la Presidenza del Consiglio dei ministri e il Ministero dello sviluppo economico inoltrano gli elenchi di rispettiva pertinenza al Dipartimento delle informazioni per la sicurezza, anche per le attività di prevenzione, preparazione e gestione di crisi cibernetiche affidate al Nucleo per la sicurezza cibernetica, nonchè all'organo del Ministero dell'interno per la sicurezza e la regolarità dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155.

     3. Entro dieci mesi dalla data di entrata in vigore della legge di conversione del presente decreto, con decreto del Presidente del Consiglio dei ministri, che ne disciplina altresì i relativi termini e modalità attuative, adottato su proposta del CISR:

     a) sono definite le procedure secondo cui i soggetti individuati ai sensi del comma 2, lettera a), notificano gli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui al comma 2, lettera b), al Gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT) italiano, che inoltra tali notifiche, tempestivamente, al Dipartimento delle informazioni per la sicurezza anche per le attività demandate al Nucleo per la sicurezza cibernetica; il Dipartimento delle informazioni per la sicurezza assicura la trasmissione delle notifiche così ricevute all'organo del Ministero dell'interno per la sicurezza e la regolarità dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, nonchè alla Presidenza del Consiglio dei ministri, se provenienti da un soggetto pubblico o da un soggetto di cui all'articolo 29 del decreto legislativo 7 marzo 2005, n. 82, ovvero al Ministero dello sviluppo economico, se effettuate da un soggetto privato;

     b) sono stabilite misure volte a garantire elevati livelli di sicurezza delle reti, dei sistemi informativi e dei servizi informatici di cui al comma 2, lettera b), relative:

     1) alle politiche di sicurezza, alla struttura organizzativa e alla gestione del rischio;

     2) alla mitigazione e gestione degli incidenti e alla loro prevenzione, anche attraverso la sostituzione di apparati o prodotti che risultino gravemente inadeguati sul piano della sicurezza;

     3) alla protezione fisica e logica e dei dati;

     4) all'integrità delle reti e dei sistemi informativi;

     5) alla gestione operativa, ivi compresa la continuità del servizio;

     6) al monitoraggio, test e controllo;

     7) alla formazione e consapevolezza;

     8) all'affidamento di forniture di beni, sistemi e servizi di information and communication technology (ICT), anche mediante definizione di caratteristiche e requisiti di carattere generale.

     4. All'elaborazione delle misure di cui al comma 3, lettera b), provvedono, secondo gli ambiti di competenza delineati dal presente decreto, il Ministero dello sviluppo economico e la Presidenza del Consiglio dei ministri, d'intesa con il Ministero della difesa, il Ministero dell'interno, il Ministero dell'economia e delle finanze e il Dipartimento delle informazioni per la sicurezza.

     5. Per l'aggiornamento di quanto previsto dai decreti di cui ai commi 2 e 3 si procede secondo le medesime modalità di cui ai commi 2, 3 e 4 con cadenza almeno biennale.

     6. Con regolamento, adottato ai sensi dell'articolo 17, comma 1, della legge 23 agosto 1988, n. 400, entro dieci mesi dalla data di entrata in vigore della legge di conversione del presente decreto, sono disciplinati le procedure, le modalità e i termini con cui:

     a) fatti salvi i casi di deroga stabiliti dal medesimo regolamento con riguardo alle forniture di beni e di servizi ICT cui sia indispensabile procedere in sede estera, i soggetti di cui al comma 2, lettera a), che intendano procedere all'affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici di cui al comma 2, lettera b), diversi da quelli necessari per lo svolgimento delle attività di prevenzione, accertamento e repressione dei reati, ne danno comunicazione al Centro di valutazione e certificazione nazionale (CVCN), istituito presso il Ministero dello sviluppo economico, che, sulla base di una valutazione del rischio, anche in relazione all'ambito di impiego e in un'ottica di gradualità, può, entro trenta giorni, imporre condizioni e test di hardware e software; in tale ipotesi, i relativi bandi di gara e contratti sono integrati con clausole che condizionano, sospensivamente ovvero risolutivamente, l'affidamento ovvero il contratto al rispetto delle condizioni e all'esito favorevole dei test disposti dal CVCN; per le forniture di beni, sistemi e servizi ICT da impiegare su reti, sistemi informativi e servizi informatici del Ministero della difesa, individuati ai sensi del comma 2, lettera b), il predetto Ministero procede, nell'ambito delle risorse umane e finanziarie disponibili a legislazione vigente e senza nuovi o maggiori oneri a carico della finanza pubblica, in coerenza con quanto previsto dal presente decreto, attraverso un proprio Centro di valutazione in raccordo con la Presidenza del Consiglio dei ministri e il Ministero dello sviluppo economico per i profili di rispettiva competenza; resta fermo che per lo svolgimento delle attività di prevenzione, accertamento e di repressione dei reati e nei casi in cui si deroga all'obbligo di cui alla presente lettera, sono utilizzati reti, sistemi informativi e servizi informatici conformi ai livelli di sicurezza di cui al comma 3, lettera b), qualora non incompatibili con gli specifici impieghi cui essi sono destinati;

     b) i soggetti individuati quali fornitori di beni, sistemi e servizi destinati alle reti, ai sistemi informativi e ai servizi informatici di cui al comma 2, lettera b), assicurano al CVCN e, limitatamente agli ambiti di specifica competenza, al Centro di valutazione operante presso il Ministero della difesa, la propria collaborazione per l'effettuazione delle attività di test di cui alla lettera a) del presente comma, sostenendone gli oneri; il CVCN segnala la mancata collaborazione al Ministero dello sviluppo economico, in caso di fornitura destinata a soggetti privati, o alla Presidenza del Consiglio dei ministri, in caso di fornitura destinata a soggetti pubblici ovvero a quelli di cui all'articolo 29 del codice di cui al decreto legislativo 7 marzo 2005, n. 82; sono inoltrate altresì alla Presidenza del Consiglio dei ministri le analoghe segnalazioni del Centro di valutazione del Ministero della difesa;

     c) la Presidenza del Consiglio dei ministri, per i profili di pertinenza dei soggetti pubblici e di quelli di cui all'articolo 29 del codice dell'Amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, individuati ai sensi del comma 2, lettera a), e il Ministero dello sviluppo economico, per i soggetti privati di cui alla medesima lettera, svolgono attività di ispezione e verifica in relazione a quanto previsto dal comma 2, lettera b), dal comma 3 e dalla lettera a) del presente comma e senza che ciò comporti accesso a dati o metadati personali e amministrativi, impartendo, se necessario, specifiche prescrizioni; per le reti, i sistemi informativi e i servizi informatici di cui al comma 2, lettera b), connessi alla funzione di prevenzione e repressione dei reati, alla tutela dell'ordine e della sicurezza pubblica e alla difesa e sicurezza militare dello Stato, le attività di ispezione e verifica sono svolte, nell'ambito delle risorse umane e finanziarie disponibili a legislazione vigente e senza nuovi o maggiori oneri a carico della finanza pubblica, dalle strutture specializzate in tema di protezione di reti e sistemi, nonchè in tema di prevenzione e di contrasto del crimine informatico, delle amministrazioni da cui dipendono le Forze di polizia e le Forze armate, che ne comunicano gli esiti alla Presidenza del Consiglio dei ministri per i profili di competenza.

     7. Nell'ambito dell'approvvigionamento di prodotti, processi, servizi ICT e associate infrastrutture destinati alle reti, ai sistemi informativi e per l'espletamento dei servizi informatici di cui al comma 2, lettera b), il CVCN assume i seguenti compiti:

     a) contribuisce all'elaborazione delle misure di sicurezza di cui al comma 3, lettera b), per ciò che concerne l'affidamento di forniture di beni, sistemi e servizi ICT;

     b) ai fini della verifica delle condizioni di sicurezza e dell'assenza di vulnerabilità note, anche in relazione all'ambito di impiego, svolge le attività di cui al comma 6, lettera a), dettando, se del caso, anche prescrizioni di utilizzo al committente; a tali fini il CVCN si avvale anche di laboratori dallo stesso accreditati secondo criteri stabiliti da un decreto del Presidente del Consiglio dei ministri, adottato entro dieci mesi dalla data di entrata in vigore della legge di conversione del presente decreto, su proposta del CISR, impiegando, per le esigenze delle amministrazioni centrali dello Stato, quelli eventualmente istituiti, senza nuovi o maggiori oneri a carico della finanza pubblica, presso le medesime amministrazioni;

     c) elabora e adotta, previo conforme avviso dell'organismo tecnico di supporto al CISR, schemi di certificazione cibernetica, laddove, per ragioni di sicurezza nazionale, gli schemi di certificazione esistenti non siano ritenuti adeguati alle esigenze di tutela del perimetro di sicurezza nazionale cibernetica.

     8. I soggetti di cui agli articoli 12 e 14 del decreto legislativo 18 maggio 2018, n. 65, e quelli di cui all'articolo 16-ter, comma 2, del codice delle comunicazioni elettroniche di cui al decreto legislativo 1° agosto 2003, n. 259, inclusi nel perimetro di sicurezza nazionale cibernetica:

     a) osservano le misure di sicurezza previste, rispettivamente, dai predetti decreti legislativi, ove di livello almeno equivalente a quelle adottate ai sensi del comma 3, lettera b), del presente articolo; le eventuali misure aggiuntive necessarie al fine di assicurare i livelli di sicurezza previsti dal presente decreto sono definite dalla Presidenza del Consiglio dei ministri, per i soggetti pubblici e per quelli di cui all'articolo 29 del codice di cui al decreto legislativo 7 marzo 2005, n. 82, individuati ai sensi del comma 2, lettera a), del presente articolo, e dal Ministero dello sviluppo economico per i soggetti privati di cui alla medesima lettera, avvalendosi anche del CVCN; il Ministero dello sviluppo economico e la Presidenza del Consiglio dei ministri si raccordano, ove necessario, con le autorità competenti di cui all'articolo 7 del decreto legislativo 18 maggio 2018, n. 65;

     b) assolvono l'obbligo di notifica di cui al comma 3, lettera a), che costituisce anche adempimento, rispettivamente, dell'obbligo di notifica di cui agli articoli 12 e 14 del decreto legislativo 18 maggio 2018, n. 65, e dell'analogo obbligo previsto ai sensi dell'articolo 16-ter del codice di cui al decreto legislativo 1° agosto 2003, n. 259, e delle correlate disposizioni attuative; a tal fine, oltre a quanto previsto dal comma 3, lettera a), anche in relazione alle disposizioni di cui all'articolo 16-ter del codice di cui al decreto legislativo 1° agosto 2003, n. 259, il CSIRT italiano inoltra le notifiche ricevute ai sensi del predetto comma 3, lettera a), all'autorità competente di cui all'articolo 7 del decreto legislativo 18 maggio 2018, n. 65.

     9. Salvo che il fatto costituisca reato:

     a) il mancato adempimento degli obblighi di predisposizione e di aggiornamento dell'elenco delle reti, dei sistemi informativi e dei servizi informatici di cui al comma 2, lettera b), è punito con la sanzione amministrativa pecuniaria da euro 200.000 a euro 1.200.000;

     b) il mancato adempimento dell'obbligo di notifica di cui al comma 3, lettera a), nei termini prescritti, è punito con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000;

     c) l'inosservanza delle misure di sicurezza di cui al comma 3, lettera b), è punita con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000;

     d) la mancata comunicazione di cui al comma 6, lettera a), nei termini prescritti, è punita con la sanzione amministrativa pecuniaria da euro 300.000 a euro 1.800.000;

     e) l'impiego di prodotti e servizi sulle reti, sui sistemi informativi e l'espletamento dei servizi informatici di cui al comma 2, lettera b), in violazione delle condizioni imposte dal CVCN o in assenza del superamento dei test di cui al comma 6, lettera a), è punito con la sanzione amministrativa pecuniaria da euro 300.000 a euro 1.800.000;

     f) la mancata collaborazione per l'effettuazione delle attività di test di cui al comma 6, lettera a), da parte dei soggetti di cui al medesimo comma 6, lettera b), è punita con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000;

     g) il mancato adempimento delle prescrizioni indicate dal Ministero dello sviluppo economico o dalla Presidenza del Consiglio dei ministri in esito alle attività di ispezione e verifica svolte ai sensi del comma 6, lettera c), è punito con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000;

     h) il mancato rispetto delle prescrizioni di cui al comma 7, lettera b), è punito con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000.

     10. In caso di inottemperanza alle condizioni o in assenza dell'esito favorevole dei test di cui al comma 6, lettera a), il contratto non produce ovvero cessa di produrre effetti, secondo quanto previsto dalle condizioni ad esso apposte. L'esecuzione comunque effettuata in violazione di quanto previsto al primo periodo comporta, oltre alla sanzione di cui al comma 9, lettera e), la sanzione amministrativa accessoria della incapacità ad assumere incarichi di direzione, amministrazione e controllo nelle persone giuridiche e nelle imprese, per un periodo di tre anni a decorrere dalla data di accertamento della violazione.

     11. Chiunque, allo scopo di ostacolare o condizionare l'espletamento dei procedimenti di cui al comma 2, lettera b), o al comma 6, lettera a), o delle attività ispettive e di vigilanza previste dal comma 6, lettera c), fornisce informazioni, dati o elementi di fatto non rispondenti al vero, rilevanti per la predisposizione o l'aggiornamento degli elenchi di cui al comma 2, lettera b), o ai fini delle comunicazioni di cui al comma 6, lettera a), o per lo svolgimento delle attività ispettive e di vigilanza di cui al comma 6), lettera c) od omette di comunicare entro i termini prescritti i predetti dati, informazioni o elementi di fatto, è punito con la reclusione da uno a cinque anni e all'ente, responsabile ai sensi del decreto legislativo 8 giugno 2001, n. 231, si applica la sanzione pecuniaria fino a quattrocento quote.

     12. Le autorità competenti per l'accertamento delle violazioni e per l'irrogazione delle sanzioni sono la Presidenza del Consiglio dei ministri, per i soggetti pubblici e per i soggetti di cui all'articolo 29 del codice di cui al decreto legislativo 7 marzo 2005, n. 82, individuati ai sensi del comma 2, lettera a), del presente articolo, e il Ministero dello sviluppo economico, per i soggetti privati di cui alla medesima lettera.

     13. Ai fini dell'accertamento e dell'irrogazione delle sanzioni amministrative di cui al comma 9, si osservano le disposizioni contenute nel capo I, sezioni I e II, della legge 24 novembre 1981, n. 689.

     14. Per i dipendenti dei soggetti pubblici individuati ai sensi del comma 2, lettera a), la violazione delle disposizioni di cui al presente articolo può costituire causa di responsabilità disciplinare e amministrativo-contabile.

     15. Le autorità titolari delle attribuzioni di cui al presente decreto assicurano gli opportuni raccordi con il Dipartimento delle informazioni per la sicurezza e con l'organo del Ministero dell'interno per la sicurezza e la regolarità dei servizi di telecomunicazione, quale autorità di contrasto nell'esercizio delle attività di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155.

     16. La Presidenza del Consiglio dei ministri, per lo svolgimento delle funzioni di cui al presente decreto può avvalersi dell'Agenzia per l'Italia Digitale (AgID) sulla base di apposite convenzioni, nell'ambito delle risorse finanziarie e umane disponibili a legislazione vigente, senza nuovi o maggiori oneri per la finanza pubblica.

     17. Al decreto legislativo 18 maggio 2018, n. 65, sono apportate le seguenti modificazioni:

     a) all'articolo 4, comma 5, dopo il primo periodo è aggiunto il seguente:

     «Il Ministero dello sviluppo economico inoltra tale elenco al punto di contatto unico e all'organo del Ministero dell'interno per la sicurezza e la regolarità dei servizi di telecomunicazione, di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155.»;

     b) all'articolo 9, comma 3, le parole «e il punto di contatto unico» sono sostituite dalle seguenti:

     «, il punto di contatto unico e l'organo del Ministero dell'interno per la sicurezza e la regolarità dei servizi di telecomunicazione, di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155,».

     18. Gli eventuali adeguamenti alle prescrizioni di sicurezza definite ai sensi del presente articolo, delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici di cui al comma 2, lettera a), sono effettuati con le risorse finanziarie disponibili a legislazione vigente.

     19. Per la realizzazione, l'allestimento e il funzionamento del CVCN di cui ai commi 6 e 7 è autorizzata la spesa di euro 3.200.000 per l'anno 2019 e di euro 2.850.000 per ciascuno degli anni dal 2020 al 2023 e di euro 750.000 annui a decorrere dall'anno 2024.

 

     Art. 2. Personale per esigenze di funzionamento del CVCN e della Presidenza del Consiglio dei ministri

     1. Tenuto conto dell'esigenza di disporre di personale in possesso della professionalità necessaria per lo svolgimento delle funzioni del CVCN, di cui all'articolo 1, commi 6 e 7, il Ministero dello sviluppo economico è autorizzato ad assumere a tempo indeterminato, con incremento della vigente dotazione organica nel limite delle unità eccedenti, in aggiunta alle ordinarie facoltà assunzionali, un contingente massimo di settantasette unità di personale, di cui sessantasette di area terza e dieci di area seconda, nel limite di spesa di euro 3.005.000 annui a decorrere dall'anno 2020.

     2. Fino al completamento delle procedure di cui al comma 1, il Ministero dello sviluppo economico, fatte salve le unità dedicate all'assolvimento delle esigenze connesse alle operazioni condotte dalle Forze armate per la difesa nazionale anche nell'ambito del Trattato dell'Atlantico del Nord, può avvalersi, per le esigenze del CVCN di un contingente di personale non dirigenziale appartenente alle pubbliche amministrazioni di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, con esclusione del personale docente educativo e amministrativo tecnico ausiliario delle istituzioni scolastiche, in posizione di fuori ruolo o di comando o altro analogo istituto previsto dai rispettivi ordinamenti ai sensi dell'articolo 17, comma 14, della legge 15 maggio 1997, n. 127, e dell'articolo 70, comma 12, del decreto legislativo 30 marzo 2001, n. 165, per un massimo del 40 per cento delle unità di personale di cui al comma 1. Nei limiti complessivi della stessa quota il Ministero dello sviluppo economico può avvalersi, in posizione di comando, di personale che non risulti impiegato in compiti operativi o specialistici con qualifiche o gradi non dirigenziali del comparto sicurezza-difesa fino a un massimo di venti unità, conservando lo stato giuridico e il trattamento economico fisso, continuativo ed accessorio, secondo quanto previsto dai rispettivi ordinamenti, con oneri a carico del Ministero dello sviluppo economico, ai sensi dell'articolo 1777, del codice dell'ordinamento militare di cui al decreto legislativo 15 marzo 2010, n. 66, e dell'articolo 2, comma 91, della legge 24 dicembre 2007, n. 244.

     3. Per lo svolgimento delle funzioni in materia di digitalizzazione, la Presidenza del Consiglio dei ministri è autorizzata ad assumere con contratti di lavoro a tempo indeterminato, in aggiunta alle ordinarie facoltà assunzionali e con corrispondente incremento della dotazione organica, un contingente massimo di dieci unità di personale non dirigenziale, da inquadrare nella Categoria funzionale A, parametro retributivo F1, nel limite di spesa di euro 640.000 annui a decorrere dall'anno 2020.

     4. Fino al completamento delle procedure di cui al comma 3, la Presidenza del Consiglio dei ministri, fatte salve le unità dedicate all'assolvimento delle esigenze connesse alle operazioni condotte dalle Forze armate per la difesa nazionale anche nel quadro del Trattato dell'Atlantico del Nord, può avvalersi, entro il limite del 40 per cento delle unità previste dal medesimo comma, di personale non dirigenziale appartenente alle pubbliche amministrazioni di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, con esclusione del personale docente educativo ed amministrativo tecnico ausiliario delle istituzioni scolastiche, in posizione di fuori ruolo, di comando o altro analogo istituto previsto dai rispettivi ordinamenti ai sensi dell'articolo 17, comma 14, della legge 15 maggio 1997, n. 127, e dell'articolo 9, comma 5-ter, del decreto legislativo 30 luglio 1999, n. 303, nonchè di esperti o consulenti, nominati ai sensi dell'articolo 7, comma 6, del decreto legislativo 30 marzo 2001, n. 165, in possesso di particolare e comprovata specializzazione in materia informatica.

     5. Il reclutamento del personale di cui ai commi 1 e 3 avviene mediante uno o più concorsi pubblici da espletare anche in deroga all'articolo 4, commi 3-quinquies e 3-sexies, del decreto-legge 31 agosto 2013, n. 101, convertito, con modificazioni, dalla legge 30 ottobre 2013, n. 125, e all'articolo 35, comma 5, del decreto legislativo 30 marzo 2001, n. 165. Resta in ogni caso ferma la possibilità da parte delle amministrazioni di avvalersi delle modalità semplificate e delle misure di riduzione dei tempi di reclutamento previste dall'articolo 3 della legge 19 giugno 2019, n. 56.

 

     Art. 3. Disposizioni in materia di reti di telecomunicazione elettronica a banda larga con tecnologia 5G

     1. Le disposizioni di cui al presente decreto, fatta eccezione per quanto previsto dall'articolo 1, comma 6, lettera a), si applicano ai soggetti di cui all'articolo 1, comma 2, lettera a), anche nei casi in cui sono tenuti alla notifica di cui all'articolo 1-bis del decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56.

     2. Dalla data di entrata in vigore del regolamento previsto dall'articolo 1, comma 6, i poteri speciali di cui all'articolo 1-bis del decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, sono esercitati previa valutazione degli elementi indicanti la presenza di fattori di vulnerabilità che potrebbero compromettere l'integrità e la sicurezza delle reti e dei dati che vi transitano, da parte dei centri di valutazione di cui all'articolo 1, comma 6, lettera a), sulla base della disciplina prevista in attuazione del predetto regolamento.

     3. Entro sessanta giorni dalla data di entrata in vigore del regolamento di cui all'articolo 1, comma 6, le condizioni e le prescrizioni relative ai beni e servizi acquistati con contratti già autorizzati con decreti del Presidente del Consiglio dei ministri, adottati ai sensi dell'articolo 1-bis del decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, in data anteriore alla data di entrata in vigore del medesimo regolamento, qualora attinenti alle reti, ai sistemi informativi e ai servizi informatici inseriti negli elenchi di cui all'articolo 1, comma 2, lettera b), possono essere modificate o integrate, con la procedura di cui al comma 2, con misure aggiuntive necessarie al fine di assicurare livelli di sicurezza equivalenti a quelli previsti dal presente decreto, anche prescrivendo, ove necessario, la sostituzione di apparati o prodotti che risultino gravemente inadeguati sul piano della sicurezza.

 

     Art. 4. Disposizioni in materia di infrastrutture e tecnologie critiche

     1. All'articolo 2, comma 1-ter, del decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, dopo le parole «per la sicurezza e l'ordine pubblico,» sono inserite le seguenti: «compreso il possibile pregiudizio alla sicurezza e al funzionamento delle reti e degli impianti e alla continuità degli approvvigionamenti, i beni e i rapporti di rilevanza strategica per l'interesse nazionale, ulteriori rispetto a quelli individuati nei regolamenti di cui all'articolo 1, comma 1, e al comma 1 del presente articolo, nei settori di cui all'articolo 4, paragrafo 1, del regolamento (UE) n. 2019/452 del Parlamento europeo e del Consiglio, del 19 marzo 2019, inclusi».

     2. Sino alla data di entrata in vigore del primo regolamento di cui all'articolo 2, comma 1-ter, del decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, fatta salva l'applicazione degli articoli 1 e 2 del citato decreto-legge, è soggetto alla notifica di cui al comma 5 dell'articolo 2 del medesimo decreto-legge n. 21 del 2012 l'acquisto a qualsiasi titolo, da parte di un soggetto esterno all'Unione europea, di partecipazioni in società che detengono beni e rapporti nei settori di cui all'articolo 4, paragrafo 1, lettere a) e b), del regolamento (UE) n. 2019/452 del Parlamento europeo e del Consiglio, del 19 marzo 2019, di rilevanza tale da determinare l'insediamento stabile dell'acquirente in ragione dell'assunzione del controllo della società la cui partecipazione è oggetto dell'acquisto, ai sensi dell'articolo 2359 del codice civile e del testo unico di cui al decreto legislativo 24 febbraio 1998, n. 58. Si applicano le disposizioni di cui all'articolo 2, commi 6 e 7, del decreto-legge n. 21 del 2012.

 

     Art. 5. Determinazioni del Presidente del Consiglio dei ministri in caso di crisi di natura cibernetica

     1. Il Presidente del Consiglio dei ministri, in presenza di un rischio grave e imminente per la sicurezza nazionale connesso alla vulnerabilità di reti, sistemi e servizi di cui all'articolo 1, comma 2, lettera b), e comunque nei casi di crisi cibernetica di cui al decreto del Presidente del Consiglio dei ministri del 17 febbraio 2017 pubblicato nella Gazzetta Ufficiale n. 87 del 13 aprile 2017, su deliberazione del Comitato interministeriale per la sicurezza della Repubblica, ai sensi dell'articolo 7-bis del decreto-legge 30 ottobre 2015, n. 174, convertito, con modificazioni, dalla legge 11 dicembre 2015, n. 198, può comunque disporre, ove indispensabile e per il tempo strettamente necessario alla eliminazione dello specifico fattore di rischio o alla sua mitigazione, secondo un criterio di proporzionalità, la disattivazione, totale o parziale, di uno o più apparati o prodotti impiegati nelle reti, nei sistemi o per l'espletamento dei servizi interessati.

 

     Art. 6. Copertura finanziaria

     1. Agli oneri di cui agli articoli 1, comma 19, e 2, commi 1 e 3, per complessivi euro 3.200.000 per l'anno 2019, euro 6.495.000 per ciascuno degli anni dal 2020 al 2023, ed euro 4.395.000 annui a decorrere dall'anno 2024, si provvede:

     a) quanto a euro 4.395.000 annui a decorrere dal 2020, mediante corrispondente riduzione delle proiezioni dello stanziamento del fondo speciale di parte corrente iscritto, ai fini del bilancio triennale 2019-2021, nell'ambito del programma «Fondi di riserva e speciali» della missione «Fondi da ripartire» dello stato di previsione del Ministero dell'economia e delle finanze per l'anno 2019, allo scopo parzialmente utilizzando l'accantonamento relativo al Ministero dello sviluppo economico per euro 350.000 annui a decorrere dall'anno 2020 e l'accantonamento relativo al Ministero dell'economia e delle finanze, per euro 4.045.000 annui a decorrere dall'anno 2020;

     b) quanto a euro 3.200.000 per l'anno 2019 e a euro 2.100.000 per ciascuno degli anni dal 2020 al 2023, mediante corrispondente utilizzo dell'autorizzazione di spesa recata dall'articolo 1, comma 95, della legge 30 dicembre 2018, n. 145, da imputare sulla quota parte del fondo attribuita al Ministero dello sviluppo economico.

     2. Il Ministro dell'economia e delle finanze è autorizzato ad apportare, con propri decreti, le occorrenti variazioni di bilancio.

 

     Art. 7. Entrata in vigore

     1. Il presente decreto entra in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana e sarà presentato alle Camere per la conversione in legge.

 


[1] Convertito in legge, con modificazioni, dall'art. 1 della L. 18 novembre 2019, n. 133. Per i riferimenti alle autorità contenuti nel presente decreto, vedi l'art. 16 del D.L. 14 giugno 2021, n. 82, convertito dalla L. 4 agosto 2021, n. 109.

[2] Titolo così modificato dalla L. di conversione.

[3] Comma così modificato dalla L. di conversione.

[4] Comma già modificato dalla L. di conversione, dall'art. 27 del D.L. 30 dicembre 2019, n. 162, convertito dalla L. 28 febbraio 2020, n. 8 e così ulteriormente modificato dall'art. 16 del D.L. 14 giugno 2021, n. 82, convertito dalla L. 4 agosto 2021, n. 109.

[5] Comma inserito dall'art. 27 del D.L. 30 dicembre 2019, n. 162, convertito dalla L. 28 febbraio 2020, n. 8.

[6] Comma inserito dall'art. 16 del D.L. 14 giugno 2021, n. 82, convertito dalla L. 4 agosto 2021, n. 109.

[7] Comma già modificato dalla L. di conversione, dall'art. 27 del D.L. 30 dicembre 2019, n. 162, convertito dalla L. 28 febbraio 2020, n. 8 e così ulteriormente modificato dall'art. 31 del D.L. 16 luglio 2020, n. 76, convertito dalla L. 11 settembre 2020, n. 120.

[8] Comma inserito dall'art. 37 quater del D.L. 9 agosto 2022, n. 115, convertito dalla L. 21 settembre 2022, n. 142.

[9] Comma inserito dalla L. di conversione e così modificato dall'art. 27 del D.L. 30 dicembre 2019, n. 162, convertito dalla L. 28 febbraio 2020, n. 8.

[10] Comma inserito dall'art. 27 del D.L. 30 dicembre 2019, n. 162, convertito dalla L. 28 febbraio 2020, n. 8.

[11] Comma così modificato dalla L. di conversione.

[12] Lettera già modificata dall'art. 31 del D.L. 16 luglio 2020, n. 76, convertito dalla L. 11 settembre 2020, n. 120 e così ulteriormente modificata dall'art. 16 del D.L. 14 giugno 2021, n. 82, convertito dalla L. 4 agosto 2021, n. 109.

[13] Comma già modificato dalla L. di conversione e così ulteriormente modificato dall'art. 27 del D.L. 30 dicembre 2019, n. 162, convertito dalla L. 28 febbraio 2020, n. 8.

[14] Comma già modificato dalla L. di conversione e così ulteriormente modificato dall'art. 16 del D.L. 14 giugno 2021, n. 82, convertito dalla L. 4 agosto 2021, n. 109.

[15] Lettera già modificata dall'art. 27 del D.L. 30 dicembre 2019, n. 162, convertito dalla L. 28 febbraio 2020, n. 8 e così ulteriormente modificata dall'art. 16 del D.L. 14 giugno 2021, n. 82, convertito dalla L. 4 agosto 2021, n. 109.

[16] Lettera così modificata dall'art. 16 del D.L. 14 giugno 2021, n. 82, convertito dalla L. 4 agosto 2021, n. 109.

[17] Lettera così modificata dall'art. 27 del D.L. 30 dicembre 2019, n. 162, convertito dalla L. 28 febbraio 2020, n. 8.

[18] Lettera così modificata dalla L. di conversione.

[19] Comma così modificato dalla L. di conversione.

[20] Comma così modificato dalla L. di conversione.

[21] Comma inserito dalla L. di conversione.

[22] Comma già modificato dalla L. di conversione e così ulteriormente modificato dall'art. 27 del D.L. 30 dicembre 2019, n. 162, convertito dalla L. 28 febbraio 2020, n. 8.

[23] Comma così modificato dall'art. 27 del D.L. 30 dicembre 2019, n. 162, convertito dalla L. 28 febbraio 2020, n. 8.

[24] Comma così modificato dall'art. 27 del D.L. 30 dicembre 2019, n. 162, convertito dalla L. 28 febbraio 2020, n. 8.

[25] Comma così modificato dalla L. di conversione.

[26] Comma aggiunto dalla L. di conversione.

[27] Comma aggiunto dall'art. 27 del D.L. 30 dicembre 2019, n. 162, convertito dalla L. 28 febbraio 2020, n. 8.

[28] Comma così modificato dalla L. di conversione.

[29] Comma così modificato dalla L. di conversione.

[30] Articolo abrogato dall'art. 7 del D.L. 10 agosto 2023, n. 104, convertito dalla L. 9 ottobre 2023, n. 136.

[31] Comma modificato dall'art. 27 del D.L. 30 dicembre 2019, n. 162, convertito dalla L. 28 febbraio 2020, n. 8 e così sostituito dall'art. 16 del D.L. 14 giugno 2021, n. 82, convertito dalla L. 4 agosto 2021, n. 109, con la decorrenza ivi prevista. Il testo previgente reca: "1. Le disposizioni di cui al presente decreto, fatta eccezione per quanto previsto dall'articolo 1, comma 6, lettera a), si applicano ai soggetti di cui all'articolo 1, comma 2-bis, anche nei casi in cui sono tenuti alla notifica di cui all'articolo 1-bis del decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56"

[32] Comma abrogato dall'art. 16 del D.L. 14 giugno 2021, n. 82, convertito dalla L. 4 agosto 2021, n. 109.

[33] Comma modificato dalla L. di conversione e abrogato dall'art. 16 del D.L. 14 giugno 2021, n. 82, convertito dalla L. 4 agosto 2021, n. 109, con la decorrenza ivi prevista.

[34] Comma soppresso dalla L. di conversione.

[35] Articolo inserito dalla L. di conversione.

[36] L'originario comma 3 è stato così sostituito dagli attuali commi da 3 a 3 quater per effetto dell'art. 15 del D.L. 8 aprile 2020, n. 23, convertito dalla L. 5 giugno 2020, n. 40.

[37] L'originario comma 3 è stato sostituito dagli attuali commi da 3 a 3 quater per effetto dell'art. 15 del D.L. 8 aprile 2020, n. 23, convertito dalla L. 5 giugno 2020, n. 40. Il presente comma, già modificato dall'art. 10 ter del D.L. 28 ottobre 2020, n. 137, convertito dalla L. 18 dicembre 2020, n. 176, dall'art. 11 quinquies del D.L. 22 aprile 2021, n. 52, convertito dalla L. 17 giugno 2021, n. 87, dall'art. 17 del D.L. 30 dicembre 2021, n. 228, convertito dalla L. 25 febbraio 2022, n. 15 è stato così ulteriormente modificato dall'art. 25 del D.L. 21 marzo 2022, n. 21, convertito dalla L. 20 maggio 2022, n. 51.

[38] L'originario comma 3 è stato così sostituito dagli attuali commi da 3 a 3 quater per effetto dell'art. 15 del D.L. 8 aprile 2020, n. 23, convertito dalla L. 5 giugno 2020, n. 40.

[39] L'originario comma 3 è stato sostituito dagli attuali commi da 3 a 3 quater per effetto dell'art. 15 del D.L. 8 aprile 2020, n. 23, convertito dalla L. 5 giugno 2020, n. 40. Il presente comma, già modificato dall'art. 10 ter del D.L. 28 ottobre 2020, n. 137, convertito dalla L. 18 dicembre 2020, n. 176, dall'art. 11 quinquies del D.L. 22 aprile 2021, n. 52, convertito dalla L. 17 giugno 2021, n. 87 è stato così ulteriormente modificato dall'art. 17 del D.L. 30 dicembre 2021, n. 228, convertito dalla L. 25 febbraio 2022, n. 15.

[40] Comma già modificato dalla L. di conversione e così ulteriormente modificato dall'art. 29 del D.L. 21 marzo 2022, n. 21, convertito dalla L. 20 maggio 2022, n. 51.

[41] Comma aggiunto dalla L. di conversione.

[42] Comma così modificato dalla L. di conversione.