國家網絡安全局 (Acn) 會是什麼樣子?該法令提供了什麼?



國家網絡安全局 (Acn) 會是什麼樣子?該法令提供了什麼?

這是隨著國家網絡安全局(Acn)的成立而製定的網絡法令草案

美國國家網絡安全局(ACN)的成立準備了德拉基政府摧毀了前總理朱康特這已經內部派息機構的項目後, 工程由派息,加圖索韋基奧前頭號,由德拉吉政府魚雷誰任命了伊麗莎白貝洛尼

以下是國家網絡安全局 (Acn) 成立後網絡法令計劃的所有詳細信息。

政府加快建立國家網絡安全局 (Acn),這是一個具有監管、行政、世襲和組織自主權的公共機構,該機構應提交理事會的網絡安全法法令的 19 條不完整且可能會更改的條款草案中提出了這一設想部長。

鑑於“公共和私人實體的網絡、信息系統、IT 服務和電子通信的脆弱性,可被利用以導致國家的基本功能和維護民用的基本功能的全部或部分故障或中斷, 對國家利益至關重要的社會或經濟活動“,政府希望重新定義意大利的網絡安全架構,並規定成立一個專門機構,以“使其適應技術演變,適應來自網絡空間的威脅,以及歐洲監管框架,並且必須鏈接,還保護法律系統的法律單位,關於網絡、信息系統、IT 服務和電子通信安全的規定”。

除 ACN 外,該法令在 Palazzo Chigi 設立了一個網絡安全部際委員會(Cics),“具有諮詢、提出和審議網絡安全政策的職能,也是為了保護網絡空間的國家安全。 ”。

該條款還規定聘用臨時人員,即使是那些不是來自公共行政部門的人員。設立在 ACN 的網絡安全核心是一種確保在發生危機時為總理提供支持的前線,由總理的軍事顧問、分別代表 Dis、Aise、 Aisi 和代表共和國安全部際委員會 (Cisr) 的每個部委,以及大學部委的一名代表、技術創新和數字化轉型部委代表,以及Palazzo Chigi 的民防部門。

部長會議主席專門負責:網絡安全政策的最高管理層和一般責任,也為了保護網絡空間的國家安全;在與網絡安全部際委員會(Cics)協商後,通過了國家網絡安全戰略;任免國家網絡安全局局長、副局長。

部長會議主席在諮詢 CICS 後,發佈網絡安全指令,並發布國家網絡安全局組織和運作所需的所有規定。網絡安全局的提案在過去幾個小時內被提交給了 Copasir,要求對文本發表意見。

+++

包含網絡安全領域緊急規定、國家網絡安全架構的定義和國家網絡安全機構的建立的法令方案。

共和國總統

考慮到憲法第 77 和 87 條;

鑑於 1988 年 8 月 23 日的法律,n. 400,包含政府活動的紀律和部長會議主席的命令;

考慮到公共和私人實體的網絡、信息系統、IT 服務和電子通信的脆弱性可以被利用,以導致國家的基本功能和維護民用的基本服務的全部或部分故障或中斷,對國家利益至關重要的社會或經濟活動以及公用事業服務,可能對公民、企業和公共行政部門造成嚴重影響,直至對國家安全造成損害;

考慮到當前監管框架下的特殊需要和緊迫性以及重要和戰略性技術基礎設施的持續實施,以及最近對歐洲國家和能夠確定影響的重要國際合作夥伴網絡的攻擊,包括系統性,並進一步強調網絡域如何構成與國家安全思考進行比較的基礎,使該領域的技能合理化,確保更有效的協調,實施旨在使國家更安全和更有彈性的措施數字領域,擁有最合適的工具進行即時干預,從而能夠以最大的效率和及時性處理任何涉及網絡安全配置文件的緊急情況;

還考慮到實施部長理事會在 2021 年 4 月 29 日會議上批准的《國家恢復和復原計劃》的必要性和緊迫性,該計劃規定了網絡安全領域的具體項目,特別是建立國家網絡安全的項目,作為保障國民經濟和產業發展壯大的必要因素,將網絡安全作為數字化轉型的基礎;

因此,考慮到有必要緊急干預以重新定義意大利網絡安全架構,同時規定建立一個特定的國家網絡安全機構,使其適應技術發展,適應來自網絡空間的威脅的背景,以及到歐洲監管框架,並且必須鏈接,也為了保護法律體系的法律統一性,關於網絡、信息系統、IT 服務和電子通信安全的規定;

鑑於部長會議在……會議上通過的決議。 2021;根據部長會議主席的提議;

頒布以下法令:

第 I 條(定義)

1. 就本法令而言,以下定義適用:

a) 網絡安全,保護和確保網絡的可用性、機密性和完整性所必需的一系列活動;信息系統、IT 服務和電子通信免受網絡威脅,同時保證其彈性;

b) 周邊法令,2019 年 9 月 21 日法令,n. 105,根據法律 2019 年 11 月 18 日,n. 133,包含有關國家網絡安全範圍和對具有戰略意義的部門的特殊權力的監管的緊急規定;

c) 立法法令 NLS,2018 年 5 月 18 日的立法法令,n. 65,執行 2016 年 7 月 6 日歐洲議會和理事會的 (EU) 2016/1148 指令,該指令涉及歐盟網絡和信息系統高共同安全級別的措施;

d) CISR,第 5 號法律第 5 條中提到的共和國安全部際委員會。 124;

e) DIS,第 4 號法律第 4 條中提到的安全信息部門。 2007 年第 124 號;

j) AlSE,第 6 號法律第 6 條中提到的外部信息和安全機構。 2007 年第 124 號; g) AISI,第 7 條中提到的信息和內部安全機構。 2007 年第 124 號; h) COPASIR,第 30 條規定的共和國安全議會委員會。 2007 年第 124 號; i) 國家網絡安全戰略,即 NJS 立法令第 6 條中提到的戰略。

第 2 條(部長會議主席的權力)

1. 部長會議主席專職:

a) 網絡安全政策的最高管理層和一般責任,包括為了保護網絡空間的國家安全;

b) 在諮詢第 4 條中提到的網絡安全部際委員會(CICS)後,通過國家網絡安全戰略;

c) 第五條所稱國家網絡安全局局長、副局長的任免。

2. 為行使 a) 項中提及的權限和實施國家網絡安全戰略,部長理事會主席在與 CICS 協商後發佈網絡安全指令並發布組織和運作所需的任何規定國家網絡安全局的。

第 3 條(授權)

1. 部長會議主席在他認為適當的情況下,可授予第 1 號法律第 3 條所指的授權。根據 2007 年第 124 號法令,該法令中提到的不完全屬於它的職能。

2. 部長會議主席不斷從被授權機構那裡獲悉行使根據本法令授權的職能的程序,並且在不影響指令權力的情況下,可以隨時援引全部或部分行使他們。

3. 就根據本法令授予的職能而言,授權機構參加了 2021 年 3 月 1 日法令第 8 條所述的數字過渡部際委員會會議。 22,根據 2021 年 4 月 22 日的法律轉換並修改,n. 55. 2 草案 08/06/2021

第四條(網絡安全部際委員會)

一、網絡安全部際委員會(CICS)設在部長會議主席國,職能是就網絡安全政策提出建議、提出和審議,也是為了保護網絡空間的國家安全。

2. 委員會:

a) 向部長會議主席提出在國家網絡安全政策框架內應遵循的一般指導方針;

b) 對國家網絡安全戰略實施情況進行高度監督;

c) 促進採取必要的舉措,在國家和國際層面促進機構主體和對網絡安全感興趣的私營運營商之間的有效合作,以及共享信息和採用旨在實現以下目標的最佳實踐和措施網絡安全和網絡安全領域的工業、技術和科學發展目標;

d) 審議國家網絡安全局的預算和最終資產負債表並發表意見。

3. 委員會由部長會議主席擔任主席,並由授權機構、外交和國際合作部長、內政部長、司法部長、國防部長、經濟財政部部長、經濟發展部長、生態轉型部長、大學和研究部長以及技術創新和數字轉型部長代表

4. 機構總幹事履行委員會秘書的職能。

5. 部長會議主席可以召集其他部長會議成員、DIS 總幹事、AISE 主任、主任參加委員會會議,也應他們的請求,無需AISI 以及其他民事和軍事當局的投票權,這些當局不時認為有必要出席與待處理的問題相關的工作。

6. 委員會還履行周邊法令和相關實施措施已經賦予 CISR 的職能,但同一周邊法令第 5 條規定的職能除外。

第 5 條(國家網絡安全局)

1. 為保護國家在網絡安全領域的利益,也為了保護國家在網絡空間的安全,本令命名為“機構”的國家網絡安全局(ACN)成立,總部設在羅馬。

2. 該機構根據公法具有法人資格,並在本法令規定的範圍內被賦予監管、行政、財產、組織、會計和財務自主權。本法令規定的法規還可能包含減損現行法規的規定,這些規定涉及在屬於該機構本身的網絡空間中保護國家安全的職能的履行,並考慮到在該機構開展的活動。與第 1 號法律中提及的共和國安全信息系統的聯繫。 2007 年第 124 號。

3. 部長會議主席和設立的授權機構利用該機構行使本法令規定的權力。

4. 該機構的綜合管理委託給國家行政部門的高級管理人員或同等職位,在網絡安全領域具有特定和經過證明的專業資格並在創新過程管理方面具有文件記錄的高級經驗的人員中確定.總經理和副總經理的任期最長為四年,並可通過後續措施連任,最長總任期再延長四年。正如該法令所預見的那樣,該機構的總幹事是部長理事會主席和授權機構的直接聯繫人,在該機構設立時,其等級和職能都高於該機構的工作人員。總幹事是機構的法定代表。

5. 該機構的活動受本法令和該法令預計通過的規定的約束。

6. 機構還可以根據具體協議並按照特定權限要求與其他國家機構、其他行政部門、警察部隊或公共機構合作,以執行其機構任務。

第六條(國家網絡安全局的組織機構)

1. 機構的組織和運作由一項具體條例界定,該條例特別規定將其劃分為一般管理級別的辦公室以及非一般管理級別的結構。

2. 總幹事和審計委員會是原子能機構的機構。第 1 款所述的規定還適用於:

a) 機構總幹事和副總幹事的職能;

b) 審計委員會的組成和運作;

c) 任何二級辦事處的設立。

3. 第 1 款所指的條例在修改本法令的法律生效之日起一百二十天內,通過部長會議主席的法令,也以減損第 1 條的方式通過1988 年 8 月 23 日法律第 17 條第400,諮詢COPASIR後,諮詢CICS後。

第七條(國家網絡安全局的職能)

1. 機構:

a) 是國家網絡安全局,與此角色相關,根據現行立法賦予其他行政部門的權限,確保在國家層面涉及網絡安全領域的公共實體之間進行協調,並促進實施市政當局旨在確保網絡安全和恢復力,以促進國家、生產系統和公共行政數字化的發展,以及實現國家和歐洲的自治,在 IT 產品和流程方面具有戰略重要性保護該領域的國家利益。對於與機密信息管理有關的網絡、信息系統和 IT 服務,根據第 1 號法律第 4 條第 3 款第 I) 項通過的法規的規定。 2007 年第 124 號法令,以及第 9 號法律第 9 條所述的中央保密辦公室的職責。 2007 年第 124 號;

b) 制定國家網絡安全戰略;

c) 為網絡安全部門的運作開展所有必要的支持活動,如本法令第 8 條所述;

d) 是國家主管當局和網絡和信息系統安全的單一聯絡點,其目的是為了 NIS 立法法令中提到的目的,保護法律系統的法律單位,並有權查明違規行為並實施同一法令規定的行政處罰;

e) 是 2019 年 4 月 17 日歐洲議會和理事會第 2019/881 號法規(EU)第 58 條規定的國家網絡安全認證機構,並承擔已分配給經濟部的所有與網絡安全認證相關的任務現行法律下的發展,包括與確定違法行為和實施制裁有關的發展;

f) 承擔現行規定賦予經濟發展部的所有網絡安全任務,包括與以下相關的任務:

1) 周邊法令及相關實施措施中提及的國家網絡安全周邊,包括根據周邊法令賦予國家評估和認證中心的職能,以及第1條所指的檢查和驗證活動,第 6 段,字母 e),周邊法令以及與同一法令規定的違規行為的確定和行政處罰的實施有關的規定,但不影響與法令一起通過的法規第 3 條中提到的規定n. 部長會議主席2020 年第 131 條;

2) 根據 2003 年 8 月 1 日法令第 16 條之二和第 16 條之三,電子通信的安全性和完整性。 259,以及相關的實施條款;

3) 網絡和信息系統的安全,根據立法法令 NLS;

g) 參加根據 2012 年 3 月 15 日頒布的法令第 1 條第 8 款所述規定設立的協調小組,負責主管領域的工作。 21,根據 2012 年 5 月 11 日的法律進行轉換和修改,n。 56;

h) 根據邊界法令和相關實施措施,承擔已經分配給部長會議主席的關於國家網絡安全邊界的所有任務,包括第 1 條第 6 款所述的檢查和驗證活動, e), 周邊法令以及與同一法令規定的違規行為的認定和行政處罰有關的法令,但不影響總統法令通過的條例第 3 條所述的規定部長會議的 n. 2020 年第 131 條;

i) 承擔周邊法令和相關實施措施已經分配給 DIS 的所有任務,並為周邊法令第 1 條第 19 款之二的目的支持部長會議主席;

l) 根據本法令第 8 條所述網絡安全部門權限範圍內的活動,規定為實施和控制部長會議主席採取的措施的執行所必需的活動根據《周邊法令》第 5 條;

m) 承擔當前規定已分配給意大利數字機構的所有與網絡安全相關的任務,特別是第 51 號法令第 51 條中提到的任務。 82,以及根據同一法令第 71 條通過包含網絡安全技術規則的指導方針。該機構還承擔第 33 條第 4 款第 33 條第 4 款規定的職責。 179,根據 2012 年 12 月 17 日的法律進行轉換和修正,n。 221,已經歸因於數字意大利機構;

n) 發展國家預防、監控、檢測、分析和響應能力,以預防和管理 IT 安全事件和 IT 攻擊,也通過 NLS 立法法令第 8 條中提到的 CSJRT Italia;

o) 參加有關模擬控制論事件的國家和國際演習,以提高國家的應變能力;

p) 負責並促進網絡安全領域更新和連貫的國家法律框架的定義和維護,同時考慮到國際舞台上的指導方針和發展。為此,該機構對有關網絡安全的立法或監管舉措發表非約束性意見;

q) 會同外交部和國際合作部協調網絡安全領域的國際合作。在歐盟和國際範圍內,該機構處理與主管機構、機構和實體的關係,並關注主管機構辦公室的網絡安全問題,但法律將特定權限分配給其他主管部門的領域除外。在這種情況下,無論如何都要確保與該機構的聯絡,以保證與部長會議主席確定的網絡安全政策一致的國家統一立場;

r) 追求卓越的目標,通過學術、研究和國家生產系統的參與,支持在能力領域內工業、技術和科學技能和能力的發展。為此目的,原子能機構可以促進、發展和資助特定項目和倡議,也旨在促進該部門研究成果的技術轉讓。該機構確保與法律賦予網絡安全領域能力的其他主管部門進行適當的協同; s) 還通過私營和工業部門的參與,與其他國家的機構、團體和組織就意大利參與網絡安全計劃制定雙邊和多邊協議,確保與法律賦予該領域專業知識的其他管理部門產生適當的協同作用網絡安全;

t) 促進、支持和協調意大利參與歐盟和國際項目和倡議,也通過國家公共和私人實體的參與,在網絡安全和相關應用服務領域。該機構確保與法律賦予網絡安全領域能力的其他主管部門進行適當的協同;

u) 開展有關網絡安全的交流和宣傳活動,以促進有關該主題的民族文化的發展;

v) 促進網絡安全領域的培訓、技術專業發展和人力資源資格,還通過與公共和私營實體的具體協議分配獎學金、博士學位和研究補助金;

z) 為本條所述的目的,它可以在國家領土上建立和參與公私合作夥伴關係,以及在部長會議主席授權的情況下,在財團、基金會或公司中建立和參與公共和私人科目,意大利語和外國。

aa) 根據 2021 年 5 月 20 日歐洲議會和理事會第 2021/887 號條例(EU)第 6 條被指定為國家協調中心,建立歐洲工業、技術和研究網絡安全能力中心,國家協調中心網絡。

2. 在該機構的框架內,根據部長理事會主席的法令,國家代表及其副手被任命為歐洲工業、技術和研究網絡安全能力中心理事會,根據法規 (EU) 2021/887 第 12 條。

3. NIS 立法令第 8 條所指的意大利 CSIRT 移交給該機構,並更名為:“CSIRT Italy”

4. 由經濟發展部設立的國家評估認證中心移交給機構。

5. 根據擔保人保護個人數據的權限,機構為了本法令所述的目的,與擔保人協商並與他合作,也涉及涉及侵犯個人數據的事故。機構和擔保人可以規定具體的意向協議,這些協議也定義了他們的合作方法。

第 8 條(網絡安全核心)

1. 網絡安全核心在機構內永久設立,以支持網絡安全領域的部長會議主席,負責與預防和準備任何危機情況以及啟動警報程序有關的方面。

2. 網絡安全核心由機構總幹事或其指定的副總幹事擔任主席,由部長會議主席軍事顧問、DIS、AISE、 'AISI,在第 5 號法律第 5 條中提到的委員會中代表的每個部委。 2007 年第 124 號,大學和研究部,部長會議主席團民防部委派技術創新和數字化轉型的部長。對於與處理機密信息有關的方面,該單位由第 9 號法律第 9 條所述的中央保密辦公室代表補充。 2007 年第 124 號。

3. 成員可以由其各自主管部門的其他代表就所討論的事項出席會議。根據會議的主題,其他主管部門、大學或研究機構和研究所的代表,以及對網絡安全主題感興趣的私營運營商也可能被邀請參加。

4. Nucleus 可以以有限的組合形式召開,只有主管部門和相關方的代表參加,也與第 10 條中提到的危機管理任務有關。

第 9 條(網絡安全部門的任務)

一、為第八條所稱之目的,網絡安全單位執行下列任務:

a) 可以在該國網絡安全領域的倡議提出建議,也在國際範圍內就此事項提出建議;

b) 根據第 2 條第 2 款中提到的指令,促進相關主管部門和私營運營商對網絡危機情況響應的規劃和運營規劃,以及必要的部際協調程序的製定,與民防和民防計劃有關,也在第 7 條之二第 5 款規定的框架內。 2015 年第 174 號,根據 2015 年第 198 號法律進行轉換和修正;

c) 促進和協調部際演習的進行,或國家參與有關模擬控制論事件的國際演習,以提高國家的應變能力;

d) 與主管特定網絡安全概況的主管部門一起評估和促進信息共享程序,包括與感興趣的私人運營商合作,以發布與網絡事件相關的警報和危機管理;

e) 通過意大利 CSIRT 接收來自 DIS、AISE 和“AISI”、警察部隊和,特別是由內政部機關在第 7 條之二的法令第 7 條之二中提及。 2005 年第 144 號法令,經修訂後根據第 144 號法律進行了轉換。 7 草案 08/06/2021 2005 中的第 155 條,由國防部的結構以及組成該單位的其他行政部門和根據現行立法設立的 CERT; j) 根據現行規定接收來自意大利 CSIRT 的事故通知;

g) 評估字母 e) 和 j) 中提及的事件是否具有個別主管部門無法以普通方式處理的規模、強度或性質,但需要在部際委員會中做出協調決定在這種情況下,規定在這種情況下,立即將當前情況以及第 10 條中提及的聯繫和協調活動的執行情況通知部長理事會主席或授權機構(如果成立),其中設想的組成.

Art.10 (Gestione delle crisi che coinvolgono aspetti di cybersicurezza)

1. Nelle situazioni di crisi che coinvolgono aspetti di cybersicurezza, nei casi in cui il Presidente del Consiglio dei ministri convochi il CISR in materia di gestione delle predette situazioni di crisi, alle sedute del Comitato sono chiamati a partecipare il Ministro delegato per l'innovazione tecnologica e la transizione digitale e il direttore generale dell'Agenzia.

2. Il Nucleo assicura il supporto al CISR e al Presidente del Consiglio dei ministri, nella materia della cybersicurezza, per gli aspetti relativi alla gestione di situazioni di crisi ai sensi del comma 1, nonché per l'esercizio dei poteri attribuiti al Presidente del Consiglio dei ministri, ivi comprese le attività istruttorie e le procedure di attivazione necessarie, ai sensi dell'articolo 5 del decreto-legge perimetro.

3. In situazioni di crisi di natura cibernetica il Nucleo è integrato, in ragione della necessità, con un rappresentante, rispettivamente, del Ministero della salute, del Ministero delle infrastrutture e della mobilità sostenibili, del Dipartimento dei Vigili del fuoco, del soccorso pubblico e della difesa civile, in rappresentanza anche della Commissione interministeriale tecnica di difesa civile, autorizzati ad assumere decisioni che impegnano la propria amministrazione. Alle riunioni i componenti possono farsi accompagnare da altri funzionari della propria amministrazione. Alle stesse riunioni possono essere chiamati a partecipare rappresentanti di altre amministrazioni, anche locali, ed enti, anche essi autorizzati ad assumere decisioni, e di altri soggetti pubblici o privati eventualmente interessati.

4. È compito del Nucleo, nella composizione per la gestione delle crisi, di cui al comma 3, assicurare che le attività di reazione e stabilizzazione di competenza delle diverse amministrazioni ed enti rispetto a situazioni di crisi di natura cibernetica, vengano espletate in maniera coordinata secondo quanto previsto dall'articolo 9, comma I, lettera b).

5. Il Nucleo, per l'espletamento delle proprie funzioni e fermo restando quanto previsto ai sensi dell'articolo 7-bis, comma 5, del decreto-legge n. 174 del 2015, convertito, con modificazioni, dalla legge n. 198 del 2015:

a) mantiene costantemente informato il Presidente del Consiglio dei ministri, ovvero l'Autorità delegata, ove istituita, sulla crisi in atto, predisponendo punti aggiornati di situazione;

b) assicura il coordinamento per l'attuazione a livello interministeriale delle determinazioni del Presidente del Consiglio dei ministri per il superamento della crisi;

c) raccoglie tutti i dati relativi alla crisi;

d) elabora rapporti e fornisce informazioni sulla crisi e li trasmette ai soggetti pubblici e privati interessati;

e) partecipa ai meccanismi europei di gestione delle crisi cibernetiche, assicurando altresì i collegamenti finalizzati alla gestione della crisi con gli omologhi organismi di altri Stati, della NATO, dell'UE o di organizzazioni internazionali di cui l'Italia fa parte.

Art.11 (Norme di contabilità e disposizioni finanziarie)

1. Al Presidente del Consiglio dei ministri è attribuita, in via esclusiva, la determinazione del fabbisogno annuo delle risorse finanziarie dell'Agenzia, di cui dà comunicazione al COPASIR. Nello stato di previsione della spesa del Ministero dell'economia e delle finanze è assegnato lo stanziamento annuale delle risorse finanziarie per l'Agenzia.

2. Le entrate dell'Agenzia sono costituite da:

a) dotazioni finanziarie e contributi ordinari di cui all 'articolo 18 del presente decreto;

b) corrispettivi per i servizi prestati a soggetti pubblici o privati;

c) proventi derivanti dallo sfruttamento della proprietà industriale, dei prodotti dell'ingegno e delle invenzioni dell'Agenzia;

d) altri proventi patrimoniali e di gestione;

e) contribuiti dell'Unione europea o di organismi internazionali, anche a seguito della partecipazione a specifici bandi, progetti e programmi di collaborazione;

f) proventi delle sanzioni ai sensi di quanto previsto dall'articolo 18, comma 3;

g) ogni altra eventuale entrata.

3. Il regolamento di contabilità dell'Agenzia, che ne assicura l'autonomia gestionale e contabile, è adottato con decreto del Presidente del Consiglio dei ministri, su proposta dal direttore generale dell'Agenzia, entro centoventi giorni dalla data di entrata in vigore della legge di conversione del presente decreto, anche in deroga alle norme di contabilità generale dello Stato, anche in deroga all'articolo 17 della legge 23 agosto 1988, n. 400, previo parere del COPASIR e sentito il CICS, previa verifica di regolarità contabile del Collegio dei revisori e nel rispetto dei princìpi fondamentali da esse stabiliti, nonché delle seguenti disposizioni:

a) il bilancio preventivo e il bilancio consuntivo adottati dal direttore generale dell'Agenzia sono approvati con decreto del Presidente del Consiglio dei ministri, previa deliberazione del CICS;

b) i bilanci preventivo e consuntivo sono inviati per il controllo della legittimità e regolarità della gestione, alla Corte dei conti. La Corte dei conti è competente per il controllo di legittimità su atti, ai sensi dell'articolo 3, comma 4, della legge 14 gennaio 1994, n. 20;

c) il consuntivo della gestione finanziaria è trasmesso, insieme con la relazione della Corte dei conti, al COPASIR.

4. Con regolamento adottato con decreto del Presidente del Consiglio dei ministri, su proposta del direttore generale dell'Agenzia, entro centoventi giorni dalla data di entrata in vigore della legge di conversione del presente decreto, anche in deroga all 'articolo 17 della legge 23 agosto 1988, n. 400, previo parere del COPASIR e sentito il CICS, sono definite le procedure per la stipula di contratti di appalti di lavori e forniture di beni e servizi per le attività dell'Agenzia finalizzate alla tutela della sicurezza nazionale nello spazio cibernetico e per quelle svolte in raccordo con il Sistema di informazione per la sicurezza della Repubblica di cui alla legge n. 124 del 2007, ferma restando la disciplina nel rispetto delle disposizioni dell'articolo 162 del codice dei contratti pubblici relativi a lavori, servizi e forniture, di cui al decreto legislativo 18 aprile 2016, n. 50.

Art.12 (Personale)

1. Con apposito regolamento è dettata, nel rispetto dei criteri di cui al presente decreto, la disciplina del contingente di personale addetto all'Agenzia. Il regolamento definisce l'ordinamento e il reclutamento del personale, e il relativo trattamento economico e previdenziale, prevedendo, in particolare, per il personale dell'Agenzia un trattamento economico pari a quello in godimento da parte dei dipendenti della Banca d'Italia, sulla scorta della equiparabilità delle funzioni svolte e del livello di responsabilità rivestito.

2. Il regolamento determina, nei limiti delle risorse finanziarie disponibili, in particolare:

a) l'istituzione di un ruolo del personale e la disciplina generale del rapporto d'impiego alle dipendenze dell'Agenzia;

b) la possibilità di procedere, oltre che ad assunzioni a tempo indeterminato attraverso modalità concorsuali, ad assunzioni a tempo determinato, con contratti di diritto privato, di soggetti in possesso di alta e particolare specializzazione debitamente documentata, individuati attraverso adeguate modalità selettive, per lo svolgimento di attività assolutamente necessarie all'operatività dell'Agenzia o per specifiche progettualità da portare a termine in un arco di tempo prefissato;

c) la possibilità di avvalersi di un contingente di esperti, non superiore a cinquanta unità, composto da personale in posizione di fuori ruolo, comando o altra analoga posizione, prevista dagli ordinamenti di appartenenza, proveniente da ministeri, da altre pubbliche amministrazioni, ovvero da personale non appartenente alla pubblica amministrazione, in possesso di specifica ed elevata competenza in materia di cybersicurezza e di tecnologie digitali innovative, nello sviluppo e gestione di processi complessi di trasformazione tecnologica e delle correlate iniziative di comunicazione e disseminazione, nonché di significativa esperienza in progetti di trasformazione digitale, ivi compreso lo sviluppo di programmi e piattaforme digitali con diffusione su larga scala. li regolamento, a tali fini, disciplina le modalità di formazione del contingente e il compenso spettante per ciascuna professionalità;

d) la determinazione della percentuale massima dei dipendenti che sarà possibile assumere [è stato previsto alla lettera e il limite di n. 50 unità];

e) la possibilità di impiegare personale del Ministero della difesa, secondo termini e modalità da definire con apposito decreto del Presidente del Consiglio dei ministri di natura non regolamentare;

f) le ipotesi di incompatibilità;

g) le modalità di svolgimento della carriera all'interno dell'Agenzia;

h) la disciplina e il procedimento per la definizione degli aspetti giuridici e, limitatamente ad eventuali compensi accessori, economici del rapporto di impiego del personale oggetto di negoziazione con le rappresentanze del personale;

i) le modalità applicative delle disposizioni del decreto legislativo 10 febbraio 2005, n. 30, recante il Codice della proprietà industriale, ai prodotti dell'ingegno ed alle invenzioni dei dipendenti dell'Agenzia;

l) i casi di cessazione dal servizio del personale assunto a tempo indeterminato ed i casi di anticipata risoluzione dei rapporti a tempo determinato.

3. Qualora le assunzioni di cui al comma 2, lettera b), riguardino professori universitari di ruolo o ricercatori universitari confermati si applicano le disposizioni di cui all'articolo 12 del decreto del Presidente della Repubblica 11 luglio 1980, n. 382, anche per quanto riguarda il collocamento in aspettativa.

4. In sede di prima applicazione delle disposizioni di cui al presente decreto, il numero di posti previsti dalla pianta organica dell'Agenzia è individuato nella misura complessiva di trecento unità. Il regolamento individua quali delle disposizioni ivi contenute possono essere oggetto di revisione per effetto della negoziazione con le rappresentanze del personale.

5. Con successivi decreti del Presidente del Consiglio dei ministri, la dotazione organica è rideterminata in quattrocentocinquanta unità nel 2024, in seicento unità nel 2025, in settecento unità nel 2026 e in ottocento unità nel 2027.

6. Le assunzioni effettuate in violazione dei divieti previsti dal presente decreto o dal regolamento sono nulle, ferma restando la responsabilità personale, patrimoniale e disciplinare di chi le ha disposte.

7. Fatto salvo quanto previsto dall'articolo 42 della legge n. 124 del 2007, il personale che presta comunque la propria opera alle dipendenze o in favore dell'Agenzia è tenuto, anche dopo la cessazione di tale attività, al rispetto del segreto su ciò di cui sia venuto a conoscenza nell'esercizio oa causa delle proprie funzioni.

8. Il regolamento di cui al presente articolo è adottato, entro centoventi giorni dalla data di conversione in legge del presente decreto, con decreto del Presidente del Consiglio dei ministri, anche in deroga all'articolo 17 della legge 23 agosto 1988, n. 400, previo parere del COPASIR e sentito il CICS.

Art.13 (Trattamento dei dati personali)

1. Il trattamento dei dati personali svolto per finalità di sicurezza nazionale in applicazione del presente decreto è effettuato ai sensi dell'articolo 58, commi 2 e 3, del decreto legislativo 30 giugno 2003 , n. 196.

Art. 14 (Relazioni annuali)

1. Entro il 30 aprile di ogni anno, il Presidente del Consiglio dei ministri trasmette al Parlamento una relazione sull'attività svolta dall'Agenzia nell'anno precedente, in materia di cybersicurezza nazionale.

2. Entro il 30 giugno di ogni anno, il Presidente del Consiglio dei ministri trasmette al COPASIR una relazione sulle attività svolte nell'anno precedente dall'Agenzia in raccordo con il Sistema di informazione per la sicurezza della Repubblica di cui alla legge n. 124 del 2007, nonché in relazione agli ambiti di attività dell'Agenzia sottoposti al controllo del Comitato ai sensi del presente decreto.

Art. 15 (Modificazioni al decreto legislativo NIS)

1. Al decreto legislativo NIS, sono apportate le seguenti modificazioni:

a) all'articolo 3, lettera a), le parole da: “autorità competente NIS” a: “per settore,” sono sostituite dalle seguenti: “autorità nazionale competente NIS, l'autorità nazionale unica, competente”;

b) all'articolo 3, dopo la lettera a), è inserita la seguente: “a-bis) autorità di settore, le autorità di cui all'articolo 7, comma 1, lettere da a) ae)”;

c) all'articolo 4, il comma 6 è sostituito dal seguente: “6. L'elenco degli operatori di servizi essenziali identificati ai sensi del comma 1 è riesaminato e, se del caso, aggiornato su base regolare, e almeno ogni due anni dopo il 9 maggio 2018, con le seguenti modalità: a) le autorità di settore, in relazione ai settori di competenza, propongono all'autorità nazionale competente NIS le variazioni all 'elenco degli operatori dei servizi essenziali, secondo i criteri di cui ai commi 2 e 3; b) le proposte sono valutate dall'autorità nazionale competente NIS che, con propri provvedimenti, provvede alle variazioni dell'elenco degli operatori dei servizi essenziali, dandone comunicazione, in relazione ai settori di competenza, anche alle autorità di settore.”;

d) all'articolo 6, nella rubrica, le parole: “sicurezza cibernetica” sono sostituite dalle seguenti: “cybersicurezza”; ai commi 1, 2 e 3, le parole: “sicurezza cibernetica” sono sostituite dalla seguente: “e cybersicurezza” ; al comma 4, le parole: “La Presidenza del Consiglio dei ministri” sono sostituite dalle seguenti: “L'Agenzia per la cybersicurezza” e le parole: “sicurezza cibernetica” sono sostituite dalle seguenti: “cybersicurezza”;

e) l'articolo 7 è sostituito dal seguente:

“Art. 7 (Autorità nazionale competente e punto di contatto unico)

1. L'Agenzia per la cybersicurezza nazionale è designata quale autorità nazionale competente NIS per i settori e sottosettori di cui all'allegato II e per i servizi di cui all'allegato III. Sono designate quali autorità di settore:

a) il Ministero dello sviluppo economico, per il settore infrastrutture digitali, sottosettori IXP, DNS, TLD, nonché per i servizi digitali;

b) il Ministero delle infrastrutture e della mobilità sostenibili, per il settore trasporti, sottosettori aereo, ferroviario, per vie d'acqua e su strada;

c) il Ministero dell'economia e delle finanze, per il settore bancario e per il settore infrastrutture dei mercati finanziari, in collaborazione con le autorità di vigilanza di settore, Banca d'Italia e Consob, secondo modalità di collaborazione e di scambio di informazioni stabilite con decreto del Ministro dell'economia e delle finanze;

d) il Ministero della salute, per l'attività di assistenza sanitaria, come definita dall'articolo 3, comma 1, lettera a), del decreto legislativo 4 marzo 2014, n. 38, prestata dagli operatori dipendenti o incaricati dal medesimo Ministero o convenzionati con lo stesso, e le Regioni e le Province autonome di Trento e di Bolzano, direttamente o per il tramite delle Autorità sanitarie territorialmente competenti, per le attività di assistenza sanitaria prestata dagli operatori autorizzati e accreditati delle Regioni o dalle Province autonome negli ambiti territoriali di rispettiva competenza;

e) il Ministero della transizione ecologica per il settore energia, sottosettori energia elettrica, gas e petrolio;

f) il Ministero della transizione ecologica e le Regioni e le Province autonome di Trento e di Bolzano, direttamente o per il tramite delle Autorità territorialmente competenti, in merito al settore fornitura e distribuzione di acqua potabile.

2. L'autorità nazionale competente NIS è responsabile dell'attuazione del presente decreto con riguardo ai settori di cui all'allegato II e ai servizi di cui all'allegato III e vigila sull'applicazione del presente decreto a livello nazionale, esercitando altresì le relative potestà ispettive e sanzionatorie.

3. L'Agenzia per la cybersicurezza nazionale è designata quale punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi.

4. Il punto di contatto unico svolge una funzione di collegamento per garantire la cooperazione transfrontaliera dell'autorità nazionale competente NIS con le autorità competenti degli altri Stati membri, nonché con il gruppo di cooperazione di cui all'articolo 10 e la rete di CSIRT di cui all'articolo 11.

5. Il punto di contatto unico collabora nel gruppo di cooperazione in modo effettivo, efficiente e sicuro con i rappresentanti designati dagli altri Stati.

6. L'autorità nazionale competente NIS e il punto di contatto unico consultano, conformemente alla normativa vigente, l'autorità di contrasto ed il Garante per la protezione dei dati personali e collaborano con essi.

7. La Presidenza del Consiglio dei ministri comunica tempestivamente alla Commissione europea la designazione del punto di contatto unico e quella dell'autorità nazionale competente NIS, i relativi compiti e qualsiasi ulteriore modifica. Alle designazioni sono assicurate idonee forme di pubblicità.

8. Agli oneri derivanti dal presente articolo pari a 1.300.000 euro a decorrere dal 2018, si provvede ai sensi dell'articolo 22.”;

f) all'articolo 8, comma I, le parole da: “la Presidenza” a: ” la sicurezza” sono sostituite da: “l'Agenzia di cybersicurezza nazionale”;

g) l'articolo 9, comma I, è sostituito dal seguente

1. Le autorità di settore collaborano con l'autorità nazionale competente NIS per l'adempimento degli obblighi di cui al presente decreto. A tal fine è istituito presso l'Agenzia per la cybersicurezza nazionale, un Comitato tecnico di raccordo. Il Comitato è presieduto dall'autorità nazionale competente NIS ed è composto dai rappresentanti delle amministrazioni statali individuate quali autorità di settore e da rappresentanti delle Regioni e Province autonome in numero non superiore a due, designati dalle Regioni e Province autonome in sede di Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e di Bolzano. L'organizzazione del Comitato è definita con decreto del Presidente del Consiglio dei ministri, di natura non regolamentare, sentita la Conferenza unificata. Per la partecipazione al Comitato tecnico di raccordo non sono previsti gettoni di presenza, compensi o rimborsi spese.”;

h) all'articolo 12, comma 5, le parole da: “e, per conoscenza,” a: “NIS,” sono eliminate;

i) all'articolo 14, comma 4, le parole da: “e, per conoscenza,” a: “NIS,” sono eliminate;

l) all'articolo 19, comma 1, le parole: “dalle autorità competenti NIS” sono sostituite dalle seguenti: “dall'autorità nazionale competente NIS”;

m) all'articolo 19, il comma 2 è soppresso;

n) all'articolo 20, comma 1, le parole da: “Le autorità competenti NIS” a: “sono competenti” sono sostituite da: “L'autorità nazionale competente NIS è competente”;

o) all'allegato I:

1) al punto 1, dopo la lettera d) è aggiunta la seguente: “e) il CSIRT Italia conforma i propri servizi e la propria attività alle migliori pratiche internazionalmente riconosciute in materia di prevenzione, gestione e risposta rispetto a eventi di natura cibernetica”;

2) al punto 2, lettera e), dopo la parola: “standardizzate” sono inserite le seguenti: “, secondo le migliori pratiche internazionalmente riconosciute,”.

2. Nel decreto legislativo NIS:

a) ogni riferimento al Ministero dello sviluppo economico, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale, fatta eccezione per le disposizioni di cui all'articolo 7, comma 1, lettera a), del medesimo decreto legislativo;

b) ogni riferimento al DIS, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale;

c) ogni riferimento alle autorità competenti NIS, ovunque ricorra, deve intendersi riferito all'autorità nazionale competente NIS, fatta eccezione per le disposizioni di cui all'articolo 5, comma 1, del medesimo decreto legislativo;

d) all'articolo 5, comma 1, alinea, le parole: “le autorità competenti NIS” sono sostituite dalle seguenti : “l'autorità nazionale competente NIS e le autorità di settore”;

e) agli articoli 6 e 12, le parole: “Comitato interministeriale per la sicurezza della Repubblica (CISR)” sono sostituite dalle seguenti: “Comitato interministeriale per la cybersicurezza (CICS)” .

Art. 16 (Altre modificazioni)

1. All'articolo 3, comma I-bis, della legge n. 124 del 2007, dopo le parole: “della presente legge” sono aggiunte le seguenti: “e in materia di cybersicurezza”.

2. All'articolo 38 della legge n. 124 del 2007, il comma I-bis è abrogato.

3. La denominazione: “CSIRT Italia” sostituisce, ad ogni effetto e ovunque presente m provvedimenti legislativi e regolamentari, la denominazione: “CSIRT Italiano”.

4. Nel decreto-legge perimetro le parole: “Comitato interministeriale per la sicurezza della Repubblica (CISR)” e “CISR”, ovunque ricorrano, sono rispettivamente sostituite dalle seguenti: “Comitato interministeriale per la cybersicurezza (CICS)” e “CICS”, fatta eccezione per le disposizioni di cui all'articolo 5 del medesimo decreto-legge.

5. Nel decreto-legge perimetro ogni riferimento al Dipartimento delle informazioni per la sicurezza, o al DIS, ovunque ricorra, è da intendersi riferito all'Agenzia per la cybersicurezza nazionale.

6. Nel decreto-legge perimetro ogni riferimento al Ministero dello sviluppo economico e alla Presidenza del Consiglio dei ministri, ovunque ricorra, è da intendersi riferito all'Agenzia per la cybersicurezza nazionale.

7. Nei provvedimenti di natura regolamentare e amministrativa la cui adozione è prevista dall'articolo 1 del decreto-legge perimetro, ogni riferimento al CJSR e al DIS deve intendersi rispettivamente riferito al CICS e all'Agenzia per la cybersicurezza nazionale.

8. Nei provvedimenti di natura regolamentare e amministrativa la cui adozione è prevista dall'articolo 1 del decreto-legge perimetro, ogni riferimento al Ministero dello sviluppo economico e alla struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale, fatta eccezione per le disposizioni di cui agli articoli 3 del decreto del Presidente del Consiglio dei ministri n. 131 del 2020.

9. Al decreto-legge perimetro sono apportate le seguenti modificazioni: a) all'articolo 1, comma 6, lettera a), dopo le parole “anche in relazione all'ambito di impiego” è aggiunto il seguente periodo: “L'obbligo di comunicazione di cui alla presente lettera è efficace a decorrere dal trentesimo giorno successivo alla pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana del decreto del Presidente del Consiglio dei ministri che, sentita l'Agenzia per la cybersicurezza nazionale, attesta l'operatività del CVCN e comunque dal 30 giugno 2022.”;

b) all'articolo 3, il comma 2 è abrogato;

c) a decorrere dalla data in cui diviene efficace l'obbligo di comunicazione disciplinato dalla precedente lettera a), all'articolo 3:

1) il comma I è sostituito dal seguente: “1. I soggetti che intendono procedere all'acquisizione, a qualsiasi titolo, di beni, servizi e componenti di cui all'articolo i-bis, comma 2, del decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, sono obbligati ad effettuare la comunicazione di cui all'articolo 1, comma 6, lettera a), per lo svolgimento delle verifiche di sicurezza da parte del CVCN sulla base delle procedure, modalità e termini previsti dal regolamento di attuazione. Ai fornitori di predetti beni, servizi e componenti si applica l'articolo 1, comma 6, lettera b).”;

2) il comma 3 è abrogato;

10. A decorrere dalla data in cui diviene efficace l'obbligo di comunicazione disciplinato dal comma 9, lettera a), al decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, il comma 3-bis dell'articolo 1-bis è sostituito dal seguente: “Entro dieci giorni dalla conclusione di un contratto o accordo di cui al comma 2, l'impresa che ha acquisito, a qualsiasi titolo, i beni oi servizi di cui allo stesso comma notifica alla Presidenza del Consiglio dei ministri un'informativa completa, contenente anche la comunicazione del Centro di valutazione e certificazione nazionale (CVCN), relativa all'esito della valutazione e alle eventuali prescrizioni, in modo da consentire l'eventuale esercizio del potere di veto o l'imposizione di specifiche prescrizioni o condizioni. Qualora il contratto sia stato stipulato antecedentemente alla conclusione dei test imposti dal CVCN, il termine di cui al primo periodo decorre dalla comunicazione di esito positivo della valutazione effettuata dal CVCN Entro 30 giorni dalla notifica, il Presidente del Consiglio dei ministri comunica l'eventuale veto ovvero l'imposizione di specifiche prescrizioni o condizioni. I poteri speciali sono esercitati nella forma dell'imposizione di specifiche prescrizioni o condizioni ogniqualvolta ciò sia sufficiente ad assicurare la tutela degli interessi essenziali della difesa e della sicurezza nazionale. Decorsi i predetti termini, i poteri speciali si intendono non esercitati. Qualora si renda necessario richiedere informazioni all'acquirente, tale termine è sospeso, per una sola volta, fino al ricevimento delle informazioni richieste, che sono rese entro il termine di dieci giorni. Qualora si renda necessario formulare richieste istruttorie a soggetti terzi, il predetto termine di trenta giorni è sospeso, per una sola volta, fino al ricevimento delle informazioni richieste, che sono rese entro il termine di venti giorni. Le richieste di informazioni e le richieste istruttorie a soggetti terzi successive alla prima non sospendono i termini. In caso di incompletezza della notifica, il termine di trenta giorni previsto dal presente comma decorre dal ricevimento delle informazioni o degli elementi che la integrano. Fermo restando quanto previsto in materia di sanzioni al presente comma, nel caso in cui l'impresa notificante abbia iniziato l'esecuzione del contratto o dell'accordo oggetto della notifica prima che sia decorso il termine per l'esercizio dei poteri speciali, ovvero abbia eseguito il contratto o accordo in violazione del decreto di esercizio dei poteri speciali, il Governo può ingiungere all'impresa di ripristinare a proprie spese la situazione anteriore. Salvo che il fatto costituisca reato, chiunque non osservi gli obblighi di notifica di cui al presente articolo ovvero le disposizioni contenute nel provvedimento di esercizio dei poteri speciali è soggetto alla sanzione amministrativa pecuniaria fino al 150 per cento del valore dell'operazione e comunque non inferiore al 25 per cento del medesimo valore. Nei casi di violazione degli obblighi di notifica di cui al presente articolo, anche in assenza della notifica, la Presidenza del Consiglio dei ministri può avviare il procedimento ai fini dell'eventuale esercizio dei poteri speciali. A tale scopo, trovano applicazione i termini e le norme procedurali previsti dal presente comma. Il termine di trenta giorni di cui al presente comma decorre dalla conclusione del procedimento di accertamento della violazione dell'obbligo di notifica”.

11. All'articolo 135 del decreto legislativo 2 luglio 2010, n. 104, dopo la lettera h), è aggiunta la seguente: “h-bis) le controversie aventi ad oggetto i provvedimenti dell'Agenzia per la cybersicurezza nazionale;”.

12. Alla legge 22 aprile 2021 , n. 53, sono apportate le seguenti modificazioni:

a) all'articolo 4, comma 1, lettera b), dopo le parole: “Ministero dello sviluppo economico” sono aggiunte le seguenti: ” e l'Agenzia per la cybersicurezza nazionale”;

b) all'articolo 18, ogni riferimento al Ministero dello sviluppo economico, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale.

13. All'articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, le parole: “L'AgID” sono sostituite dalle seguenti: “L'Agenzia per la cybersicurezza nazionale”.

14. Al decreto legislativo 1° agosto 2003, n. 259, sono apportate le seguenti modificazioni:

a) agli articoli 16-bis e 16-ter, ogni riferimento al Ministero dello sviluppo economico, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale;

b) all'articolo 16-ter, comma 1, le parole: “Ministro dello sviluppo economico” sono sostituite dalle seguenti: “Presidente del Consiglio dei ministri”;

c) all'articolo 16-ter, comma 2, lettera b), le parole: “in collaborazione con gli Ispettorati territoriali del Ministero dello sviluppo economico,” sono soppresse.

Art. 17 (Disposizioni transitorie e finli)

1. Per lo svolgimento delle funzioni ispettive, di accertamento delle violazioni e di irrogazione delle sanzioni, di cui all'articolo 7, l'Agenzia può provvedere, oltre che con proprio personale, con l'ausilio dell'organo centrale del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155.

2. Per lo svolgimento delle funzioni relative all 'attuazione e al controllo dell'esecuzione dei provvedimenti assunti da parte del Presidente del Consiglio dei ministri ai sensi dell'articolo 5 del decreto-legge perimetro, l'Agenzia provvede con l'ausilio dell'organo centrale del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155.

3. Il personale dell'Agenzia, nello svolgimento delle funzioni ispettive, di accertamento delle violazioni e di irrogazione delle sanzioni, di cui all'articolo 7, nonché delle funzioni relative all'attuazione e al controllo dell'esecuzione dei provvedimenti assunti da parte del Presidente del Consiglio dei ministri ai sensi dell'articolo 5 del decreto-legge perimetro, riveste la qualifica di pubblico ufficiale.

4. Il personale dell'Agenzia addetto al CSIRT Italia, nello svolgimento delle proprie funzioni, riveste la qualifica di pubblico ufficiale. La trasmissione delle notifiche di incidente ricevute dal CSIRT Italia all'organo centrale del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. I 55, costituisce adempimento dell'obbligo di cui all'articolo 33 I del codice di procedura penale.

5. Con uno o più decreti del Presidente del Consiglio dei ministri di natura non regolamentare, da adottare entro centottanta giorni dalla data di entrata in vigore della legge di conversione del presente decreto, sono definiti i termini e le modalità:

a) per assicurare la prima operatività dell'Agenzia, mediante l'individuazione di appositi spazi, in via transitoria e per un massimo di ventiquattro mesi, secondo opportune intese con le amministrazioni interessate, per l'attuazione delle disposizioni del presente decreto;

b) per il trasferimento, anche mediante opportune intese con le amministrazioni interessate, delle funzioni di cui all'articolo 7, nonché per il trasferimento dei beni strumentali e della documentazione, anche di natura classificata, per l'attuazione delle disposizioni del presente decreto.

6. In relazione al trasferimento delle funzioni di cui all'articolo 7, comma 1, lettera m dall'AgID all'Agenzia, i decreti di cui al comma 5 definiscono, altresì, i raccordi tra le due amministrazioni, per le funzioni che restano di competenza di AgID.

7. Dalla data di nomina del direttore generale dell'Agenzia e fino all'adozione dei regolamenti di cui all'articolo 11 , commi 3 e 5, alle spese occorrenti per assicurare la prima operatività dell'Agenzia provvede il DIS, nell'ambito delle risorse destinate all'Agenzia. Entro 90 giorni dall'approvazione dei regolamenti di cui all'articolo 11 , commi 3 e 5, delle spese effettuate ai sensi del presente comma, il Presidente del Consiglio dei ministri ne dà informazione al COPASIR.

8. In sede di prima applicazione delle disposizioni di cui al presente decreto e per un periodo massimo di diciotto mesi dalla data di conversione in legge, l'Agenzia si avvale di un nucleo di personale, non superiore al 30 per cento della dotazione organica complessiva iniziale, di unità appartenenti al Ministero dello sviluppo economico, all'Agenzia per l'Italia digitale, al DIS, ad altre pubbliche amministrazioni e ad autorità indipendenti, messo a disposizione dell'Agenzia stessa su specifica richiesta, anche nominativa, e secondo modalità individuate mediante intese con le rispettive amministrazioni di appartenenza. Il relativo onere resta a carico dell'amministrazione di appartenenza.

9. Il regolamento di cui all 'articolo 12, comma I , prevede apposite modalità selettive per l'nquadramento, nella misura massima del 50 per cento della dotazione organica complessiva, del personale di cui al comma 8 e del personale di cui all'articolo 12, comma 2, lettera b), ove già appartenente alla pubblica amministrazione, nel contingente di personale addetto all'Agenzia di cui al medesimo articolo 12, che tengano conto delle mansioni svolte e degli incarichi ricoperti durante il periodo di servizio presso l'Agenzia, nonché delle competenze possedute e dei requisiti di professionalità ed esperienza richiesti per le specifiche posizioni. Gli inquadramenti conseguenti alle procedure selettive di cui al presente comma, relative al personale di cui al comma 8, decorrono dal 30 settembre 2022.

10. LìAgenzia può avvalersi del patrocinio dell'Avvocatura dello Stato, ai sensi dell'rticolo 43 del testo unico approvato con regio decreto 30 ottobre 1933, n. 1611.

Art.18 (Copertura finanziaria)

[MEF]

All'onere derivante dall'applicazione del presente decreto, valutato in euro … per l'anno 2021 , euro … per l'anno 2022 ed euro … a decorrere dall'anno 2022, si provvede a valere sul Fondo di cui all'art .. ..

2. Il Ministro dell'economia e delle finanze è autorizzato ad apportare, con propri decreti, le occorrenti variazioni di bilancio per l'attuazione del presente decreto.

3. I proventi delle sanzioni irrogate dall'Agenzia ai sensi di quanto previsto dal decreto legislativo NIS, dal decreto-legge perimetro e dal decreto legislativo 1° agosto 2003 , n. 259, e relative disposizioni attuative, sono versati al Fondo di cui al comma 1 del presente articolo.

Art. 19 (Entrata in vigore)

1. Il presente decreto entra in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana e sarà presentato alle Camere per la conversione in legge. Il presente decreto, munito del sigillo dello Stato, sarà inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. È fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.


這是在 Thu, 10 Jun 2021 09:22:21 +0000 在 https://www.startmag.it/mondo/tutto-sullagenzia-per-la-cybersicurezza-nazionale-acn-che-cosa-prevede-il-decreto/ 的報紙 “Scenari Economici” 上發表的文章的翻譯。