Gazzetta n. 46 del 24 febbraio 2006 (vai al sommario)
PRESIDENZA DEL CONSIGLIO DEI MINISTRI
DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 3 febbraio 2006
Norme unificate per la protezione e la tutela delle informazioni classificate.

IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI

Vista la legge 24 ottobre 1977, n. 801, recante «Istituzione e ordinamento dei servizi per le informazioni e la sicurezza e disciplina del segreto di Stato», in particolare l'art. 1, secondo comma;
Visto l'art. 5, comma 2, lettera g), della legge 23 agosto 1988, n. 400;
Visto il regio decreto-legge 11 luglio 1941, n. 1161, recante «Norme relative al segreto militare»;
Visti il Trattato del Nord Atlantico (NATO) ratificato con legge 1° agosto 1949, n. 465, e i seguenti atti:
Accordo tra gli Stati membri per la tutela della sicurezza delle informazioni, approvato dal Consiglio del Nord Atlantico in data 21 giugno 1996;
Documento C-M(2002)49 «La sicurezza in seno all'Organizzazione del Trattato del Nord Atlantico», approvato dal Consiglio del Nord Atlantico in data 26 marzo 2002;
Visti il Trattato di Bruxelles modificato istitutivo dell'Unione dell'Europa occidentale (UEO), ratificato con legge 16 marzo 1955, n. 239 e l'art. 3 dell'Accordo di sicurezza dell'UEO, fatto a Bruxelles il 28 marzo 1995 e ratificato con legge 16 giugno 1997, n. 190;
Visto il decreto del Presidente del Consiglio dei Ministri 21 settembre 1999, recante «Criteri per il rilascio delle certificazioni di sicurezza ai fini della tutela delle informazioni, dei documenti e dei materiali classificati»;
Visto il decreto del Presidente del Consiglio dei Ministri 11 aprile 2002, recante «Schema nazionale per la valutazione e la certificazione della sicurezza delle tecnologie dell'informazione, ai fini della tutela delle informazioni classificate, concernenti la sicurezza interna ed esterna dello Stato», pubblicato nella Gazzetta Ufficiale n. 131 del 6 giugno 2002;
Visto il decreto del Presidente del Consiglio dei Ministri 11 aprile 2002, recante «Norme di sicurezza per la tutela delle informazioni UE classificate di attuazione della decisione del Consiglio dell'Unione europea del 19 marzo 2001», pubblicato nel supplemento ordinario n. 130 alla Gazzetta Ufficiale n. 143 del 20 giugno 2002;
Visto il decreto del Presidente del Consiglio dei Ministri 11 aprile 2003, recante «Norme di sicurezza per la tutela delle informazioni UE classificate, di attuazione della Decisione della Commissione delle Comunita' europee del 29 novembre 2001», pubblicato nel supplemento ordinario n. 114 alla Gazzetta Ufficiale n. 167 del 21 luglio 2003;
Viste le circolari della Presidenza del Consiglio dei Ministri - Gabinetto:
n. 5/21.6-Ris. del 23 novembre 1979;
n. 5/21.6-Ris. del 5 gennaio 1980;
Viste le direttive:
PCM-ANS 1/R - Norme unificate per la tutela del segreto di Stato - Volume I - Sistema di Sicurezza - Edizione 1987;
PCM-ANS 1/R - Norme unificate per la tutela del segreto di Stato - Volume III - Sicurezza Industriale - Edizione 1993;
PCM-ANS 1/R/A - Norme unificate per la tutela del segreto di Stato - Direttiva per la protezione delle informazioni coperte dal segreto di Stato trattate in sistemi di elaborazione automatica e/o elettronica dei dati (EAD) - Edizione 1993;
PCM-ANS 1/R - Norme unificate per la tutela del segreto di Stato - Volume II - Sicurezza delle comunicazioni ed organizzazione e procedure del servizio cifra - Edizione 1994;
Visto il decreto del Presidente del Consiglio dei Ministri 7 giugno 2005, recante «Disposizioni in materia di rilascio dei nulla osta di sicurezza», pubblicato nella Gazzetta Ufficiale n. 210 del 9 settembre 2005;
Ravvisata l'esigenza di disporre di un testo unitario delle principali disposizioni che disciplinano la protezione e la tutela delle informazioni, dei documenti e dei materiali classificati;
Decreta:
«NORME UNIFICATE PER LA PROTEZIONE
E LA TUTELA DELLE INFORMAZIONI CLASSIFICATE»

Art. 1.
Ambito di applicazione
1. Il presente decreto si applica a tutti i soggetti pubblici e privati che, per fini istituzionali o contrattuali, hanno necessita' di trattare informazioni, documenti e materiali classificati ovvero coperti da segreto di Stato, sia nazionali che originati nel quadro del Trattato del Nord Atlantico, dell'Unione dell'Europa occidentale, dell'Unione europea e di qualunque altro accordo internazionale stipulato dallo Stato.
 
Art. 2.
Obiettivi
1. La sicurezza delle informazioni persegue principalmente i seguenti obiettivi:
a) proteggere le informazioni classificate dallo spionaggio, da manomissioni o dalla rivelazione non autorizzata;
b) salvaguardare le informazioni classificate trattate con sistemi di elaborazione dati, con reti di comunicazione e con prodotti delle tecnologie dell'informazione da minacce contro la loro segretezza, riservatezza, integrita', disponibilita' ed autenticita';
c) preservare le installazioni, gli edifici e i locali all'interno dei quali vengono trattate informazioni classificate da atti di sabotaggio e da qualsiasi altra azione finalizzata ad arrecare danni agli stessi.
 
Art. 3.
Definizioni
1. Ai fini del presente decreto si intende per:
a) «Organizzazione nazionale per la sicurezza », il complesso costituito dagli uffici e da qualunque altra unita' amministrativa, organizzativa, produttiva o di servizio della pubblica amministrazione e di ogni altra persona giuridica, ente, associazione od organismo legittimati alla trattazione di informazioni classificate ovvero coperte da segreto di Stato, finalizzato ad assicurare modalita' di trattazione uniformi e sicure e protezione ininterrotta alle informazioni, ai documenti e ai materiali classificati;
b) «Autorita' nazionale per la sicurezza» (ANS), il Presidente del Consiglio dei Ministri ovvero l'Organo dallo stesso delegato per l'esercizio dei compiti e delle funzioni in materia di protezione e tutela delle informazioni, dei documenti e dei materiali classificati;
c) «Ufficio centrale per la sicurezza» (UCSi), l'Ufficio istituito nell'ambito della Segreteria generale del Comitato esecutivo per i servizi di informazione e di sicurezza, alle dipendenze dell'Autorita' nazionale per la sicurezza per gli adempimenti concernenti la tutela delle informazioni, dei documenti e del materiale classificato;
d) «Organo centrale di sicurezza», il complesso costituito dal Funzionario/Ufficiale alla sicurezza, dal Funzionario/Ufficiale COMSEC, dal Funzionario/Ufficiale alla sicurezza EAD, dal Funzionario/Ufficiale preposto al servizio di sorveglianza e controllo delle infrastrutture (sicurezza fisica), dal Capo dell'Organo principale di sicurezza e dallo stesso Organo principale di sicurezza. Sono fatte salve eventuali, diverse determinazioni legislative o regolamentari in materia;
e) «Organo principale di sicurezza», l'unita' amministrativa - facente parte integrante di un Organo centrale di sicurezza - responsabile della gestione dei documenti classificati originati e ricevuti nell'ambito della propria sfera di competenza;
f) «Organo esecutivo di sicurezza», l'unita' amministrativa - istituita a livello centrale e periferico di un ente pubblico e funzionalmente dipendente dall'Organo principale di sicurezza - responsabile della gestione dei documenti classificati originati e ricevuti nell'ambito della propria sfera di competenza;
g) «Funzionario/Ufficiale alla sicurezza», il Funzionario/Ufficiale, di elevato livello gerarchico, al quale la massima autorita' dell'ente di appartenenza e, per le imprese, il rappresentante legale, delega il compito di dirigere, coordinare e controllare tutte le attivita' che riguardano la protezione e la tutela delle informazioni, dei documenti e dei materiali classificati nell'ambito dell'intero Ministero, Forza armata, ente o impresa. In mancanza di tale delega, i compiti di cui sopra sono esercitati direttamente dalla massima autorita' di una amministrazione pubblica e, per le imprese, dal rappresentante legale;
h) «Funzionario/Ufficiale COMSEC», il Funzionario/Ufficiale al quale e' attribuito il compito di sovrintendere, coordinare e controllare, nell'ambito dell'intero Ministero, Forza armata, ente o impresa di appartenenza, tutte le attivita' che riguardano la sicurezza delle comunicazioni (COMSEC), compresa la corretta applicazione delle disposizioni che disciplinano la materia;
i) «Funzionario/Ufficiale alla sicurezza EAD», il Funzionario/Ufficiale al quale e' attribuito il compito di sovrintendere, coordinare e controllare, nell'ambito dell'intero Ministero, Forza armata, ente o impresa di appartenenza, tutte le attivita' che riguardano la sicurezza delle informazioni classificate trattate con sistemi EAD, compresa la corretta applicazione e l'integrazione di tutti gli aspetti della sicurezza fisica, personale, delle procedure e tecnica dei sistemi per l'elaborazione automatica dei dati (EAD);
l) «Funzionario/Ufficiale preposto al servizio di sorveglianza e controllo delle infrastrutture (sicurezza fisica)» il Funzionario/Ufficiale al quale e' attribuito il compito di sovrintendere, coordinare e controllare, nell'ambito dell'intero Ministero, ente o impresa di appartenenza, tutte le attivita' che riguardano la sorveglianza e la sicurezza fisica del Ministero, ente o impresa di appartenenza;
m) «Funzionario/Ufficiale di controllo», il Funzionario/Ufficiale al quale il Funzionario/Ufficiale alla sicurezza del Ministero, ente o impresa di appartenenza attribuisce l'incarico di Capo dell'Organo principale o esecutivo di sicurezza responsabile della protezione e della tutela delle informazioni, dei documenti e dei materiali classificati ricadenti sotto la diretta responsabilita' dell'Organo in questione;
n) «COMSEC» (sicurezza delle comunicazioni), il termine, derivante dalle parole inglesi «communication» e «security», che indica la protezione risultante dall'applicazione alle comunicazioni di misure di sicurezza crittografica, delle trasmissioni, contro le emanazioni compromettenti, fisica e del personale, al fine di impedire che persone non autorizzate vengano a conoscenza di informazioni classificate, nonche' per garantire la loro autenticita';
o) «Sistema EAD» (elaborazione automatica dei dati), un insieme di apparati (in configurazione isolata o collegati in rete), metodi, procedure, aree e persone fisiche, atto a svolgere una serie di funzioni elaborative omogenee (elaborazione testi, dati, sviluppo software, applicazioni scientifiche, comando e controllo, comunicazioni, gestione banche dati, ecc.);
p) «COMPUSEC» (sicurezza dei sistemi EAD), il termine, derivante dalle parole inglesi «computer» e «security», che indica la protezione derivante dalle misure di sicurezza attuate per prevenire la deliberata o involontaria acquisizione, manipolazione, modifica o perdita delle informazioni classificate contenute o elaborate da un sistema EAD e l'uso non autorizzato del suddetto sistema;
q) «INFOSEC» (sicurezza delle informazioni), il termine, derivante dalle parole inglesi «information» e «security», che indica l'applicazione delle misure di sicurezza atte a tutelare le informazioni classificate elaborate e memorizzate con sistemi informatici e trasmesse con sistemi di comunicazione ed altri sistemi elettronici;
r) «TEMPEST», il termine, derivante dalle parole inglesi «transient electro magnetic pulse emanation standard», che indica quella particolare tecnologia atta ad eliminare o limitare, entro valori non pericolosi, le emanazioni compromettenti da parte di apparati elettrici o elettronici usati per la trattazione e l'elaborazione di informazioni classificate;
s) «Sicurezza crittografica», componente della sicurezza delle comunicazioni derivante dalla disponibilita' di sistemi cifranti tecnicamente sicuri e dal corretto impiego degli stessi;
t) «Emanazioni compromettenti», emissioni involontarie e sistematiche di segnali elettrici condotti e irradiati da parte di apparecchiature elettriche/elettroniche che trattano o elaborano informazioni classificate, correlabili alle informazioni stesse e che, qualora intercettati, possono consentire di ricavarne il contenuto informativo classificato;
u) «Materiale COMSEC», i documenti, gli ausili, i dispositivi, le apparecchiature (compreso il materiale crittografico), usati per la sicurezza delle comunicazioni;
v) «Custode del materiale crittografico», il responsabile della gestione e della custodia del materiale COMSEC e crittografico;
z) «Agenzia nazionale di distribuzione», la struttura preposta alla contabilizzazione e distribuzione del materiale COMSEC;
aa) «Trattazione delle informazioni classificate», la gestione, la trattazione sotto qualsiasi forma, la protezione fisica e logica, delle informazioni classificate;
bb) «Gestione dei documenti classificati», l'originazione, la preparazione dei plichi, la spedizione, la contabilizzazione, la diramazione, la ricezione, la registrazione, la riproduzione, la conservazione, la custodia, l'archiviazione, il trasporto e la distruzione autorizzata dei documenti classificati;
cc) «Informazione classificata», ogni informazione o materiale come definiti alle lettere dd) ed ee), cui sia stata attribuita, da un'autorita' competente, una classifica di segretezza «SEGRETISSIMO», «SEGRETO», «Riservatissimo» o «Riservato», con o senza una qualifica di sicurezza internazionale, ovvero coperta da segreto di Stato;
dd) «Documento classificato», l'informazione classificata riportata, per intero o in parte, in qualsiasi rappresentazione comunque formata, sia grafica, fotocinematografica, elettromagnetica, informatica o di ogni altra specie;
ee) «Materiale classificato», qualsiasi oggetto o componente di macchinario, prototipo, equipaggiamento, arma, sistema elementare o dispositivo o parte di esso, compreso il software operativo, prodotto a mano o meccanicamente, automaticamente o elettronicamente, finito o in corso di lavorazione, compresi i materiali per la sicurezza delle comunicazioni (COMSEC) e l'elaborazione automatica dei dati (EAD), coperti da una classifica di segretezza;
ff) «Informazioni non classificate controllate», informazioni non classificate che richiedono misure di protezione minime e il cui accesso e' consentito alle sole persone che hanno necessita' di trattarle per motivi attinenti al loro impiego, incarico o professione;
gg) «Classifica di segretezza», l'indicazione del livello o grado di segretezza attribuito ad un'informazione, documento o materiale, con uno dei seguenti termini: «SEGRETISSIMO»; «SEGRETO»; «Riservatissimo» o «Riservato», con o senza una qualifica di sicurezza;
hh) «Qualifica di sicurezza» o «qualifica», la sigla o altro termine convenzionale (es. NATO, UEO, UE, ecc.), che attribuita ad un'informazione, classificata e non, determina l'Organizzazione internazionale o comunitaria di appartenenza della stessa e il relativo ambito di circolazione;
ii) «Riduzione della classifica di segretezza», l'attribuzione ad un'informazione classificata di una classifica di segretezza di livello inferiore alla precedente;
ll) «Declassifica», l'abolizione della classifica di segretezza ad un'informazione classificata;
mm) «Dequalifica», l'abolizione della qualifica di sicurezza ad un'informazione classificata o non classificata;
nn) «Necessita' di conoscere», il principio in base al quale l'accesso alle informazioni classificate e' consentito soltanto alle persone che, a prescindere dal NOS individuale e dal livello gerarchico o funzionale, hanno necessita' di conoscerle in funzione del proprio incarico;
oo) «Nulla osta di sicurezza temporaneo» o «Abilitazione temporanea», la determinazione che autorizza il Ministero, l'ente o l'impresa richiedente ad avvalersi di una persona in attivita' che comportano, in via eccezionale e temporanea, la trattazione di informazioni classificate;
pp) «Nulla osta di sicurezza» - in seguito NOS - la determinazione che autorizza il Ministero, l'ente o l'impresa richiedente ad avvalersi di una persona in attivita' che comportano la trattazione di informazioni classificate a livello «Riservatissimo» o superiore;
qq) «Violazione della sicurezza», la conseguenza di azioni od omissioni contrarie ad una disposizione in materia di protezione e tutela delle informazioni classificate, che potrebbero mettere a repentaglio o compromettere le informazioni stesse;
rr) «Compromissione di informazioni classificate», la conoscenza di informazioni classificate da parte di una persona non autorizzata ovvero non adeguatamente abilitata ai fini della sicurezza o che non abbia la necessita' di conoscerle, oppure quando e' probabile che anche una delle suddette circostanze si sia verificata;
ss) «Lista di accesso», la lista con la quale il Funzionario/Ufficiale alla sicurezza predetermina, sulla base del principio della «Necessita' di conoscere», quali - tra le persone del proprio Ministero, ente o impresa gia' adeguatamente abilitate - sono autorizzate d'ufficio a trattare informazioni nazionali, internazionali e comunitarie classificate «SEGRETISSIMO» e «SEGRETO» nonche' quelle qualificate ATOMAL;
tt) «Autorizzazione all'accesso cifra», la particolare autorizzazione rilasciata dalla competente Autorita' COMSEC per l'accesso alle informazioni classificate COMSEC;
uu) «Abilitazione preventiva», la determinazione che consente all'impresa di partecipare a gare classificate in ambito nazionale ed internazionale ovvero a trattative per l'esecuzione di studi o lavori classificati;
vv) «Nulla osta di sicurezza complessivo», la determinazione che consente all'impresa aggiudicataria o affidataria della commessa di condurre lavori, esperienze, studi e progettazioni classificati in ambito nazionale ed internazionale;
zz) «Abilitazione COMSEC», la determinazione che autorizza il Ministero, l'ente o l'impresa alla trattazione di informazioni COMSEC;
aaa) «Omologazione EAD», la determinazione che autorizza il Ministero, l'ente o l'impresa alla trattazione di informazioni classificate con un sistema EAD;
bbb) «Impresa», la ditta individuale, la societa', la persona giuridica di diritto privato, l'ente privato, l'associazione o l'organismo interessati alla trattazione di informazioni classificate nel settore della sicurezza industriale;
ccc) «Istruzione alla sicurezza», l'attivita', espletata dal Funzionario/Ufficiale alla sicurezza o, in sua vece, dal Funzionario/Ufficiale di controllo o da altra persona designata, finalizzata a far conoscere al personale del proprio Ministero, ente o impresa, legittimato alla trattazione delle informazioni classificate, le disposizioni che regolano la materia.
 
Art. 4.
Sistema di sicurezza
1. Scopo del sistema di sicurezza e' quello di garantire, con appropriate norme e procedure, organizzative ed esecutive, completa e continua protezione e tutela delle informazioni classificate nonche' delle installazioni riguardanti la sicurezza interna ed esterna dello Stato.
2. Nel settore della sicurezza materiale la protezione e la tutela delle informazioni classificate e controllate si realizzano attraverso un'adeguata protezione fisica delle installazioni, delle infrastrutture e dei locali dove esse vengono trattate, al fine sia di ottenere un ambiente sicuro per la loro trattazione sia di impedire che persone non autorizzate possano avervi accesso.
3. Nel settore della tecnologia delle informazioni e delle comunicazioni, la protezione e la tutela delle informazioni classificate - che si estendono alla protezione della riservatezza, dell'integrita' e della disponibilita' delle informazioni trattate con sistemi elettrici ed elettronici - si realizzano mediante il contrasto delle minacce, sia esse originate dall'azione dell'uomo sia determinate dalle condizioni ambientali. Il contrasto e' finalizzato ad impedire che persone non autorizzate possano avere accesso alle suddette informazioni, utilizzarle, divulgarle o modificarle, nonche' a garantire che detti accesso e utilizzo siano consentiti solo alle persone a cio' autorizzate.
4. Per il conseguimento degli obiettivi di cui all'art. 2, il «sistema di sicurezza» prevede una «Organizzazione nazionale per la sicurezza» come delineata all'art. 8.
 
Art. 5.
Classifiche di segretezza
1. Le classifiche di segretezza sono quattro e variano in funzione dell'entita' del danno che sarebbe arrecato all'integrita' dello Stato italiano, anche in relazione ad accordi internazionali, alla difesa delle istituzioni poste dalla Costituzione a suo fondamento, al libero esercizio delle funzioni degli organi costituzionali, alla indipendenza dello Stato rispetto agli altri Stati e alle relazioni con essi, alla preparazione e alla difesa militare dello Stato, in caso di rivelazione non autorizzata.
2. Le classifiche di segretezza sono cosi' distinte:
Segretissimo (in sigla «SS») = Danno eccezionalmente grave;
Segreto (in sigla «S») = Danno molto grave;
Riservatissimo (in sigla «RR») = Danno grave;
Riservato (in sigla «R») = Danno lieve.
3. La classifica di segretezza ad un'informazione e' attribuita dal suo originatore e non puo' essere modificata o abolita senza la sua preventiva autorizzazione.
4. L'Autorita' nazionale per la sicurezza nella generalita' dei casi e gli organi gerarchicamente superiori all'amministrazione o impresa che ha originato un'informazione classificata o qualificata possono, per motivi attinenti alle loro funzioni, competenze e responsabilita', far variare o fare abolire la classifica di segretezza o la qualifica di sicurezza attribuiti alla medesima.
5. Per evitare improprie attribuzioni del livello di classifica di segretezza, e' indispensabile che l'originatore valuti attentamente il danno che deriverebbe alla sicurezza dello Stato in conseguenza della rivelazione non autorizzata dell'informazione.
6. L'originatore dell'informazione classificata assoggettata a variazione della classifica di segretezza, abolizione della stessa e dequalifica, informa del provvedimento gli altri soggetti detentori della medesima informazione, per le variazioni amministrative di circostanza.
 
Art. 6.
Classifiche di segretezza internazionali e comunitarie
1. Le classifiche di segretezza internazionali e comunitarie trovano riscontro nei trattati, convenzioni, accordi, regolamenti e decisioni comunque denominati, recepiti o a cui e' data attuazione in conformita' alle norme previste dall'ordinamento.
2. Le classifiche di segretezza delle informazioni classificate appartenenti alle Organizzazioni internazionali e alle istituzioni comunitarie, sono espresse sia nella lingua italiana, sia nelle lingue ufficiali previste dai rispettivi trattati, convenzioni, accordi, regolamenti e decisioni comunque denominati.
 
Art. 7.
Qualifiche di sicurezza
1. Le informazioni, i documenti e i materiali, classificati e non, appartenenti a talune Organizzazioni internazionali, al Consiglio dell'Unione europea e alla Commissione delle Comunita' europee recano le qualifiche previste dai rispettivi trattati, convenzioni, accordi, regolamenti e decisioni comunque denominati.
 
Art. 8.
Articolazione
1. L'Organizzazione nazionale per la sicurezza si articola in:
a) Autorita' nazionale per la sicurezza;
b) Ufficio centrale per la sicurezza;
c) Organi centrali di sicurezza;
d) Organi principali di sicurezza;
e) Organi esecutivi di sicurezza;
f) Organi di sicurezza istituiti nell'ambito delle imprese.
 
Art. 9.
Autorita' nazionale per la sicurezza
1. L'Autorita' nazionale per la sicurezza esercita le funzioni concernenti la protezione e la tutela delle informazioni classificate ovvero coperte da segreto di Stato trattate da qualunque soggetto, pubblico o privato, sottoposto alla sovranita' nazionale, anche in attuazione di accordi internazionali e della normativa comunitaria, e sovrintende a tutte le attivita' ad esse relative. Essa e' anche la massima Autorita' in materia di sicurezza delle comunicazioni classificate, dei sistemi per l'elaborazione automatica dei dati classificati e dei prodotti delle tecnologie dell'informazione utilizzati per la trattazione delle informazioni classificate.
2. L'Autorita' nazionale per la sicurezza, in particolare:
a) sovrintende e coordina l'attuazione dei provvedimenti emanati in tutti i settori concernenti la protezione e la tutela delle informazioni classificate;
b) autorizza l'istituzione di Organi principali di sicurezza e, per quanto concerne gli Organi esecutivi di sicurezza, delle Segreterie Speciali COSMIC-FOCAL-ATOMAL-UE/SS, delle Segreterie NATO-UEOUE/S e dei Punti di Controllo COSMIC-FOCAL-ATOMAL-UE/SS;
c) emana disposizioni relative:
1) alla sicurezza materiale e tecnica delle installazioni e delle aree dove vengono trattate informazioni classificate;
2) alla trattazione di informazioni classificate, inclusa quella mediante sistemi di comunicazione e sistemi per l'elaborazione automatica dei dati;
3) alle procedure per la valutazione e l'approvazione dei sistemi e dei prodotti delle tecnologie dell'informazione destinati alla trattazione delle informazioni classificate;
4) all'attuazione delle disposizioni in materia di rilascio dei nulla osta di sicurezza, delle abilitazioni in materia di sicurezza industriale, delle certificazioni ed omologazioni concernenti la sicurezza EAD e delle autorizzazioni e abilitazioni relative alla sicurezza delle comunicazioni e dei centri comunicazioni classificate;
5) alla contabilizzazione e distribuzione del materiale COMSEC;
6) agli adempimenti amministrativi relativi alla gestione dei documenti classificati;
d) aggiorna, anche in relazione ad accordi internazionali ed alla normativa comunitaria, le disposizioni concernenti le ispezioni di sicurezza ai soggetti pubblici e privati legittimati alla trattazione delle informazioni classificate;
e) dispone l'effettuazione delle ispezioni di sicurezza, in via ordinaria o straordinaria, in forma diretta o delegata, a tutti i soggetti pubblici e privati legittimati alla trattazione delle informazioni classificate, finalizzate a verificare l'idoneita' delle misure di sicurezza adottate per la protezione dei siti e delle aree dove sono trattate informazioni classificate, nonche' l'esatta applicazione delle disposizioni concernenti la gestione dei documenti classificati;
f) definisce i criteri per l'individuazione delle misure di sicurezza fisica, tecnica e procedurale atti a prevenire, rilevare o comunque ridurre il rischio dell'illecita installazione di strumenti e dispositivi tecnici per la monitorizzazione, intercettazione e ascolto di informazioni classificate trattate in aree riservate, sale riunioni o ambienti temporaneamente destinati alla trattazione di informazioni classificate a livello Riservatissimo e superiore;
g) garantisce che tutti i cittadini, italiani e stranieri, impiegati presso soggetti pubblici e privati legittimati alla trattazione delle informazioni classificate, prima di avere accesso ad informazioni classificate «SS», «S» e «RR» siano stati abilitati mediante il rilascio di appropriato NOS;
h) stipula, con le paritetiche Autorita' di altri Paesi, accordi di sicurezza per la tutela delle informazioni classificate di reciproco interesse;
i) stipula, con le paritetiche Autorita' di altri Paesi, accordi nel settore della sicurezza delle comunicazioni finalizzati al mutuo riconoscimento delle rispettive certificazioni ed approvazioni dei sistemi e dei prodotti per le tecnologie dell'informazione, nonche' per la protezione dei materiali COMSEC scambiati tra le parti;
l) esercita qualunque altra funzione in materia di protezione e tutela delle informazioni classificate;
m) e' organo nazionale di coordinamento e collegamento con:
1) le Autorita' di sicurezza della NATO, dell'Unione dell'Europa occidentale, dell'Unione europea e di altre Organizzazioni internazionali di cui l'Italia e' parte;
2) le Autorita' nazionali per la sicurezza degli Stati membri della NATO, dell'Unione dell'europa occidentale, dell'Unione europea e di altre Organizzazioni internazionali di cui l'Italia e' parte;
n) sovrintende alle attivita' dell'Agenzia nazionale di distribuzione.
 
Art. 10.
Ufficio centrale per la sicurezza
1. L'Ufficio centrale per la sicurezza e' alle dipendenze dell'Autorita' nazionale per la sicurezza per gli adempimenti concernenti la tutela delle informazioni, dei documenti e del materiale classificato. A tal fine esso ha il compito di dare attuazione a tutte le norme e direttive emanate dall'Autorita' nazionale per la sicurezza in materia di protezione e tutela delle informazioni classificate, anche in relazione agli accordi internazionali ed alla normativa comunitaria.
2. L'Ufficio centrale per la sicurezza, ai fini di cui al comma 1, ha in particolare il compito di:
a) svolgere azioni di indirizzo, coordinamento, controllo e consulenza nei confronti di tutti gli Organi centrali di sicurezza in materia di protezione e tutela delle informazioni classificate;
b) elaborare le disposizioni di competenza dell'Autorita' nazionale per la sicurezza di cui all'art. 9, comma 2, lettera c);
c) istruire le pratiche relative all'istituzione, a livello di vertice di un'Amministrazione pubblica o di un'impresa che ha necessita' di trattare informazioni classificate, di nuovi Organi principali di sicurezza;
d) rilasciare le autorizzazioni per la movimentazione, in ambito nazionale ed internazionale, di materiale COMSEC approvato o autorizzato dall'Autorita' nazionale per la sicurezza per la protezione di informazioni classificate nonche' della documentazione COMSEC;
e) esercitare le attribuzioni di competenza in materia di abilitazioni di sicurezza personali e industriali, nonche' in materia di sicurezza delle comunicazioni, del servizio CIFRA e dell'elaborazione automatica dei dati coperti da una classifica di segretezza;
f) controllare e verificare, mediante attivita' ispettiva diretta o delegata, ordinaria o straordinaria, l'attuazione delle norme e direttive in materia di protezione e tutela delle informazioni classificate;
g) partecipare, presso le Organizzazioni internazionali e le istituzioni comunitarie, a comitati, gruppi di lavoro e riunioni finalizzati all'elaborazione di progetti di accordi di sicurezza e di altre disposizioni aventi ad oggetto la protezione e la tutela delle informazioni classificate di reciproco interesse;
h) predisporre gli atti per la valutazione, da parte dell'Autorita' nazionale per la sicurezza, in merito alle violazioni della sicurezza e alle compromissioni di informazioni classificate di cui viene a conoscenza in sede di attivita' ispettiva e segnalate dagli Organi centrali di sicurezza;
i) svolgere qualunque altro compito assegnatogli dall'Autorita' nazionale per la sicurezza in materia di protezione e tutela delle informazioni classificate.
3. Presso l'Ufficio centrale per la sicurezza sono istituiti:
a) la «Segreteria centrale» («Central registry»), con il compito di:
1) distribuire agli Organi principali di sicurezza i documenti «COSMIC-SEGRETISSIMO» e «ATOMAL» che ad essa pervengono da Organizzazioni internazionali e Paesi alleati;
2) tenere aggiornata la situazione nazionale dei documenti «COSMIC-SEGRETISSIMO» e «ATOMAL» da essa distribuiti agli Organi principali di sicurezza, nonche' di quelli della medesima categoria eventualmente pervenuti agli Organi principali ed esecutivi di sicurezza non per il suo tramite, ma direttamente da Organizzazioni internazionali e Paesi alleati;
3) tenere aggiornata la situazione nazionale dei documenti «SEGRETISSIMO» nazionali in possesso degli Organi principali di sicurezza e degli Organi esecutivi di sicurezza;
b) l'«Ufficio centrale di registrazione UE SEGRETISSIMO», con il compito di distribuire agli Organi principali di sicurezza i documenti «UE-SEGRETISSIMO» che ad esso pervengono da istituzioni dell'Unione europea, nonche' di registrare quelli della medesima categoria eventualmente pervenuti agli Organi principali ed esecutivi di sicurezza non per il suo tramite, ma direttamente da istituzioni dell'Unione europea, e di tenere aggiornata la situazione nazionale degli stessi.
4. L'Ufficio centrale per la sicurezza e', altresi':
a) depositario e responsabile dell'uso del sigillo «NATO», assegnato all'Italia dal Consiglio del Nord Atlantico per il trasporto dei documenti e materiali classificati «NATO-RISERVATISSIMO» e superiori verso altri Paesi dell'Alleanza atlantica nonche' del rilascio dell'apposito «Certificato di corriere» all'amministrazione che dispone il trasporto;
b) depositario e responsabile del sigillo «UEO», assegnato all'Italia dal Consiglio dell'Unione dell'Europa occidentale, per il trasporto dei documenti e materiali classificati «UEO-RISERVATISSIMO» e superiori verso altri Paesi dell'Unione dell'Europa occidentale nonche' del rilascio dell'apposito «Certificato di corriere» all'amministrazione che dispone il trasporto;
c) competente al rilascio della «Autorizzazione per le scorte di sicurezza» (Authorization for security guards) di documenti e materiali classificati prodotti dalle imprese nell'interesse della NATO, nonche' del «Certificato di corriere per il trasporto internazionale a mano di documenti e materiali classificati», riferito a documenti e materiali classificati prodotti dalle imprese e destinati all'estero nell'ambito di programmi internazionali.
 
Art. 11.
Organi centrali di sicurezza
1. Presso le Amministrazioni pubbliche che trattano informazioni classificate, la responsabilita' relativa alla protezione e alla tutela delle medesime, a livello centrale e periferico, fa capo alla massima autorita' delle medesime.
2. In funzione della dimensione di una Amministrazione pubblica, della sua realta' organica ed infrastrutturale e di eventuali altre valutazioni di competenza della massima autorita' della medesima, l'esercizio dei compiti e delle funzioni in materia di protezione e tutela delle informazioni classificate puo' essere delegato ad un Funzionario/Ufficiale, di elevato livello gerarchico, che assume la denominazione di «Funzionario alla sicurezza» o «Ufficiale alla sicurezza».
3. Per il coordinamento delle altre branche di sicurezza, il Funzionario/Ufficiale alla sicurezza si avvale di:
a) un Funzionario/Ufficiale COMSEC;
b) un Funzionario/Ufficiale alla sicurezza EAD;
c) un Funzionario/Ufficiale preposto al servizio di sorveglianza e controllo delle infrastrutture (sicurezza fisica).
4. Per esercitare in concreto le sue funzioni, il Funzionario/Ufficiale alla sicurezza ha alle sue dirette dipendenze il Capo dell'Organo principale di sicurezza del Ministero o ente (Funzionario/Ufficiale di controllo), coadiuvato da personale particolarmente esperto nella gestione dei documenti classificati.
5. L'Organo centrale di sicurezza e' diretto e coordinato dal Funzionario/Ufficiale alla sicurezza.
6. La nomina dei Funzionari/Ufficiali di cui al comma 3, lettere a), b) e c), e' disposta dal Capo del Ministero o ente, su proposta del Funzionario/Ufficiale alla sicurezza. Nel caso in cui esigenze organiche o funzionali lo richiedano, il Capo del Ministero o ente puo' attribuire i predetti incarichi, o alcuni di essi, anche al Funzionario/Ufficiale alla sicurezza.
7. La nomina del Funzionario/Ufficiale di controllo dell'Organo principale di sicurezza del Ministero o ente, di due suoi sostituti e del personale assegnato all'Organo di sicurezza e' disposta dal Funzionario/Ufficiale alla sicurezza.
8. La nomina dei Funzionari/Ufficiali di controllo, dei relativi sostituti e del personale assegnato agli Organi esecutivi di sicurezza istituiti nell'ambito della sede centrale del Ministero o ente e' disposta dal Funzionario/Ufficiale alla sicurezza dell'Organo centrale di sicurezza, su proposta del responsabile principale dell'articolazione amministrativa sede dell'Organo esecutivo di sicurezza.
9. Gli incarichi di Funzionario/Ufficiale alla sicurezza e di Funzionario/Ufficiale di controllo non possono, di norma, essere assolti dalla stessa persona. Solo in caso di eccezionali esigenze organiche o funzionali l'incarico di Funzionario/Ufficiale di controllo puo' essere assunto dal Funzionario/Ufficiale alla sicurezza.
10. Gli Organi centrali di sicurezza hanno il compito di:
a) coordinare e controllare, presso tutti gli Organi di sicurezza funzionalmente dipendenti, sia a livello centrale che periferico, l'applicazione di tutte le disposizioni inerenti alla protezione e alla tutela delle informazioni classificate;
b) emanare direttive interne per l'applicazione delle disposizioni in materia di sicurezza e tutela delle informazioni classificate;
c) segnalare all'Autorita' nazionale per la sicurezza i nominativi dei Funzionari/Ufficiali di cui al comma 3, lettere a), b) e c), e loro sostituti, nonche' del Funzionario di controllo, e suoi sostituti, dell'Organo principale di sicurezza;
d) inoltrare all'Autorita' nazionale per la sicurezza proposte finalizzate al miglioramento del «Sistema di sicurezza» in atto nell'ambito della propria Amministrazione, sia a livello centrale che periferico;
e) tenere aggiornato il registro dei NOS, e relativo scadenzario, del personale abilitato della propria Amministrazione;
f) assolvere, nei limiti previsti dalle vigenti disposizioni, alle attribuzioni in materia di rilascio, rinnovo, diniego, revoca, sospensione, declassifica e dequalifica dei NOS;
g) inoltrare all'Autorita' nazionale per la sicurezza proposte intese a modificare o estinguere Organi esecutivi di sicurezza la cui istituzione e' stata autorizzata dall'Autorita' nazionale per la sicurezza, o la cui modifica, in funzione della nuova tipologia dell'Organo di sicurezza, comporta la previa autorizzazione dell'Autorita' nazionale per la sicurezza;
h) comunicare all'Autorita' nazionale per la sicurezza l'avvenuta modifica o estinzione di Organi esecutivi di sicurezza da essi istituiti;
i) curare gli adempimenti in materia di violazione della sicurezza e di compromissione di informazioni classificate;
l) segnalare all'Autorita' nazionale per la sicurezza le imprese che hanno chiesto di partecipare a gare nazionali e internazionali classificate, o di eseguire commesse per la lavorazione o la produzione di materiali classificati.
11. Gli Organi centrali di sicurezza, ferme restando le competenze dell'Autorita' nazionale per la sicurezza in materia, possono, in relazione ad esigenze funzionali, istituire Organi esecutivi di sicurezza, sia a livello centrale che periferico, dandone comunicazione all'Autorita' nazionale per la sicurezza.
12. Gli Organi centrali di sicurezza delle Forze armate hanno, inoltre, il compito di trattare, secondo le modalita' e i termini indicati dalle vigenti disposizioni, gli atti preparatori relativi all'istruttoria delle pratiche per il rilascio delle abilitazioni di sicurezza industriali.
13. Gli Organi centrali di sicurezza delle amministrazioni interessate acquisiscono e comunicano all'Autorita' nazionale per la sicurezza i nominativi delle imprese che hanno chiesto di partecipare a gare classificate internazionali nel settore delle infrastrutture, o di espletare commesse di materiali classificati nazionali o di materiali classificati il cui brevetto appartiene ad altri Paesi ed, altresi', specie e quantita' dei materiali costituenti le predette commesse.
 
Art. 12. Denominazione degli Organi principali di sicurezza, degli Organi esecutivi di sicurezza e degli Organi di sicurezza presso le imprese
1. La denominazione di un Organo di sicurezza, principale od esecutivo, sia presso un'Amministrazione pubblica che nell'ambito di un'impresa, determina la sfera di competenza in materia di trattazione delle informazioni classificate. Essa ha anche la funzione di rendere note agli altri Organi di sicurezza le categorie di documenti classificati rispettivamente legittimati a trattare (per es., una Segreteria NATO-UEO-UE/S, principale od esecutiva, e' legittimata a trattare informazioni nazionali classificate fino al massimo livello di segretezza «SEGRETISSIMO», e quelle della NATO, dell'Unione dell'Europa occidentale e dell'Unione europea fino al livello «SEGRETO»).
2. Gli Organi di sicurezza principali od esecutivi, legittimati a trattare informazioni classificate della NATO, dell'Unione dell'Europa occidentale e dell'Unione europea, sono anche autorizzati a trattare informazioni classificate originate da altre Organizzazioni internazionali di cui l'Italia e' parte o relative alla partecipazione dell'Italia in attivita' internazionali di cooperazione militare.
 
Art. 13.
Organi principali di sicurezza
1. Gli Organi principali di sicurezza sono retti da un Funzionario/Ufficiale di controllo, coadiuvato da personale particolarmente esperto nella gestione dei documenti classificati.
2. In relazione alle necessita' del Ministero o ente e previa autorizzazione dell'Autorita' nazionale per la sicurezza, nell'ambito di un Organo centrale di sicurezza puo' essere istituito uno dei seguenti Organi principali di sicurezza:
a) «Segreteria speciale principale COSMIC-FOCAL-ATOMAL-UE/SS»;
b) «Segreteria speciale principale COSMIC-FOCAL-ATOMAL»;
c) «Segreteria speciale principale COSMIC-FOCAL»;
d) «Segreteria principale NATO-UEO-UE/S»;
e) «Segreteria principale NATO-UEO»;
f) «Segreteria principale di sicurezza UE/S»;
g) «Segreteria principale di sicurezza».
3. Gli Organi principali di sicurezza hanno il compito di:
a) coadiuvare il Funzionario/Ufficiale alla sicurezza del Ministero o ente nella sua azione di direzione, coordinamento, controllo, ispettiva, di istruzione alla sicurezza, di inchiesta e di quant'altro concerne la trattazione delle informazioni classificate nell'ambito dell'intera Organizzazione di sicurezza del Ministero o ente, sia a livello centrale sia a livello periferico;
b) promuovere, nell'ambito del proprio Ministero o ente, la conoscenza delle norme legislative e delle disposizioni amministrative concernenti la tutela delle informazioni classificate;
c) istruire, con periodicita' semestrale, il personale abilitato del proprio Ministero o ente in ordine alle responsabilita' connesse alla conoscenza e trattazione delle informazioni classificate;
d) tenere aggiornata la «lista di accesso» di cui all'art. 3, comma 1, lettera ss);
e) tenere aggiornata la situazione di tutti i documenti classificati di cui si e' responsabili, con particolare riferimento a quelli classificati «SEGRETISSIMO», «SEGRETO» e «RISERVATISSIMO» nazionali, internazionali e comunitari;
f) tenere aggiornato il registro dei NOS, con il relativo scadenzario, del personale abilitato del proprio Ministero o ente;
g) attuare le disposizioni di competenza relative alle richieste per il rilascio e il rinnovo dei NOS per il personale del proprio Ministero o ente;
h) proporre al Funzionario/Ufficiale alla sicurezza la revoca dei NOS relativi al personale del proprio Ministero o ente che non ha piu' necessita' di accedere alle informazioni classificate;
i) segnalare al Funzionario/Ufficiale alla sicurezza ogni controindicazione sopravvenuta a carico del personale abilitato del proprio Ministero o ente, ritenuta d'interesse ai fini della valutazione dell'affidabilita' della persona sotto il profilo della salvaguardia della sicurezza dello Stato;
l) segnalare al Funzionario/Ufficiale alla sicurezza ogni proposta ritenuta necessaria per il miglioramento del «sistema di sicurezza» del proprio Ministero o ente;
m) segnalare all'Autorita' nazionale per la sicurezza i nominativi delle persone abilitate del proprio Ministero o ente designate dal Funzionario/Ufficiale alla sicurezza ad attribuire alle informazioni, ai documenti e ai materiali la massima classifica di segretezza «SEGRETISSIMO», con o senza qualifica di sicurezza;
n) ricevere, registrare, custodire e, ove previsto, inoltrare agli Organi esecutivi di sicurezza tecnicamente dipendenti i documenti classificati a loro pervenuti, per la relativa trattazione;
o) segnalare all'Autorita' nazionale per la sicurezza gli estremi dei documenti «COSMIC-SEGRETISSIMO», «FOCAL-SEGRETISSIMO», «ATOMAL» e «UE-SEGRETISSIMO» ricevuti non per il suo tramite;
p) comunicare all'Autorita' nazionale per la sicurezza i nominativi dei Funzionari/Ufficiali di controllo, e loro sostituti, degli Organi esecutivi di sicurezza funzionalmente dipendenti;
q) segnalare con tempestivita' all'Autorita' nazionale per la sicurezza o all'Organo centrale di sicurezza interessato o all'organismo internazionale competente, il livello del NOS del personale del proprio Ministero o ente designato a partecipare a conferenze o riunioni classificate in Italia o all'estero;
r) effettuare annualmente l'inventario e il controllo dei documenti nazionali classificati «SEGRETISSIMO» e di quelli qualificati/classificati «COSMIC-SEGRETISSIMO», «FOCAL-SEGRETISSIMO», «UE-SEGRETISSIMO» e «ATOMAL» in carico e trasmettere all'Autorita' nazionale per la sicurezza i verbali di distruzione relativi a tali documenti, unitamente al registro d'inventario, per la parifica;
s) trattare i documenti classificati di competenza in conformita' alle disposizioni emanate dall'Autorita' nazionale per la sicurezza;
t) curare gli adempimenti di competenza in materia di violazione della sicurezza e di compromissione di informazioni classificate;
u) comunicare, con immediatezza e in modo circostanziato, all'Autorita' nazionale per la sicurezza e all'originatore delle informazioni classificate, tutti i casi di violazione della sicurezza e di compromissione delle predette informazioni verificatisi nell'ambito delle rispettive sfere di competenza.
 
Art. 14.
Organi esecutivi di sicurezza
1. Presso ogni amministrazione pubblica, gia' sede di Organo centrale di sicurezza, possono essere istituiti, per esigenze funzionali, sia a livello centrale (Direzioni generali, Ispettorati, Dipartimenti ecc.) che periferico (Agenzie, Ambasciate, Consolati ecc.), Organi esecutivi di sicurezza nella misura strettamente necessaria.
2. Gli Organi esecutivi di sicurezza sono retti da un Funzionario/Ufficiale di controllo coadiuvato da personale particolarmente esperto nella gestione dei documenti classificati.
3. L'istituzione di una determinata tipologia di Organo esecutivo di sicurezza e' funzione delle categorie di documenti classificati che quella Direzione generale, quell'Ispettorato, quel Dipartimento, quell'Agenzia, quell'Ambasciata, quel Consolato ecc. ha necessita' di trattare.
4. Le tipologie di Organi esecutivi di sicurezza sono le seguenti:
a) «Segreteria speciale COSMIC-FOCAL-ATOMAL-UE/SS»;
b) «Segreteria speciale COSMIC-FOCAL-UE/SS»;
c) «Segreteria di sicurezza UE/S»;
d) «Punto di controllo COSMIC-FOCAL-ATOMAL-UE/SS»;
e) «Punto di controllo COSMIC-FOCAL-UE/SS»;
f) «Punto di controllo COSMIC-FOCAL»;
g) «Punto di controllo NATO-UEO-UE/S»;
h) «Punto di controllo NATO-UEO»;
i) «Segreteria NATO-UEO-UE/S»;
l) «Segreteria di sicurezza».
5. Gli Organi esecutivi di sicurezza di cui al comma 4 hanno il compito di:
a) promuovere, nell'ambito della propria articolazione amministrativa (Direzione generale, Ispettorato ecc.), o ente (Agenzia, Ambasciata, Consolato ecc.), la conoscenza delle norme legislative e delle disposizioni amministrative concernenti la tutela delle informazioni classificate;
b) istruire, con periodicita' almeno semestrale, il personale per il quale sia stato rilasciato il NOS sulle responsabilita' connesse alla conoscenza e trattazione delle informazioni classificate;
c) tenere aggiornata la «lista di accesso» di cui all'art. 3, comma 1, lettera ss);
d) controllare e trattare i documenti classificati originati nell'ambito della propria sfera di competenze;
e) controllare e trattare i documenti classificati ricevuti;
f) tenere aggiornata la situazione di tutti i documenti classificati di cui si e' responsabili, con particolare riferimento a quelli classificati «SEGRETISSIMO», «SEGRETO» e «RISERVATISSIMO» nazionali, internazionali e comunitari;
g) effettuare annualmente l'inventario e il controllo dei documenti nazionali classificati «SEGRETISSIMO» e di quelli qualificati/classificati «COSMIC-SEGRETISSIMO», «FOCAL-SEGRETISSIMO», «UE-SEGRETISSIMO» e «ATOMAL» in carico e trasmettere all'Autorita' nazionale per la sicurezza i verbali di distruzione relativi a tali documenti, unitamente al registro d'inventario, per la parifica;
h) tenere aggiornato il registro dei NOS, con il relativo scadenzario, del personale della propria articolazione o ente;
i) attuare le disposizioni di competenza relative alle richieste per il rilascio e il rinnovo dei NOS per il personale della propria articolazione o ente;
l) proporre al proprio Organo centrale di sicurezza la revoca dei NOS relativi al personale della propria articolazione o ente che non ha piu' necessita' di accedere alla conoscenza di informazioni classificate;
m) segnalare al proprio Organo centrale di sicurezza ogni controindicazione, sotto il profilo dell'affidabilita' ai fini della salvaguardia delle informazioni classificate, che si rilevi a carico del personale della propria articolazione o ente per il quale sia stato rilasciato il NOS;
n) inoltrare al proprio Organo centrale di sicurezza le proposte necessarie per migliorare il sistema di sicurezza della propria articolazione o ente;
o) segnalare al proprio Organo centrale di sicurezza i nominativi delle persone della propria articolazione o ente designate ad attribuire le classifiche di segretezza «SEGRETISSIMO» alle informazioni, ai documenti e ai materiali;
p) segnalare con tempestivita' all'Autorita' nazionale per la sicurezza o all'Organo centrale di sicurezza interessato il livello del NOS del personale del proprio ente designato a partecipare a conferenze o riunioni classificate in Italia o all'estero;
q) curare gli adempimenti di competenza in materia di violazione della sicurezza e di compromissione di informazioni classificate.
 
Art. 15.
Organi di sicurezza istituiti nell'ambito delle imprese
1. Nell'ambito delle imprese legittimate alla trattazione delle informazioni classificate possono essere istituiti appositi Organi di sicurezza. Si rinvia alle disposizioni in materia di protezione e tutela delle informazioni classificate nel settore industriale, di cui al Capo VI.
 
Art. 16. Funzione del NOS (Art. 2, commi 1, 2 e 3, del D.P.C.M. 7 giugno 2005)
1. Il rilascio del NOS consente alla pubblica amministrazione, alla ditta individuale, alla societa', alla persona giuridica di diritto privato, all'ente, all'associazione o all'organismo, gia' legittimati alla trattazione di informazioni classificate, di poter impiegare una persona in attivita' che comportano la necessita' di trattare informazioni classificate «SEGRETISSIMO», «SEGRETO» o «RISERVATISSIMO».
2. Il rilascio del NOS e' subordinato al favorevole esito di un preventivo procedimento di accertamento soggettivo sulla base delle disposizioni emanate dal Presidente del Consiglio dei Ministri, a seguito del quale deve essere comunque esclusa dalla trattazione di informazioni classificate la persona il cui comportamento nei confronti delle istituzioni democratiche non dia sicuro affidamento di scrupolosa fedelta' ai valori della Costituzione repubblicana ed alle ragioni di sicurezza dello Stato, nonche' ai fini della conservazione del segreto.
3. La pubblica amministrazione, le ditte individuali, le societa', le persone giuridiche di diritto privato, gli enti, le associazioni e gli organismi legittimati alla trattazione di informazioni classificate definiscono, sulla base dei rispettivi ordinamenti interni ed esigenze funzionali, gli incarichi che comportano, ai fini del rilascio dei NOS, l'effettiva necessita' di trattare informazioni classificate «SEGRETISSIMO», «SEGRETO» o «RISERVATISSIMO».
 
Art. 17. Autorita' competenti al rilascio del NOS (Art. 3 del D.P.C.M.
7 giugno 2005)
1. L'Autorita' nazionale per la sicurezza rilascia i NOS fino a livello «SEGRETISSIMO», con o senza una o piu' qualifiche di sicurezza internazionali, relativi a:
a) ambasciatori, dirigenti di prima fascia e qualifiche corrispondenti della pubblica amministrazione;
b) consiglieri di ambasciata, prefetti, vice prefetti, ufficiali generali e gradi corrispondenti delle Forze armate e dei Corpi armati dello Stato;
c) cittadini stranieri appartenenti ad uno Stato membro dell'Unione europea, dell'Alleanza atlantica o di altra organizzazione internazionale di cui l'Italia e' parte in virtu' di trattati, accordi, convenzioni o intese comunque denominati, sempre che non sia diversamente disposto dalle pertinenti norme di sicurezza che regolano la materia;
d) cittadini stranieri diversi da quelli di cui alla lettera c), sempre che sussistano sufficienti elementi di valutazione ai fini della salvaguardia della difesa e sicurezza, interna ed esterna, dello Stato.
Agli adempimenti istruttori provvede il III Reparto - Ufficio centrale per la sicurezza della Segreteria generale del CESIS.
2. Su autorizzazione dell'Autorita' nazionale per la sicurezza, il Capo del III Reparto - Ufficio centrale per la sicurezza della Segreteria generale del CESIS rilascia i NOS fino a livello «SEGRETISSIMO», con o senza una o piu' qualifiche di sicurezza internazionali, relativi a:
a) colonnelli e gradi corrispondenti delle Forze armate e dei Corpi armati dello Stato, dirigenti di seconda fascia della pubblica amministrazione e vice prefetti aggiunti;
b) personale civile della pubblica amministrazione, fatta eccezione per quello di cui ai commi 3, 4, lettera b) e 5, lettera b), e fatto salvo quanto previsto al comma 7;
c) cancellieri della giustizia militare;
d) legali rappresentanti, dirigenti ed impiegati di ditte individuali, societa', persone giuridiche di diritto privato, enti, associazioni od organismi;
e) persone della pubblica amministrazione o di ditta individuale, societa', persona giuridica di diritto privato, ente, associazione od organismo, designate a partecipare, in qualita' di esperti, a conferenze, commissioni, comitati, gruppi di lavoro o riunioni, in Italia e all'estero, che richiedono il NOS;
f) persone con incarichi riferiti a specifiche esigenze.
3. Su autorizzazione dell'Autorita' nazionale per la sicurezza, il Capo della Segreteria Speciale COSMIC-FOCAL-UE/SS del Ministero dell'interno rilascia i NOS fino a livello «SEGRETO», con o senza una o piu' qualifiche di sicurezza internazionali, relativi a:
a) personale dell'amministrazione civile del Ministero dell'interno con qualifica non dirigenziale;
b) personale della Polizia di Stato con qualifica non dirigenziale;
c) personale del Corpo nazionale dei Vigili del fuoco con qualifica non dirigenziale.
4. Su autorizzazione dell'Autorita' nazionale per la sicurezza, il Vice Capo reparto impiego delle Forze dello Stato maggiore dell'esercito, il Vice Capo reparto per le Telecomunicazioni, Comando, Controllo, Informatica e Sicurezza (TEIS) dello Stato maggiore della marina III Reparto, il Capo Reparto generale sicurezza dell'Aeronautica e il Capo del II Reparto del Comando generale dell'Arma dei carabinieri, rilasciano i NOS fino a livello «SEGRETO», con o senza una o piu' qualifiche di sicurezza internazionali, relativi a:
a) personale militare della rispettiva Forza armata con grado inferiore a colonnello o corrispondente;
b) personale civile dipendente appartenente alle Aree A e B ovvero inquadrato in livelli equivalenti;
c) personale operaio e assimilato dipendente da ditta individuale, societa', persona giuridica di diritto privato, ente privato, associazione od organismo il cui controllo, sotto il profilo della sicurezza e della tutela delle informazioni classificate, e' affidato all'Organo centrale di sicurezza della Forza armata competente.
5. Su autorizzazione dell'Autorita' nazionale per la sicurezza, il Comandante e il Vice Comandante delle Forze operative terrestri, il Comandante delle truppe alpine, i Comandanti delle Forze operative di difesa - 1° e 2° FOD, il Comandante del C4-IEW, l'Ispettore per il reclutamento e le forze di completamento, il Comandante dell'Aviazione dell'Esercito e il Comandante della Brigata artiglieria contraerea dell'Esercito rilasciano i NOS fino a livello «SEGRETO», con o senza una o piu' qualifiche di sicurezza internazionali, relativi al personale militare e civile in servizio presso i Comandi e gli enti dipendenti, rispettivamente:
a) con grado inferiore a maggiore;
b) appartenente alle Aree A e B ovvero inquadrato in livelli equivalenti.
6. Su autorizzazione dell'Autorita' nazionale per la sicurezza, il Capo del II Reparto del Comando generale del Corpo della Guardia di finanza rilascia i NOS fino a livello «SEGRETO», con o senza una o piu' qualifiche di sicurezza internazionali, relativi al personale militare con grado inferiore a colonnello.
7. Su autorizzazione dell'Autorita' nazionale per la sicurezza, i NOS a livello «SEGRETISSIMO», con o senza una o piu' qualifiche di sicurezza internazionali, relativi al personale di cui ai commi 3, 4, 5 e 6, sono rilasciati dal Capo del III Reparto - Ufficio centrale per la sicurezza della Segreteria generale del CESIS.
8. Il rilascio del NOS e' comunicato all'ente richiedente, unitamente ai livelli di classifica di segretezza e qualifiche di sicurezza internazionali accordati.
 
Art. 18.
Nulla osta di sicurezza temporaneo o Abilitazione temporanea
1. Su autorizzazione dell'Autorita' nazionale per la sicurezza, tutte le Autorita' di cui all'art. 17 rilasciano anche l'Abilitazione temporanea nei limiti di rispettiva competenza e nei soli casi in cui sussistono urgenti, improvvise e provate esigenze di servizio.
2. La richiesta del rilascio dell'Abilitazione temporanea specifica i motivi, la classifica di segretezza e la qualifica di sicurezza necessari.
3. L'Abilitazione temporanea ha una validita' non superiore a 6 mesi dalla data di rilascio, prorogabile una sola volta.
 
Art. 19. Autorita' competenti all'attribuzione delle qualifiche di sicurezza
internazionali (Art. 4 del D.P.C.M. 7 giugno 2005)
1. L'attribuzione, ai NOS, di una o piu' qualifiche di sicurezza internazionali, e' di competenza delle Autorita' di cui all'art. 17, commi 1, 2, 3, 4, 5 e 6, fatta eccezione per quelle riservate alla competenza esclusiva dell'Autorita' nazionale per la sicurezza.
 
Art. 20. Istruttoria per il rilascio dei NOS (Art. 5 del D.P.C.M. 7 giugno
2005)
1. Fatte salve le competenze del III Reparto - Ufficio centrale per la sicurezza della Segreteria generale del CESIS in ordine alle istruttorie relative all'adozione delle decisioni di competenza dell'Autorita' nazionale per la sicurezza, l'istruttoria per il rilascio, il rinnovo o l'elevazione del NOS e' effettuata dall'Autorita' competente ad adottare la decisione.
2. L'ente interessato al rilascio, al rinnovo o all'elevazione del NOS invia la relativa richiesta all'Autorita' competente ad adottare la decisione. La richiesta specifica i motivi per i quali la persona indicata ha necessita' di trattare informazioni classificate e il livello di classifica di segretezza ed eventuali qualifiche di sicurezza internazionali da accordare.
3. Quando nel corso dell'istruttoria per il rilascio, il rinnovo o l'elevazione del NOS vengono a cessare i motivi che ne avevano determinato la richiesta, il richiedente interrompe la procedura, dandone comunicazione all'ente competente per l'istruttoria e la decisione.
4. L'istruttoria per il rilascio, il rinnovo o l'elevazione del NOS si conclude entro il termine di dodici mesi dal ricevimento della richiesta da parte dell'Autorita' competente ad istruire la pratica, prorogabile fino ad un massimo di ulteriori 6 mesi nel caso risulti particolarmente complessa.
5. L'Arma dei carabinieri, la Polizia di Stato e il Corpo della Guardia di finanza, forniscono alle Autorita' competenti ad adottare le decisioni gli elementi informativi nei limiti di cui agli articoli 8, comma 1, del decreto legislativo 5 ottobre 2000, n. 297; 2, comma 9-bis, del decreto legislativo 5 ottobre 2000, n. 334 e 8, comma 1, lettera b), del decreto legislativo 19 marzo 2001, n. 68, e delle disposizioni emanate dall'Autorita' nazionale per la sicurezza.
Ai fini del rilascio dei NOS a livello «SEGRETO» e «SEGRETISSIMO», gli Organismi di cui agli articoli 4 e 6 della legge 24 ottobre 1977, n. 801, forniscono all'Autorita' nazionale per la sicurezza, su richiesta del III Reparto - Ufficio centrale per la sicurezza della Segreteria generale del CESIS, gli elementi di informazione eventualmente acquisiti agli atti delle competenti articolazioni.
Gli elementi informativi sono forniti all'Autorita' che ne ha fatto richiesta entro il termine di centoventi giorni dalla data di ricezione della stessa. L'inutile decorso del termine e' valutato quale assenza di elementi di controindicazione.
Le informazioni pervenute oltre il termine di centoventi giorni sono comunque valutate ai fini del diniego, revoca, sospensione, riduzione di classifica di segretezza, di qualifica di sicurezza internazionale e dequalifica del NOS.
 
Art. 21. Diniego, revoca, sospensione, riduzione della classifica di segretezza e riduzione della qualifica o dequalifica di sicurezza
internazionale dei NOS (Art. 6 del D.P.C.M. 7 giugno 2005)
1. Il NOS e' negato, revocato, sospeso, ridotto di classifica di segretezza, di qualifica di sicurezza internazionale e dequalificato in tutti i casi in cui emergano, nei confronti della persona in esso indicata, fondati elementi che influiscono negativamente sulla sua affidabilita' sotto il profilo della scrupolosa fedelta' ai valori della Costituzione repubblicana ed alle ragioni di sicurezza dello Stato, nonche' della conservazione del segreto.
2. Le decisioni concernenti il diniego e la revoca dei NOS sono di esclusiva competenza dell'Autorita' nazionale per la sicurezza.
3. Tutte le Autorita' competenti al rilascio dei NOS adottano anche le decisioni concernenti la sospensione, la riduzione della classifica di segretezza, la riduzione della qualifica di sicurezza internazionale e la dequalifica dei NOS, nell'ambito delle rispettive competenze.
Le Autorita' di cui all'art. 17, commi 3, 4, 5 e 6, comunicano le decisioni innanzi descritte all'Autorita' nazionale per la sicurezza, per il tramite del Capo del III Reparto - Ufficio centrale per la sicurezza della Segreteria generale del CESIS.
4. I NOS revocati o sospesi sono restituiti alle Autorita' che li hanno rilasciati entro trenta giorni dalla data di ricezione della comunicazione della decisione.
 
Art. 22.
Sicurezza personale (Capo I del D.P.C.M. 21 settembre 1999)
1. I procedimenti di accertamento soggettivo finalizzati a determinare l'eventuale sussistenza di controindicazioni che danno luogo a decisioni concernenti il diniego, la revoca, la sospensione, la declassifica, la dequalifica e le limitazioni territoriali, temporali o di elevabilita', del nulla osta di sicurezza (NOS), riguardano i settori sensibili che seguono.
a) Area di vulnerabilita' per l'esistenza di precedenti o procedimenti penali in corso da cui risultano elementi di fatto che possono influire sull'affidabilita' della persona ai fini della tutela delle informazioni, dei documenti e dei materiali classificati. Decisione da adottare:
1) diniego/revoca del NOS in presenza di sentenza definitiva di condanna o di sentenza di condanna di primo grado confermata in appello, per:
1.1. reati non colposi;
1.2. reati colposi afferenti alla tutela e salvaguardia delle informazioni, dei documenti e dei materiali classificati;
2) sospensione del NOS all'atto dell'acquisizione della notizia che la persona e' stata sottoposta a taluna delle misure cautelari personali previste dalla legislazione vigente, o ha assunto la qualita' di imputato;
3) sospensione della procedura per il rilascio o il rinnovo del NOS all'atto dell'acquisizione della notizia che la persona e' stata sottoposta a taluna delle misure cautelari personali previste dalla legislazione vigente, o ha assunto la qualita' di imputato.
b) In riferimento a taluna delle decisioni di cui alla lettera a), numero 1, sottonumeri 1.1 e 1.2, la richiesta di rilascio del NOS puo' essere riproposta qualora la persona interessata sia stata riabilitata e la riabilitazione abbia estinto le pene accessorie ed ogni altro effetto penale della condanna.
c) Nei casi di cui alla lettera a), numeri 2) e 3), il ripristino della validita' del NOS, o la ripresa della procedura per il rilascio/rinnovo, ha luogo previa esibizione, da parte del richiedente, del provvedimento di archiviazione, o della sentenza di proscioglimento, o della sentenza di assoluzione di primo grado confermata in appello.
d) Area di vulnerabilita' per attivita' contrarie alla difesa e alla sicurezza dello Stato (persone sul conto delle quali si hanno elementi di informazione tali da poterle considerare interessate ad attivita' di spionaggio, sabotaggio, collusione, relazione, collaborazione con elementi che perseguono fini o svolgono attivita' contrarie alla difesa e alla sicurezza dello Stato italiano o degli Stati membri delle Organizzazioni internazionali di cui l'Italia e' parte). Decisione da adottare:
1) diniego/revoca del NOS.
e) Area di vulnerabilita' per attivita' eversive o di fiancheggiamento svolte da persone appartenute, appartenenti o sul conto delle quali si hanno elementi di informazione tali da poterle considerare collegate a movimenti, nuclei o gruppi che perseguono fini contrari alle istituzioni democratiche dello Stato, ovvero svolgono propaganda diretta a sovvertire con la violenza l'ordinamento democratico. Decisione da adottare:
1) diniego/revoca del NOS.
f) Area di vulnerabilita' riferita a persone sul conto delle quali si hanno elementi di informazione tali da poterle considerare appartenute o appartenenti ad organizzazioni di tipo mafioso o ad altre organizzazioni che perseguono fini criminosi, ovvero sono dedite ad attivita' contrarie ai fondamentali interessi economici, finanziari e industriali del Paese. Decisione da adottare:
1) diniego/revoca del NOS.
g) Area di vulnerabilita' riferita a persone risultanti affette da stati psicopatologici, ovvero da dipendenza da sostanze psicotrope, stupefacenti o alcoliche, tali da influire sulla garanzia di affidabilita' ai fini della protezione e della tutela delle informazioni, dei documenti e dei materiali classificati. Decisione da adottare:
1) diniego/revoca del NOS.
h) Area di vulnerabilita' riferita a persone sul conto delle quali esistono situazioni di fatto, pertinenti e non eccedenti alle specifiche finalita' di tutela perseguite, che possono verosimilmente rendere le medesime influenzabili, vulnerabili o possibili oggetto di atti di condizionamento o pressione, tali da influire sulla liberta' di determinazione, od indurle a commettere azioni contrarie alla sicurezza nazionale (ad es.: legami di parentela o di familiarita' con persone riconducibili alle aree di vulnerabilita' di cui alle lettere e) ed f); rilevanti esposizioni debitorie; fallimenti; pignoramenti; frequentazione di soggetti o di ambienti controindicati). Decisione da adottare:
1) diniego/revoca del NOS, oppure NOS con limitazioni.
 
Art. 23. Sospensione, declassifica, dequalifica e revoca del NOS in caso di violazione della sicurezza e compromissione delle informazioni
classificate
1. L'Autorita' nazionale per la sicurezza e le Autorita' di cui ai commi 2, 3, 4, 5 e 6 dell'art. 17 possono adottare, rispettivamente, i provvedimenti di revoca e quelli di sospensione, declassifica e dequalifica dell'abilitazione nei casi di grave violazione della sicurezza e di compromissione delle informazioni classificate.
 
Art. 24.
Abilitazioni di sicurezza delle imprese
1. Le disposizioni di cui al presente Capo sono riferite alle abilitazioni di sicurezza che devono essere possedute dalle imprese ai fini della realizzazione di opere, esecuzione di lavori, realizzazione di studi, progettazioni ed acquisizione di beni e servizi ai quali sia stata attribuita una classifica di segretezza.
2. Lo svolgimento, da parte delle imprese, delle attivita' di cui al comma 1 richiede, a seconda dei casi, il previo possesso, da parte delle stesse, dell'Abilitazione preventiva o del Nulla osta di sicurezza complessivo rilasciati dall'Autorita' nazionale per la sicurezza.
3. Nei casi previsti al comma 2, se l'impresa ha necessita' di trattare informazioni classificate anche con sistemi EAD e COMSEC, deve richiedere all'Autorita' nazionale per la sicurezza, contestualmente all'Abilitazione preventiva o al Nulla osta di sicurezza complessivo, anche le autorizzazioni EAD e COMSEC.
 
Art. 25.
Abilitazione preventiva
1. L'impresa che intende partecipare ad una gara classificata in ambito nazionale od internazionale, o a trattative per l'esecuzione di studi o lavori classificati, deve richiedere all'Autorita' nazionale per la sicurezza il rilascio dell'Abilitazione preventiva.
2. Nei casi previsti al comma 1, se l'impresa ha necessita' di trattare informazioni classificate anche con sistemi EAD, la stessa deve richiedere all'Autorita' nazionale per la sicurezza, contestualmente all'Abilitazione preventiva, anche l'omologazione di tali sistemi.
 
Art. 26.
Nulla osta di sicurezza complessivo
1. L'impresa che deve dare esecuzione ad un contratto di cui e' risultata aggiudicataria o assegnataria, che prevede la trattazione di informazioni classificate, richiede il rilascio del Nulla osta di sicurezza complessivo all'Autorita' nazionale per la sicurezza, in conformita' alle disposizioni che regolano la materia.
2. Nei casi previsti al comma 1, se l'impresa ha necessita' di trattare informazioni classificate con sistemi EAD o COMSEC, richiede all'Autorita' nazionale per la sicurezza, contestualmente al Nulla osta di sicurezza complessivo, anche l'omologazione di tali sistemi e l'abilitazione COMSEC.
 
Art. 27. Responsabilita' della protezione e della tutela delle informazioni
classificate nell'ambito delle imprese
1. Presso ogni impresa che tratta informazioni classificate, la responsabilita' relativa alla protezione e alla tutela delle medesime, a livello centrale e periferico, fa capo al rappresentante legale dell'impresa.
2. Il rappresentante legale dell'impresa, in relazione alla dimensione dell'impresa e ad altre valutazioni di sua competenza, puo' delegare l'esercizio dei compiti e delle funzioni in materia di protezione e tutela delle informazioni classificate ad un Funzionario, di elevato livello gerarchico ed adeguatamente abilitato ai fini della sicurezza, che assume la denominazione di «Funzionario alla sicurezza».
3. Presso ciascuna sede periferica dell'impresa il rappresentante legale dell'impresa puo' nominare altro «Funzionario alla sicurezza», adeguatamente abilitato ai fini della sicurezza, coordinato e diretto dal «Funzionario alla sicurezza» della sede principale dell'impresa.
4. La nomina dei Funzionari alla sicurezza presso le imprese e' soggetta alla preventiva approvazione dell'Autorita' nazionale per la sicurezza.
 
Art. 28.
Organi di sicurezza presso le imprese
1. Nell'ambito delle imprese legittimate alla trattazione delle informazioni classificate possono essere istituiti, previa autorizzazione dell'Autorita' nazionale per la sicurezza, appositi Organi di sicurezza.
2. Presso l'impresa che ha anche sedi periferiche:
a) a livello centrale, puo' essere istituito uno dei seguenti Organi principali di sicurezza, diretto e coordinato dal Funzionario alla sicurezza:
1) «Segreteria principale NATO-UEO-UE/S»;
2) «Segreteria principale NATO-UEO»;
3) «Segreteria principale di sicurezza UE/S»;
4) «Segreteria principale di sicurezza»;
b) a livello periferico, puo' essere istituito uno dei seguenti Organi esecutivi di sicurezza, diretto e coordinato dal Funzionario alla sicurezza della sede periferica:
1) «Segreteria NATO-UEO-UE/S»;
2) «Segreteria NATO-UEO»;
3) «Punto di controllo NATO-UEO-UE/S»;
4) «Segreteria di sicurezza UE/S».
3. Presso l'impresa che ha sede unica puo' essere istituito uno degli Organi di sicurezza di cui ai numeri 1), 2), 3) e 4) del comma 2, lettera b), diretto e coordinato dal Funzionario alla sicurezza.
 
Art. 29. Compiti del Funzionario alla sicurezza della sede principale od unica
dell'impresa
1. Il Funzionario alla sicurezza della sede principale od unica dell'impresa ha il compito di:
a) fornire al rappresentante legale dell'impresa consulenza in materia di protezione e tutela delle informazioni classificate;
b) dirigere, coordinare e controllare tutte le attivita' che riguardano la protezione e la tutela delle informazioni, dei documenti e dei materiali classificati trattati nell'ambito dell'impresa, sia a livello centrale che periferico;
c) assicurare il controllo delle lavorazioni classificate e la salvaguardia delle stesse dall'accesso di personale non adeguatamente abilitato sotto il profilo della sicurezza e, comunque, non autorizzato;
d) coordinare le altre branche della sicurezza inerenti il servizio di sorveglianza e controllo delle infrastrutture, COMSEC ed EAD;
e) curare gli adempimenti relativi al rilascio dei NOS a favore del personale dell'impresa che ha necessita' di trattare informazioni classificate a livello RISERVATISSIMO e superiore;
f) comunicare all'Autorita' nazionale per la sicurezza ogni variazione riguardante l'assetto dirigenziale dell'impresa e, per le societa' di capitale, le variazioni relative al pacchetto azionario;
g) istruire il personale legittimato alla trattazione di informazioni classificate sulle disposizioni che regolano la materia;
h) comunicare all'Autorita' nazionale per la sicurezza, e all'ente cui e' stato delegato il controllo relativo alle lavorazioni classificate, ogni evento che possa costituire minaccia alla sicurezza e tutela delle informazioni classificate;
i) assicurare la corretta osservanza delle procedure relative alle visite, da parte di personale estraneo all'impresa, nei siti dove sono trattate informazioni classificate;
l) curare gli aspetti di sicurezza inerenti le trattative contrattuali che prevedono la trattazione di informazioni classificate.
 
Art. 30. Compiti del Funzionario alla sicurezza della sede periferica
dell'impresa
1. Il Funzionario alla sicurezza della sede periferica dell'impresa esegue le disposizioni impartite dal Funzionario alla sicurezza dell'Organo principale di sicurezza dell'impresa in materia di protezione e tutela delle informazioni classificate e, relativamente all'ambito di propria competenza, svolge i compiti indicati nell'art. 29, non espressamente riservati al Funzionario alla sicurezza dell'Organo principale di sicurezza dell'impresa.
 
Art. 31. Diniego, revoca, sospensione, riduzione della classifica di segretezza e riduzione della qualifica o dequalifica di sicurezza internazionale dell'AP e del NOSC (Capo II del D.P.C.M. 21 settembre
1999)
1. Nel caso in cui le controindicazioni di cui all'art. 21 riguardano il titolare della ditta individuale, i soci della societa' di persone o i legali rappresentanti della persona giuridica di diritto privato, dell'ente, dell'associazione od organismo, si adotta una delle seguenti decisioni:
a) diniego, revoca, sospensione, declassifica o dequalifica dell'Abilitazione Preventiva (AP) o del Nulla osta di sicurezza complessivo (NOSC).
2. La decisione concernente il diniego, la revoca, la sospensione, la declassifica o la dequalifica dell'Abilitazione preventiva (AP) o del Nulla osta di sicurezza complessivo (NOSC), e' adottata anche quando l'organizzazione di sicurezza della ditta, persona giuridica di diritto privato, societa', ente, associazione od organismo, non da' sicuro affidamento, ai fini della protezione e della tutela delle informazioni, dei documenti e dei materiali classificati, a causa di:
a) carenza delle misure fisiche di sicurezza o inadeguata attuazione delle procedure di sicurezza prescritte;
b) insufficienza del numero di persone (dirigenti, tecnici, impiegati, operai e consulenti), nei confronti delle quali e' stato possibile rilasciare il NOS, in relazione alla necessita' di garantire la protezione e la tutela delle attivita' classificate da espletare o in atto.
3. Per la societa' di capitale, la decisione concernente il diniego, la revoca, la sospensione, la declassifica o la dequalifica dell'Abilitazione preventiva (AP) o del Nulla osta di sicurezza complessivo (NOSC), e' adottata anche quando:
a) sul conto dei titolari di quote di partecipazione qualificate in rapporto al capitale sociale dell'impresa tali da conferire, avuto anche riguardo alle circostanze di fatto e di diritto, la possibilita' di esercitare sull'impresa stessa un'influenza notevole, ancorche' non dominante, emergono controindicazioni o si hanno elementi d'informazione sufficienti per poterli considerare riconducibili alle aree di vulnerabilita' di cui all'art. 22, comma 1, lettere d), e) ed f);
b) i titolari di quote di partecipazione qualificate in rapporto al capitale sociale dell'impresa tali da conferire, avuto anche riguardo alle circostanze di fatto e di diritto, la possibilita' di esercitare sull'impresa stessa un'influenza notevole, ancorche' non dominante, risultano cittadini di Stati nei cui confronti si hanno elementi di informazione tali da poterli considerare potenziali autori di azioni di penetrazione economica a danno dello Stato italiano.
4. In presenza di taluna delle carenze o controindicazioni indicate ai commi 1 e 2, si puo' soprassedere all'adozione della decisione di diniego, revoca, sospensione, declassifica o dequalifica dell'Abilitazione preventiva (AP) o del Nulla osta di sicurezza complessivo (NOSC), a condizione che la ditta individuale, la persona giuridica di diritto privato, la societa', l'ente, l'associazione o l'organismo s'impegni ad eliminarla nei termini stabiliti dall'autorita' competente ad assumere la decisione e siano comunque assicurati gli standard minimi di sicurezza richiesti. Se, nei termini stabiliti dalla autorita' competente ad assumere la decisione, le carenze o le controindicazioni segnalate non vengono eliminate, l'Abilitazione preventiva, o il Nulla osta di sicurezza complessivo, si intendono, a seconda dei casi, revocati o non concessi.
 
Art. 32.
Appendice riservata
1. L'atto contrattuale che prevede la trattazione di informazioni classificate contiene in se' informazioni non classificate ed informazioni classificate. Queste ultime sono contenute in un'appendice classificata, non soggetta a pubblicita' e divulgazione, denominata «Appendice riservata».
2. L'Appendice riservata contiene, tra le altre clausole di sicurezza finalizzate alla protezione e alla tutela delle informazioni classificate, anche una lista che determina, per ciascuna informazione, il relativo livello di classifica di segretezza ed eventuale qualifica di sicurezza.
 
Art. 33. Sicurezza delle lavorazioni classificate e deroghe al divieto di
divulgazione
1. Le lavorazioni classificate sono soggette al rispetto delle procedure di sicurezza stabilite dall'Autorita' nazionale per la sicurezza.
2. Ai fini di cui al comma 1, l'Autorita' nazionale per la sicurezza emana disposizioni di dettaglio relative alle visite, da parte di persone estranee, alla struttura dove vengono trattate informazioni classificate e controllate di carattere industriale, nonche' relative ai trasporti di materiali classificati, sia in ambito nazionale che internazionale, anche connessi con l'esportazione, l'importazione e il transito di materiali classificati.
3. Ai fini della protezione e della tutela delle informazioni classificate nel settore industriale, l'Autorita' nazionale per la sicurezza e' titolare del potere ispettivo. Le ispezioni di sicurezza possono essere effettuate in via ordinaria o straordinaria ed in forma diretta o delegata.
4. L'Autorita' nazionale per la sicurezza, mediante deroga al divieto di divulgazione, autorizza la cessione di informazioni classificate nei casi previsti dalla legge, da regolamenti, da Accordi internazionali e da programmi intergovernativi industriali assoggettabili a licenza globale di progetto.
 
Art. 34.
Generalita'
1. Le informazioni e i materiali concernenti la sicurezza delle comunicazioni classificate richiedono, per la loro specificita', norme e procedure di protezione, trattazione e controllo particolari.
2. Al fine di poter trattare informazioni classificate, gli apparati e i sistemi di comunicazione devono essere sottoposti, ai fini della sicurezza, a specifici processi di valutazione, certificazione, approvazione e abilitazione.
3. La trattazione, da parte di qualunque soggetto, pubblico o privato, di informazioni o materiali COMSEC, richiede la costituzione di una struttura di sicurezza autorizzata dall'Autorita' nazionale per la sicurezza e basata su:
a) infrastrutture e locali rispondenti a specifici requisiti;
b) procedure di sicurezza dedicate;
c) la designazione di un funzionario/ufficiale COMSEC, di un custode CIFRA e di un sostituto del custode CIFRA.
 
Art. 35.
Accesso alle informazioni e ai materiali COMSEC
1. L'accesso alle informazioni e ai materiali COMSEC e' consentito solo a persone che:
a) siano cittadini italiani;
b) siano gia' state abilitate con il NOS a livello non inferiore a «SEGRETO»;
c) siano provviste della particolare autorizzazione denominata «Autorizzazione all'accesso CIFRA», che viene rilasciata dalla competente autorita' solo a seguito di opportuno indottrinamento sulla materia.
 
Art. 36
Materiale COMSEC
1. Costituiscono materiali COMSEC gli apparati, i dispositivi, le pubblicazioni e i documenti relativi alla sicurezza delle comunicazioni classificate. In tale ambito, allo scopo di limitare l'accesso alle sole persone in possesso dei requisiti di cui all'art. 35, ad essi sono applicate, a seconda dei casi, le indicazioni «Cifra» o «Sicurezza Cifra» e «CCI» (Materiale Crittografico COMSEC Controllato).
 
Art. 37.
Contabilizzazione e distribuzione del materiale COMSEC
1. La contabilizzazione e la distribuzione del materiale COMSEC sono effettuate attraverso:
a) l'Agenzia nazionale di distribuzione;
b) sub Agenzie di distribuzione;
c) singoli utenti.
 
Art. 38.
Generalita'
1. Le informazioni e i materiali concernenti la sicurezza della trattazione di informazioni classificate con sistemi EAD richiedono norme e procedure di protezione specifiche. Nei casi in cui per i sistemi informativi e' prevista l'applicazione contemporanea di misure di sicurezza COMPUSEC e COMSEC, si attuano le conseguenti misure di sicurezza INFOSEC.
2. Al fine di poter trattare informazioni classificate, i sistemi informatici devono essere sottoposti, ai fini della sicurezza, a specifici processi di certificazione ed omologazione.
3. La certificazione del sistema EAD, che tratta informazioni classificate, consiste nel processo di valutazione della documentazione tecnica prodotta dal soggetto, pubblico o privato, interessato all'impiego del sistema. La documentazione in argomento e' riferita alle misure di sicurezza, previste per il sistema, che devono essere idonee a soddisfare i requisiti necessari a garantire la riservatezza, la disponibilita' e l'integrita' dei dati. Il certificato relativo all'idoneita' del sistema in argomento e' rilasciato dall'Ufficio centrale per la sicurezza.
4. A seguito del rilascio del certificato di cui al comma 3, l'Ufficio centrale per la sicurezza verifica la corretta ed integrale realizzazione delle misure di sicurezza del sistema EAD che ha formato oggetto del processo di certificazione.
5. La positiva conclusione del processo di certificazione di cui al comma 3 e della verifica di cui al comma 4, da' luogo al rilascio, da parte dell'Autorita' nazionale per la sicurezza, del certificato di omologazione. Con detto certificato il soggetto richiedente, pubblico o privato, e' autorizzato ad impiegare il sistema EAD per la trattazione delle informazioni classificate.
6. La valutazione relativa all'idoneita' delle funzioni di sicurezza COMPUSEC di un prodotto o sistema e' effettuata sulla base delle disposizioni contenute nel decreto del Presidente del Consiglio dei Ministri 11 aprile 2002.
7. La valutazione di cui al comma 6 e' effettuata dall'Ufficio centrale per la sicurezza nella qualita' di «Ente di certificazione», mentre il certificato attestante la sicurezza delle tecnologie dell'informazione e' rilasciato dall'Autorita' nazionale per la sicurezza quale «Autorita' di certificazione».
8. La trattazione, da parte di qualunque soggetto, pubblico o privato, di informazioni classificate con sistemi EAD, richiede la costituzione di una struttura di sicurezza, autorizzata dall'Autorita' nazionale per la sicurezza, basata su:
a) infrastrutture e locali rispondenti a specifici requisiti;
b) procedure di sicurezza dedicate;
c) la designazione di un funzionario/ufficiale alla sicurezza EAD e del suo sostituto.
 
Art. 39.
Competenze
1. Il funzionario/ufficiale alla sicurezza EAD, in relazione ad una analisi del rischio finalizzata a valutare l'entita' della minaccia esterna e la vulnerabilita' del sistema, definisce le misure di sicurezza da adottare a protezione del sistema stesso. Esso agisce in coordinazione con il funzionario/ufficiale COMSEC.
2. Il funzionario/ufficiale alla sicurezza EAD ha il compito di garantire la corretta applicazione delle procedure di sicurezza del sistema EAD e della sua integrita'.
 
Art. 40.
Scopo e requisiti di sicurezza
1. Scopo delle misure di sicurezza materiale e' quello di evitare che persone non autorizzate abbiano accesso alle informazioni classificate.
2. Ai fini di cui al comma 1, i locali, le aree, gli edifici, gli uffici, le stanze, i sistemi di comunicazione e d'informazione ed altro, in cui sono trattate informazioni classificate, sono protetti da adeguate misure di sicurezza materiale.
3. Per decidere sul grado di protezione materiale necessario per ciascun caso, occorre tener conto dei fattori pertinenti e, in particolare, di quelli di seguito indicati:
a) livello di classificazione delle informazioni da proteggere;
b) quantita' e forma delle informazioni classificate trattate (supporto cartaceo, mezzi di archiviazione elettronica);
c) grado di esposizione della sede dove vengono trattate informazioni classificate al rischio di spionaggio e ad azioni di sabotaggio, di terrorismo, di sovversione e di qualsiasi altra forma di criminalita'.
 
Art. 41.
Aree riservate
1. Le aree dove vengono trattate informazioni classificate a livello Riservatissimo e superiore sono organizzate e strutturate in modo da corrispondere ad una delle seguenti tipologie:
a) «aree riservate di I classe»: sono quelle in cui l'ingresso consente, a tutti gli effetti pratici, di poter accedere alle informazioni classificate (ad esempio le sale operative, i centri operativi, le sale situazioni, i locali dove operano gli organi principali ed esecutivi di sicurezza, le sale cifra, i centri comunicazioni classificate, i centri EAD e simili). Per tali aree e' necessario prevedere:
1) un perimetro definito e protetto, con tutte le entrate e le uscite controllate;
2) un sistema di controllo all'entrata che consenta l'ingresso solo alle persone adeguatamente abilitate ed espressamente autorizzate;
3) l'indicazione dei livelli massimi di classifica di segretezza e qualifiche di sicurezza delle informazioni normalmente custodite nell'area, cioe' delle informazioni alle quali l'entrata nell'area da' la possibilita' di accedere;
b) «aree riservate di II classe»: sono quelle che vengono protette, mediante controlli predisposti internamente, contro l'accesso di persone non autorizzate (ad esempio le strutture in cui si trovano uffici che trattano e custodiscono regolarmente informazioni classificate Riservatissimo e superiore). Dette aree necessitano di:
1) un perimetro chiaramente delimitato e protetto, con tutte le entrate e le uscite controllate;
2) un sistema di controllo all'entrata che consenta l'ingresso senza accompagnamento solo alle persone adeguatamente abilitate ed espressamente autorizzate ad entrare in tale area. Per tutte le altre persone e' necessario prevedere l'accompagnamento o altra forma di controllo per evitare l'accesso non autorizzato alle informazioni classificate, nonche' l'ingresso non controllato alle aree soggette ad ispezioni tecniche di sicurezza.
2. Le aree non controllate 24 ore al giorno sono ispezionate sia immediatamente dopo il normale orario di lavoro sia successivamente, in modo da garantire che le informazioni classificate siano adeguatamente protette.
 
Art. 42.
Aree controllate
1. In prossimita' delle aree riservate di I e II classe, o per accedere ad esse, puo' essere definita un'area protetta con un livello di sicurezza minore. In tal caso, occorre prevedere un perimetro chiaramente delimitato per l'ispezione del personale e dei veicoli. Nell'area protetta sono trattate solo informazioni classificate a livello non superiore a Riservato.
 
Art. 43.
Controlli all'entrata e all'uscita
1. L'ingresso nelle aree riservate di I e II classe e' controllato mediante un sistema di «passi» o di riconoscimento individuale per il personale in organico all'ente.
2. E' necessario disporre di un sistema di controllo dei visitatori, al fine di impedire l'accesso non autorizzato ad informazioni classificate. I sistemi di riconoscimento individuale possono essere anche di tipo elettronico (badge), senza che cio' sostituisca del tutto il personale preposto al servizio di vigilanza.
3. Una modifica nella valutazione del rischio puo' comportare un rafforzamento delle misure di controllo delle entrate e delle uscite, per esempio durante le visite di personalita'.
 
Art. 44.
Vigilanza
1. Personale di vigilanza espressamente preposto effettua il controllo delle aree riservate di I e II classe al di fuori del normale orario di lavoro, al fine di prevenire rischi di manomissioni, danni o perdite di informazioni classificate.
 
Art. 45.
Contenitori di sicurezza e camere blindate
1. Le informazioni classificate sono custodite in contenitori suddivisi in tre categorie:
a) categoria A: contenitori, approvati a livello nazionale, per la custodia delle informazioni classificate SEGRETISSIMO nelle aree riservate di I e II classe;
b) categoria B: contenitori, approvati a livello nazionale, per la custodia delle informazioni classificate SEGRETO e RISERVATISSIMO nelle aree riservate di I e II classe;
c) categoria C: mobili da ufficio, con serrature, per la custodia delle informazioni classificate RISERVATO.
2. Per le camere blindate costruite all'interno di un'area riservata di I o di II classe e per tutte le aree riservate di I classe - dove le informazioni classificate RISERVATISSIMO o superiore sono depositate in scaffali aperti, o esposte su grafici, carte geografiche, mappe, prospetti, piantine, ecc. e' necessario acquisire la certificazione e l'omologazione dell'Autorita' nazionale per la sicurezza attestante che le pareti, il pavimento, il soffitto e le porte provviste di serratura offrono le stesse garanzie di protezione della categoria di contenitori di sicurezza approvata per la custodia delle informazioni classificate di pari livello di segretezza.
 
Art. 46.
Dispositivi di chiusura
1. I dispositivi di chiusura utilizzati per i contenitori di sicurezza e le camere blindate in cui sono custodite informazioni classificate devono soddisfare i seguenti requisiti:
a) gruppo A, approvati a livello nazionale per contenitori della categoria A;
b) gruppo B, approvati a livello nazionale per contenitori della categoria B;
c) gruppo C, idonei solo per i mobili da ufficio della categoria C.
 
Art. 47.
Dispositivi per il rilevamento di intrusi
1. Le aree riservate di I e II classe devono essere protette con idonei sistemi di allarme e dispositivi elettronici per il rilevamento delle intrusioni.
2. I sistemi e dispositivi elettronici di cui al comma 1 devono essere dotati di misure antimanomissione ed antisabotaggio e di alimentazione elettrica sussidiaria.
 
Art. 48.
Attrezzatura di sicurezza approvata
1. L'Autorita' nazionale per la sicurezza tiene elenchi aggiornati, suddivisi per tipologia e modelli, dell'attrezzatura di sicurezza da essa approvata per la protezione, diretta o indiretta, delle informazioni classificate.
 
Art. 49. Protezione contro la visione o l'ascolto non autorizzati di
informazioni classificate
1. I locali dove vengono trattate informazioni classificate a livello Riservatissimo e superiore sono assoggettati a periodiche verifiche ambientali atte ad impedirne la visione o l'ascolto clandestino.
2. Le verifiche di cui al comma 1 sono effettuate, in particolare:
a) prima dello svolgimento di riunioni classificate;
b) dopo l'esecuzione di lavori, compresi quelli di manutenzione, alle strutture o in seguito all'installazione o riparazione di impianti elettrici o elettronici di qualsiasi genere;
c) in ogni altra situazione giudicata dal funzionario/ufficiale alla sicurezza a rischio di compromissione delle informazioni classificate.
3. Le verifiche di cui ai commi 1 e 2 sono effettuate esclusivamente da personale adeguatamente abilitato ai fini della sicurezza.
4. L'esigenza di verifiche ambientali e' comunicata all'Autorita' nazionale per la sicurezza, che in merito puo' procedere anche con delega.
 
Art. 50.
Direttive dell'Autorita' nazionale per la sicurezza
L'Autorita' nazionale per la sicurezza emana, con proprie direttive, anche classificate, le disposizioni tecniche e di dettaglio per adeguare la disciplina applicativa ai principi di cui al presente decreto ed in conformita' agli accordi internazionali di settore.
 
Art. 51.
Abrogazioni e disposizioni finali
1. Il presente decreto entra in vigore il trentesimo giorno successivo alla sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. Dalla stessa data sono abrogate le seguenti direttive:
a) PCM ANS 1/R - Norme unificate per la tutela del segreto di Stato - Volume I - Sistema di Sicurezza - Edizione 1987;
b) PCM ANS 1/R - Norme unificate per la tutela del segreto di Stato - Volume II - Sicurezza delle comunicazioni ed organizzazione e procedure del servizio cifra - Pubblicazione COMSEC - Edizione 1994;
c) PCM ANS 1/R - Norme unificate per la tutela del segreto di Stato - Volume III - Sicurezza Industriale - Edizione 1993;
d) PCM-ANS 1/R/A - Norme unificate per la tutela del segreto di Stato - Direttiva per la protezione delle informazioni coperte dal segreto di Stato trattate in sistemi di elaborazione automatica e/o elettronica dei dati (EAD) - Edizione 1993.
Roma, 3 febbraio 2006
Il Presidente: Berlusconi
 
Gazzetta Ufficiale Serie Generale per iPhone