Gazzetta n. 306 del 27 dicembre 2021 (vai al sommario) PRESIDENZA DEL CONSIGLIO DEI MINISTRI DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 9 dicembre 2021, n. 223 Regolamento di organizzazione e funzionamento dell'Agenzia per la cybersicurezza nazionale. IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI Vista la legge 23 agosto 1988, n. 400; Visto il decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, recante «Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale» che, in particolare, istituisce l'Agenzia per la cybersicurezza nazionale (nel prosieguo «Agenzia») anche ai fini della tutela della sicurezza nazionale e dell'interesse nazionale nello spazio cibernetico e, in particolare, l'articolo 6; Vista la legge 7 agosto 1990, n. 241; Visto il decreto legislativo 7 marzo 2005, n. 82, recante il «Codice dell'amministrazione digitale»; Visto il decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56; Visto il decreto legislativo 18 maggio 2018, n. 65, di attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione; Visto il decreto-legge 21 settembre 2019, n. 105, convertito in legge, con modificazioni, dalla legge 18 novembre 2019, n. 133, recante «Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica»; Visti gli articoli 2, comma 2, e 5, comma 2, secondo periodo, del decreto-legge n. 82 del 2021, che prevedono, in particolare, rispettivamente, che il Presidente del Consiglio dei ministri, sentito il CIC, impartisce le direttive per la cybersicurezza ed emana ogni disposizione necessaria per l'organizzazione e il funzionamento dell'Agenzia, e che il Presidente del Consiglio dei ministri e l'Autorita' delegata, ove istituita, si avvalgano dell'Agenzia per l'esercizio delle competenze di cui allo stesso decreto-legge; Visti altresi' gli articoli 5, comma 2, primo periodo, e 12, comma 1, del decreto-legge n. 82 del 2021, che prevedono, in particolare, rispettivamente, che l'Agenzia e' dotata di autonomia regolamentare, amministrativa e organizzativa e che per il personale del ruolo dell'Agenzia, di cui all'articolo 12, comma 2, lettera a), del richiamato decreto-legge, tenuto conto delle funzioni volte alla tutela della sicurezza nazionale, ne sia dettata la relativa disciplina con apposito regolamento adottato anche in deroga alle vigenti disposizioni di legge, ivi incluso il decreto legislativo 30 marzo 2001, n. 165, nel rispetto dei principi generali dell'ordinamento giuridico, prevedendo, infine, un trattamento economico pari a quello in godimento da parte dei dipendenti della Banca d'Italia, sulla scorta dell'equiparabilita' delle funzioni svolte e del livello di responsabilita' rivestito; Visto il regolamento adottato con decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131; Visto il decreto del Presidente del Consiglio dei ministri 13 settembre 2021, recante «Delega di funzioni in materia di cybersicurezza all'Autorita' delegata per la sicurezza della Repubblica, prefetto Franco Gabrielli»; Ritenuto di dare attuazione all'articolo 6, individuando un assetto organizzativo e funzionale dell'Agenzia efficiente, coerente con la missione istituzionale, raccordato e compatibile con le previsioni di cui al richiamato articolo 12, comma 1, e che consenta di disporre delle necessarie dinamicita', modularita' e gradualita' nell'attivazione delle strutture e articolazioni dell'Agenzia, al fine di assicurarne un pronto avvio nel rispetto dei principi di efficienza ed economicita'; Visto l'articolo 6, comma 3, del decreto-legge n. 82 del 2021, che consente l'adozione del presente regolamento in deroga alle disposizioni dell'articolo 17 della legge 23 agosto 1988, n. 400 e, dunque, anche in assenza del parere del Consiglio di Stato; Acquisiti i pareri delle Commissioni I (Affari costituzionali) e IX (Trasporti) riunite, IV (Difesa) e V (Bilancio) della Camera dei deputati, delle Commissioni 1ª (Affari costituzionali), 5ª (Bilancio) e 8ª (Lavori pubblici, comunicazione) del Senato della Repubblica e del Comitato parlamentare per la sicurezza della Repubblica; Sentito il Comitato interministeriale per la cybersicurezza (CIC); Di concerto con il Ministro dell'economia e delle finanze; Adotta il seguente regolamento: Art. 1 Definizioni 1. Ai fini del presente regolamento si intende per: a) decreto-legge, il decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, recante disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale; b) Autorita' delegata, il Sottosegretario di Stato o il Ministro senza portafoglio di cui all'articolo 3 del decreto-legge; c) CIC, il Comitato interministeriale per la cybersicurezza di cui all'articolo 4 del decreto-legge; d) decreto legislativo NIS, il decreto legislativo 18 maggio 2018, n. 65, di attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione, come modificato dall'articolo 15 del decreto-legge; e) decreto-legge perimetro, il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica; f) Tavolo Perimetro, il Tavolo interministeriale per l'attuazione del perimetro di sicurezza nazionale cibernetica di cui all'articolo 6, comma 1, del regolamento adottato con decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131; g) Comitato tecnico-scientifico, il Comitato di cui all'articolo 7, comma 1-bis, del decreto-legge; h) Comitato tecnico di raccordo, il Comitato di cui all'articolo 9, comma 1, del decreto legislativo NIS; i) CSIRT Italia, il Computer security incident response team, di cui all'articolo 8 del decreto legislativo NIS; l) CVCN, il Centro di valutazione e certificazione nazionale di cui all'articolo 1, comma 6, lettera a), del decreto-legge perimetro; m) Centro di coordinamento, il Centro nazionale di coordinamento ai sensi dell'articolo 6 del regolamento (UE) n. 2021/887 del Parlamento europeo e del Consiglio del 20 maggio 2021, che istituisce il Centro europeo di competenza per la cybersicurezza nell'ambito industriale, tecnologico e della ricerca e la rete dei centri nazionali di coordinamento; n) articolazioni: le Divisioni di cui all'articolo 4, comma 4, e gli altri gruppi di progetto, di studio e ricerca, settori e altri gruppi di cui all'articolo 4, comma 5, secondo periodo. NOTE Avvertenza: - Il testo delle note qui pubblicato e' stato redatto dall'amministrazione competente per materia, ai sensi dell'art. 10, comma 3, del testo unico delle disposizioni sulla promulgazione delle leggi, sull'emanazione dei decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali della Repubblica italiana, approvato con decreto del Presidente della Repubblica 28 dicembre 1985, n. 1092, al solo fine di facilitare la lettura delle disposizioni di legge alle quali e' operato il rinvio. Restano invariati il valore e l'efficacia degli atti legislativi qui trascritti. - Per le direttive CEE vengono forniti gli estremi di pubblicazione nella Gazzetta Ufficiale delle Comunita' europee (GUUE). Note alle premesse: - La legge 23 agosto 1988, n. 400 (Disciplina dell'attivita' di Governo e ordinamento della Presidenza del Consiglio dei ministri) e' pubblicata nella Gazzetta Ufficiale 12 settembre 1988, n. 214, S.O. - Il decreto-legge 14 giugno 2021, n. 82 (Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale), convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, e' pubblicato nella Gazzetta Ufficiale 14 giugno 2021, n. 140. - La legge 7 agosto 1990, n. 241 (Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi) e' pubblicata nella Gazzetta Ufficiale 18 agosto 1990, n. 192. - Il decreto legislativo 7 marzo 2005, n. 82 (Codice dell'amministrazione digitale) e' pubblicato nella Gazzetta Ufficiale 16 maggio 2005, n. 112, S.O. - Il decreto legge 15 marzo 2012, n. 21 (Norme in materia di poteri speciali sugli assetti societari nei settori della difesa e della sicurezza nazionale, nonche' per le attivita' di rilevanza strategica nei settori dell'energia, dei trasporti e delle comunicazioni), convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, e' pubblicato nella Gazzetta Ufficiale 15 marzo 2012, n. 63. - Il decreto legislativo 18 maggio 2018, n. 65, (Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione) e' pubblicato nella Gazzetta Ufficiale 9 giugno 2018, n. 132. - Il decreto-legge 21 settembre 2019, n. 105 (Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica), convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, e' pubblicato nella Gazzetta Ufficiale 21 settembre 2019, n. 222. - Si riporta il testo dell'articolo 2 e del comma 2 dell'articolo 5 del citato decreto-legge 14 giugno 2021, n. 82 (Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale): «Art. 2. (Competenze del Presidente del Consiglio dei ministri). - 1. Al Presidente del Consiglio dei ministri sono attribuite in via esclusiva: a) l'alta direzione e la responsabilita' generale delle politiche di cybersicurezza; b) l'adozione della strategia nazionale di cybersicurezza, sentito il Comitato interministeriale per la cybersicurezza (CIC) di cui all'articolo 4; c) la nomina e la revoca del direttore generale e del vice direttore generale dell'Agenzia per la cybersicurezza nazionale di cui all'articolo 5, previa deliberazione del Consiglio dei ministri. 2. Ai fini dell'esercizio delle competenze di cui al comma 1, lettera a), e dell'attuazione della strategia nazionale di cybersicurezza, il Presidente del Consiglio dei ministri, sentito il CIC, impartisce le direttive per la cybersicurezza ed emana ogni disposizione necessaria per l'organizzazione e il funzionamento dell'Agenzia per la cybersicurezza nazionale. 3. Il Presidente del Consiglio dei ministri informa preventivamente il Comitato parlamentare per la sicurezza della Repubblica (COPASIR), di cui all' articolo 30 della legge 3 agosto 2007, n. 124, e le Commissioni parlamentari competenti circa le nomine di cui al comma 1, lettera c), del presente articolo.». «2. L'Agenzia ha personalita' giuridica di diritto pubblico ed e' dotata di autonomia regolamentare, amministrativa, patrimoniale, organizzativa, contabile e finanziaria, nei limiti di quanto previsto dal presente decreto. Il Presidente del Consiglio dei ministri e l'Autorita' delegata, ove istituita, si avvalgono dell'Agenzia per l'esercizio delle competenze di cui al presente decreto.». - Si riporta il testo dell'articolo 12, comma 1, del citato decreto legge 14 giugno 2021, n. 82: «Art. 12. (Personale). - 1. Con apposito regolamento e' dettata, nel rispetto dei principi generali dell'ordinamento giuridico, anche in deroga alle vigenti disposizioni di legge, ivi incluso il decreto legislativo 30 marzo 2001, n. 165, e nel rispetto dei criteri di cui al presente decreto, la disciplina del contingente di personale addetto all'Agenzia, tenuto conto delle funzioni volte alla tutela della sicurezza nazionale nello spazio cibernetico attribuite all'Agenzia. Il regolamento definisce l'ordinamento e il reclutamento del personale, e il relativo trattamento economico e previdenziale, prevedendo, in particolare, per il personale dell'Agenzia di cui al comma 2, lettera a), un trattamento economico pari a quello in godimento da parte dei dipendenti della Banca d'Italia, sulla scorta della equiparabilita' delle funzioni svolte e del livello di responsabilita' rivestito. La predetta equiparazione, con riferimento sia al trattamento economico in servizio che al trattamento previdenziale, produce effetti avendo riguardo alle anzianita' di servizio maturate a seguito dell'inquadramento nei ruoli dell'Agenzia. 2. Il regolamento determina, nell'ambito delle risorse finanziarie destinate all'Agenzia ai sensi dell'articolo 18, comma 1, in particolare: a) l'istituzione di un ruolo del personale e la disciplina generale del rapporto d'impiego alle dipendenze dell'Agenzia; b) la possibilita' di procedere, oltre che ad assunzioni a tempo indeterminato attraverso modalita' concorsuali, ad assunzioni a tempo determinato, con contratti di diritto privato, di soggetti in possesso di alta e particolare specializzazione debitamente documentata, individuati attraverso adeguate modalita' selettive, per lo svolgimento di attivita' assolutamente necessarie all'operativita' dell'Agenzia o per specifiche progettualita' da portare a termine in un arco di tempo prefissato; c) la possibilita' di avvalersi di un contingente di esperti, non superiore a cinquanta unita', composto da personale, collocato fuori ruolo o in posizione di comando o altra analoga posizione prevista dagli ordinamenti di appartenenza, proveniente da pubbliche amministrazioni di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, con esclusione del personale docente, educativo, amministrativo, tecnico e ausiliario delle istituzioni scolastiche, ovvero da personale non appartenente alla pubblica amministrazione, in possesso di specifica ed elevata competenza in materia di cybersicurezza e di tecnologie digitali innovative, nello sviluppo e gestione di processi complessi di trasformazione tecnologica e delle correlate iniziative di comunicazione e disseminazione, nonche' di significativa esperienza in progetti di trasformazione digitale, ivi compreso lo sviluppo di programmi e piattaforme digitali con diffusione su larga scala. Il regolamento, a tali fini, disciplina la composizione del contingente e il compenso spettante per ciascuna professionalita'; d) la determinazione della percentuale massima dei dipendenti che e' possibile assumere a tempo determinato; e) la possibilita' di impiegare personale del Ministero della difesa, secondo termini e modalita' da definire con apposito decreto del Presidente del Consiglio dei ministri; f) le ipotesi di incompatibilita'; g) le modalita' di progressione di carriera all'interno dell'Agenzia; h) la disciplina e il procedimento per la definizione degli aspetti giuridici e, limitatamente ad eventuali compensi accessori, economici del rapporto di impiego del personale oggetto di negoziazione con le rappresentanze del personale; i) le modalita' applicative delle disposizioni del decreto legislativo 10 febbraio 2005, n. 30, recante il Codice della proprieta' industriale, ai prodotti dell'ingegno ed alle invenzioni dei dipendenti dell'Agenzia; l) i casi di cessazione dal servizio del personale assunto a tempo indeterminato ed i casi di anticipata risoluzione dei rapporti a tempo determinato; m) quali delle disposizioni possono essere oggetto di revisione per effetto della negoziazione con le rappresentanze del personale. 3. Qualora le assunzioni di cui al comma 2, lettera b), riguardino professori universitari di ruolo o ricercatori universitari confermati si applicano le disposizioni di cui all'articolo 12 del decreto del Presidente della Repubblica 11 luglio 1980, n. 382, anche per quanto riguarda il collocamento in aspettativa. 4. In sede di prima applicazione delle disposizioni di cui al presente decreto, il numero di posti previsti dalla dotazione organica dell'Agenzia e' individuato nella misura complessiva di trecento unita', di cui fino a un massimo di otto di livello dirigenziale generale, fino a un massimo di 24 di livello dirigenziale non generale e fino a un massimo di 268 unita' di personale non dirigenziale. 5. Con decreti del Presidente del Consiglio dei ministri di concerto con il Ministro dell'economia e delle finanze, la dotazione organica puo' essere rideterminata nei limiti delle risorse finanziarie destinate alle spese per il personale di cui all'articolo 18, comma 1. Dei provvedimenti adottati in materia di dotazione organica dell'Agenzia e' data tempestiva e motivata comunicazione alle Commissioni parlamentari competenti e al COPASIR. 6. Le assunzioni effettuate in violazione delle disposizioni del presente decreto o del regolamento di cui al presente articolo sono nulle, ferma restando la responsabilita' personale, patrimoniale e disciplinare di chi le ha disposte. 7. Il personale che presta comunque la propria opera alle dipendenze o in favore dell'Agenzia e' tenuto, anche dopo la cessazione di tale attivita', al rispetto del segreto su cio' di cui sia venuto a conoscenza nell'esercizio o a causa delle proprie funzioni. 8. Il regolamento di cui al comma 1 e' adottato, entro centoventi giorni dalla data di entrata in vigore della legge di conversione del presente decreto, con decreto del Presidente del Consiglio dei ministri, anche in deroga all'articolo 17 della legge 23 agosto 1988, n. 400, previo parere delle Commissioni parlamentari competenti per materia e per i profili finanziari e, per i profili di competenza, del COPASIR e sentito il CIC.» - Il decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131 (Regolamento in materia di perimetro di sicurezza nazionale cibernetica, ai sensi dell'articolo 1, comma 2, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133) e' pubblicato nella Gazzetta Ufficiale 21 ottobre 2020, n. 261. - Il decreto del Presidente del Consiglio dei ministri 13 settembre 2021 (Delega di funzioni in materia di cybersicurezza all'Autorita' delegata per la sicurezza della Repubblica, prefetto Franco GABRIELLI) e' pubblicato nella Gazzetta Ufficiale 6 ottobre 2021, n. 239. - Si riporta il testo dell'articolo 6, del citato decreto-legge 14 giugno 2021, n. 82: «Art. 6. (Organizzazione dell'Agenzia per la cybersicurezza nazionale). - 1. L'organizzazione e il funzionamento dell'Agenzia sono definiti da un apposito regolamento che ne prevede, in particolare, l'articolazione fino ad un numero massimo di otto uffici di livello dirigenziale generale, nonche' fino ad un numero massimo di trenta articolazioni di livello dirigenziale non generale nell'ambito delle risorse finanziarie destinate all'Agenzia ai sensi dell'articolo 18, comma 1. 2. Sono organi dell'Agenzia il direttore generale e il Collegio dei revisori dei conti. Con il regolamento di cui al comma 1 sono disciplinati altresi': a) le funzioni del direttore generale e del vice direttore generale dell'Agenzia; b) la composizione e il funzionamento del Collegio dei revisori dei conti; c) l'istituzione di eventuali sedi secondarie. 3. Il regolamento di cui al comma 1 e' adottato, entro centoventi giorni dalla data di entrata in vigore della legge di conversione del presente decreto, con decreto del Presidente del Consiglio dei ministri, di concerto con il Ministro dell'economia e delle finanze, anche in deroga all'articolo 17 della legge 23 agosto 1988, n. 400, previo parere delle Commissioni parlamentari competenti per materia e per i profili finanziari e, per i profili di competenza, del COPASIR, sentito il CIC». - Si riporta il testo dell'articolo 17, della legge 23 agosto 1988, n. 400 (Disciplina dell'attivita' di Governo e ordinamento della Presidenza del Consiglio dei ministri), pubblicata nella Gazzetta Ufficiale 12 settembre 1988, n. 214, S.O. n. 86: «Art. 17. (Regolamenti). - 1. Con decreto del Presidente della Repubblica, previa deliberazione del Consiglio dei ministri, sentito il parere del Consiglio di Stato che deve pronunziarsi entro novanta giorni dalla richiesta, possono essere emanati regolamenti per disciplinare: a) l'esecuzione delle leggi e dei decreti legislativi, nonche' dei regolamenti comunitari; b) l'attuazione e l'integrazione delle leggi e dei decreti legislativi recanti norme di principio, esclusi quelli relativi a materie riservate alla competenza regionale; c) le materie in cui manchi la disciplina da parte di leggi o di atti aventi forza di legge, sempre che non si tratti di materie comunque riservate alla legge; d) l'organizzazione ed il funzionamento delle amministrazioni pubbliche secondo le disposizioni dettate dalla legge; e) 2. Con decreto del Presidente della Repubblica, previa deliberazione del Consiglio dei ministri, sentito il Consiglio di Stato e previo parere delle Commissioni parlamentari competenti in materia, che si pronunciano entro trenta giorni dalla richiesta, sono emanati i regolamenti per la disciplina delle materie, non coperte da riserva assoluta di legge prevista dalla Costituzione, per le quali le leggi della Repubblica, autorizzando l'esercizio della potesta' regolamentare del Governo, determinano le norme generali regolatrici della materia e dispongono l'abrogazione delle norme vigenti, con effetto dall'entrata in vigore delle norme regolamentari. 3. Con decreto ministeriale possono essere adottati regolamenti nelle materie di competenza del ministro o di autorita' sottordinate al ministro, quando la legge espressamente conferisca tale potere. Tali regolamenti, per materie di competenza di piu' ministri, possono essere adottati con decreti interministeriali, ferma restando la necessita' di apposita autorizzazione da parte della legge. I regolamenti ministeriali ed interministeriali non possono dettare norme contrarie a quelle dei regolamenti emanati dal Governo. Essi debbono essere comunicati al Presidente del Consiglio dei ministri prima della loro emanazione. 4. I regolamenti di cui al comma 1 ed i regolamenti ministeriali ed interministeriali, che devono recare la denominazione di «regolamento», sono adottati previo parere del Consiglio di Stato, sottoposti al visto ed alla registrazione della Corte dei conti e pubblicati nella Gazzetta Ufficiale. 4-bis. L'organizzazione e la disciplina degli uffici dei Ministeri sono determinate, con regolamenti emanati ai sensi del comma 2, su proposta del Ministro competente d'intesa con il Presidente del Consiglio dei ministri e con il Ministro del tesoro, nel rispetto dei principi posti dal decreto legislativo 3 febbraio 1993, n. 29, e successive modificazioni, con i contenuti e con l'osservanza dei criteri che seguono: a) riordino degli uffici di diretta collaborazione con i Ministri ed i Sottosegretari di Stato, stabilendo che tali uffici hanno esclusive competenze di supporto dell'organo di direzione politica e di raccordo tra questo e l'amministrazione; b) individuazione degli uffici di livello dirigenziale generale, centrali e periferici, mediante diversificazione tra strutture con funzioni finali e con funzioni strumentali e loro organizzazione per funzioni omogenee e secondo criteri di flessibilita' eliminando le duplicazioni funzionali; c) previsione di strumenti di verifica periodica dell'organizzazione e dei risultati; d) indicazione e revisione periodica della consistenza delle piante organiche; e) previsione di decreti ministeriali di natura non regolamentare per la definizione dei compiti delle unita' dirigenziali nell'ambito degli uffici dirigenziali generali. 4-ter. Con regolamenti da emanare ai sensi del comma 1 del presente articolo, si provvede al periodico riordino delle disposizioni regolamentari vigenti, alla ricognizione di quelle che sono state oggetto di abrogazione implicita e all'espressa abrogazione di quelle che hanno esaurito la loro funzione o sono prive di effettivo contenuto normativo o sono comunque obsolete.». Note all'art. 1: - Per i riferimenti del decreto legge 14 giugno 2021, n. 82 (Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale), si veda nelle note alle premesse. - Si riporta il testo degli artt. 3 e 4 del citato decreto-legge 14 giugno 2021, n. 82: «Art. 3. (Autorita' delegata). - 1. Il Presidente del Consiglio dei ministri, ove lo ritenga opportuno, puo' delegare all'Autorita' di cui all'articolo 3 della legge 3 agosto 2007, n. 124, ove istituita, denominata di seguito: "Autorita' delegata", le funzioni di cui al presente decreto che non sono ad esso attribuite in via esclusiva. 2. Il Presidente del Consiglio dei ministri e' costantemente informato dall'Autorita' delegata sulle modalita' di esercizio delle funzioni delegate ai sensi del presente decreto e, fermo restando il potere di direttiva, puo' in qualsiasi momento avocare l'esercizio di tutte o di alcune di esse. 3. L'Autorita' delegata, in relazione alle funzioni delegate ai sensi del presente decreto, partecipa alle riunioni del Comitato interministeriale per la transizione digitale di cui all'articolo 8 del decreto-legge 1°(gradi) marzo 2021, n. 22, convertito, con modificazioni, dalla legge 22 aprile 2021, n. 55.». «Art. 4. (Comitato interministeriale per la cybersicurezza). - 1. Presso la Presidenza del Consiglio dei ministri e' istituito il Comitato interministeriale per la cybersicurezza (CIC), con funzioni di consulenza, proposta e vigilanza in materia di politiche di cybersicurezza. 2. Il Comitato: a) propone al Presidente del Consiglio dei ministri gli indirizzi generali da perseguire nel quadro delle politiche di cybersicurezza nazionale; b) esercita l'alta sorveglianza sull'attuazione della strategia nazionale di cybersicurezza; c) promuove l'adozione delle iniziative necessarie per favorire l'efficace collaborazione, a livello nazionale e internazionale, tra i soggetti istituzionali e gli operatori privati interessati alla cybersicurezza, nonche' per la condivisione delle informazioni e per l'adozione di migliori pratiche e di misure rivolte all'obiettivo della cybersicurezza e allo sviluppo industriale, tecnologico e scientifico in materia di cybersicurezza; d) esprime il parere sul bilancio preventivo e sul bilancio consuntivo dell'Agenzia per la cybersicurezza nazionale. 3. Il Comitato e' presieduto dal Presidente del Consiglio dei ministri ed e' composto dall'Autorita' delegata, ove istituita, dal Ministro degli affari esteri e della cooperazione internazionale, dal Ministro dell'interno, dal Ministro della giustizia, dal Ministro della difesa, dal Ministro dell'economia e delle finanze, dal Ministro dello sviluppo economico, dal Ministro della transizione ecologica, dal Ministro dell'universita' e della ricerca, dal Ministro delegato per l'innovazione tecnologica e la transizione digitale e dal Ministro delle infrastrutture e della mobilita' sostenibili. 4. Il direttore generale dell'Agenzia per la cybersicurezza nazionale svolge le funzioni di segretario del Comitato. 5. Il Presidente del Consiglio dei ministri puo' chiamare a partecipare alle sedute del Comitato, anche a seguito di loro richiesta, senza diritto di voto, altri componenti del Consiglio dei ministri, nonche' altre autorita' civili e militari di cui, di volta in volta, ritenga necessaria la presenza in relazione alle questioni da trattare.». 6. Il Comitato svolge altresi' le funzioni gia' attribuite al Comitato interministeriale per la sicurezza della Repubblica (CISR), di cui all'articolo 5 della legge 3 agosto 2007, n. 124, dal decreto-legge perimetro e dai relativi provvedimenti attuativi, fatta eccezione per quelle previste dall'articolo 5 del medesimo decreto-legge perimetro.". - Il decreto legislativo 18 maggio 2018, n. 65 (Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione) e' pubblicato nella Gazzetta Ufficiale 9 giugno 2018, n. 132. - Si riporta il testo dell'articolo 15 del citato decreto legge 14 giugno 2021, n. 82: «Art. 15. (Attuazione e controllo). - 1. Nel caso in cui sia dimostrato il mancato rispetto degli obblighi di cui all'articolo 14 da parte dei fornitori di servizi digitali, l'autorita' competente NIS puo' adottare misure di vigilanza ex post adeguate alla natura dei servizi e delle operazioni. La dimostrazione del mancato rispetto degli obblighi puo' essere prodotta dall'autorita' competente di un altro Stato membro in cui e' fornito il servizio. 2. Ai fini del comma 1, i fornitori di servizi digitali sono tenuti a: a) fornire le informazioni necessarie per valutare la sicurezza della loro rete e dei loro sistemi informativi, compresi i documenti relativi alle politiche di sicurezza; b) porre rimedio ad ogni mancato adempimento degli obblighi di cui all'articolo 14. 3. Se un fornitore di servizi digitali ha lo stabilimento principale o un rappresentante in uno Stato membro, ma la sua rete o i suoi sistemi informativi sono ubicati in uno o piu' altri Stati membri, l'autorita' competente dello Stato membro dello stabilimento principale o del rappresentante e le autorita' competenti dei suddetti altri Stati membri cooperano e si assistono reciprocamente in funzione delle necessita'. Tale assistenza e cooperazione puo' comprendere scambi di informazioni tra le autorita' competenti interessate e richieste di adottare le misure di vigilanza di cui al comma 1.». - Per i riferimenti del decreto-legge 21 settembre 2019, n. 105 si veda nelle note alle premesse. - Si riporta il testo dell'articolo 6, comma 1, del decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131 (Regolamento in materia di perimetro di sicurezza nazionale cibernetica, ai sensi dell'articolo 1, comma 2, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133): «Art. 6. (Tavolo interministeriale per l'attuazione del perimetro di sicurezza nazionale cibernetica - Tavolo interministeriale). - 1. E' istituito, a supporto del CISR tecnico, il Tavolo interministeriale per l'attuazione del perimetro di sicurezza nazionale cibernetica, di seguito: "Tavolo interministeriale".». - Si riporta il testo dell'articolo 7, comma 1-bis, del citato decreto-legge 14 giugno 2021, n. 82: «Art. 7. (Funzioni dell'Agenzia per la cybersicurezza nazionale). - 1-bis. Anche ai fini dell'esercizio delle funzioni di cui al comma 1, lettere r), s), t), u), v), z) e aa), presso l'Agenzia e' istituito, con funzioni di consulenza e di proposta, un Comitato tecnico-scientifico, presieduto dal direttore generale della medesima Agenzia, o da un dirigente da lui delegato, e composto da personale della stessa Agenzia e da qualificati rappresentanti dell'industria, degli enti di ricerca, dell'accademia e delle associazioni del settore della sicurezza, designati con decreto del Presidente del Consiglio dei ministri. La composizione e l'organizzazione del Comitato tecnico-scientifico sono disciplinate secondo le modalita' e i criteri definiti dal regolamento di cui all'articolo 6, comma 1. Per la partecipazione al Comitato tecnico-scientifico non sono previsti gettoni di presenza, compensi o rimborsi di spese.». - Si riporta il testo dell'articolo 9, comma, 1 del citato decreto legislativo 18 maggio 2018, n. 65: «Art. 9. (Cooperazione a livello nazionale). - 1. Le autorita' di settore collaborano con l'autorita' nazionale competente NIS per l'adempimento degli obblighi di cui al presente decreto. A tal fine e' istituito presso l'Agenzia per la cybersicurezza nazionale un Comitato tecnico di raccordo. Il Comitato e' presieduto dall'autorita' nazionale competente NIS ed e' composto dai rappresentanti delle amministrazioni statali individuate quali autorita' di settore e da rappresentanti delle regioni e province autonome in numero non superiore a due, designati dalle regioni e province autonome in sede di Conferenza permanente per i rapporti tra lo Stato, le regioni e le Province autonome di Trento e di Bolzano. L'organizzazione del Comitato e' definita con decreto del Presidente del Consiglio dei ministri, sentita la Conferenza unificata. Per la partecipazione al Comitato tecnico di raccordo non sono previsti gettoni di presenza, compensi o rimborsi di spese.». - Il testo dell'articolo 8 del citato decreto legislativo n. 65 del 2018 e' il seguente: «Art. 8. (Gruppi di intervento per la sicurezza informatica in caso di incidente - CSIRT). - 1. E' istituito, presso l'Agenzia per la cybersicurezza nazionale, il CSIRT Italia, che svolge i compiti e le funzioni del Computer Emergency Response Team (CERT) nazionale, di cui all'articolo 16-bis del decreto legislativo 1° agosto 2003, n. 259, e del CERT-PA, gia' operante presso l'Agenzia per l'Italia digitale ai sensi dell'articolo 51 del decreto legislativo 7 marzo 2005, n. 82. 2. L'organizzazione e il funzionamento del CSIRT Italia sono disciplinati con decreto del Presidente del Consiglio dei ministri ai sensi dell'articolo 7 del decreto legislativo 30 luglio 1999, n. 303, da adottare entro il 9 novembre 2018. 3. Nelle more dell'adozione del decreto di cui al comma 2, le funzioni di CSIRT Italia sono svolte dal CERT nazionale unitamente al CERT-PA in collaborazione tra loro. 4. Il CSIRT Italia assicura la conformita' ai requisiti di cui all'allegato I, punto 1, svolge i compiti di cui all'allegato I, punto 2, si occupa dei settori di cui all'allegato II e dei servizi di cui all'allegato III e dispone di un'infrastruttura di informazione e comunicazione appropriata, sicura e resiliente a livello nazionale. 5. Il CSIRT Italia definisce le procedure per la prevenzione e la gestione degli incidenti informatici. 6. Il CSIRT Italia garantisce la collaborazione effettiva, efficiente e sicura, nella rete di CSIRT di cui all'articolo 11. 7. La Presidenza del Consiglio dei ministri comunica alla Commissione europea il mandato del CSIRT Italia e le modalita' di trattamento degli incidenti a questo affidati. 8. Il CSIRT Italia, per lo svolgimento delle proprie funzioni, puo' avvalersi anche dell'Agenzia per l'Italia digitale. 9. Le funzioni svolte dal Ministero dello sviluppo economico in qualita' di CERT nazionale ai sensi dell'articolo 16-bis, del decreto legislativo 1° agosto 2003, n. 259, nonche' quelle svolte da Agenzia per l'Italia digitale in qualita' di CERT-PA, ai sensi dell'articolo 51 del decreto legislativo 7 marzo 2005, n. 82, sono trasferite al CSIRT Italia a far data dalla entrata in vigore del decreto di cui al comma 2. 10. Per le spese relative al funzionamento del CSIRT Italia e' autorizzata la spesa di 2.000.000 di euro annui a decorrere dall'anno 2020. A tali oneri si provvede ai sensi dell'articolo 22.». - Si riporta il testo dell'articolo 1, comma 6, lettera a) del citato decreto legge 21 settembre 2019, n. 105: «6. Con regolamento, adottato ai sensi dell'articolo 17, comma 1, della legge 23 agosto 1988, n. 400, entro dieci mesi dalla data di entrata in vigore della legge di conversione del presente decreto, sono disciplinati le procedure, le modalita' e i termini con cui: a) i soggetti di cui al comma 2-bis, che intendano procedere, anche per il tramite delle centrali di committenza alle quali essi sono tenuti a fare ricorso ai sensi dell'articolo 1, comma 512, della legge 28 dicembre 2015, n. 208, all'affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici di cui al comma 2, lettera b), appartenenti a categorie individuate, sulla base di criteri di natura tecnica, con decreto del Presidente del Consiglio dei ministri, da adottare entro dieci mesi dalla data di entrata in vigore della legge di conversione del presente decreto, ne danno comunicazione al Centro di valutazione e certificazione nazionale (CVCN), istituito presso il Ministero dello sviluppo economico; la comunicazione comprende anche la valutazione del rischio associato all'oggetto della fornitura, anche in relazione all'ambito di impiego. L'obbligo di comunicazione di cui alla presente lettera e' efficace a decorrere dal trentesimo giorno successivo alla pubblicazione nella Gazzetta Ufficiale della Repubblica italiana del decreto del Presidente del Consiglio dei ministri che, sentita l'Agenzia per la cybersicurezza nazionale, attesta l'operativita' del CVCN e comunque dal 30 giugno 2022. Entro quarantacinque giorni dalla ricezione della comunicazione, prorogabili di quindici giorni, una sola volta, in caso di particolare complessita', il CVCN puo' effettuare verifiche preliminari ed imporre condizioni e test di hardware e software da compiere anche in collaborazione con i soggetti di cui al comma 2-bis, secondo un approccio gradualmente crescente nelle verifiche di sicurezza. Decorso il termine di cui al precedente periodo senza che il CVCN si sia pronunciato, i soggetti che hanno effettuato la comunicazione possono proseguire nella procedura di affidamento. In caso di imposizione di condizioni e test di hardware e software, i relativi bandi di gara e contratti sono integrati con clausole che condizionano, sospensivamente ovvero risolutivamente, il contratto al rispetto delle condizioni e all'esito favorevole dei test disposti dal CVCN. I test devono essere conclusi nel termine di sessanta giorni. Decorso il termine di cui al precedente periodo, i soggetti che hanno effettuato la comunicazione possono proseguire nella procedura di affidamento. In relazione alla specificita' delle forniture di beni, sistemi e servizi ICT da impiegare su reti, sistemi informativi e servizi informatici del Ministero dell'interno e del Ministero della difesa, individuati ai sensi del comma 2, lettera b), i predetti Ministeri, nell'ambito delle risorse umane e finanziarie disponibili a legislazione vigente e senza nuovi o maggiori oneri a carico della finanza pubblica, in coerenza con quanto previsto dal presente decreto, possono procedere, con le medesime modalita' e i medesimi termini previsti dai periodi precedenti, attraverso la comunicazione ai propri Centri di valutazione accreditati per le attivita' di cui al presente decreto, ai sensi del comma 7, lettera b), che impiegano le metodologie di verifica e di test definite dal CVCN. Per tali casi i predetti Centri informano il CVCN con le modalita' stabilite con il decreto del Presidente del Consiglio dei ministri, di cui al comma 7, lettera b). Non sono oggetto di comunicazione gli affidamenti delle forniture di beni, sistemi e servizi ICT destinate alle reti, ai sistemi informativi e ai servizi informatici per lo svolgimento delle attivita' di prevenzione, accertamento e repressione dei reati e i casi di deroga stabiliti dal medesimo regolamento con riguardo alle forniture di beni, sistemi e servizi ICT per le quali sia indispensabile procedere in sede estera, fermo restando, in entrambi i casi, l'utilizzo di beni, sistemi e servizi ICT conformi ai livelli di sicurezza di cui al comma 3, lettera b), salvo motivate esigenze connesse agli specifici impieghi cui essi sono destinati;». - Si riporta il testo dell'articolo 6 del regolamento (UE) n. 2021/887 del Parlamento europeo e del Consiglio, del 20 maggio 2021, che istituisce il Centro europeo di competenza per la cibersicurezza nell'ambito industriale, tecnologico e della ricerca e la rete dei centri nazionali di coordinamento, e' stata pubblicata nella GUUE 202 dell'8 giugno 2021.   Art. 2 Oggetto 1. Il presente regolamento, adottato ai sensi dell'articolo 6, comma 1, del decreto-legge, disciplina l'organizzazione e il funzionamento dell'Agenzia per la cybersicurezza nazionale (ACN), di seguito «Agenzia», delineando la macrostruttura dell'Agenzia. Note all'art. 2: - Per il testo dell'articolo 6 del decreto-legge 14 giugno 2021, n. 82 si veda nelle note alle premesse.   Art. 3 Principi ispiratori 1. L'Agenzia svolge le funzioni stabilite dal decreto-legge e da altre disposizioni di legge, sulla base delle direttive emanate dal Presidente del Consiglio dei ministri o dall'Autorita' delegata, ove istituita, nel campo della cybersicurezza, anche ai fini della tutela della sicurezza nazionale. 2. L'organizzazione e il funzionamento dell'Agenzia si ispirano ai seguenti principi: a) autonomia e responsabilizzazione, in relazione al corretto uso delle risorse, al migliore conseguimento dei risultati attesi ed al massimo livello di adesione ai principi, ai valori e alla missione dell'Agenzia stessa; b) efficienza e razionale impiego delle risorse disponibili; c) imparzialita' e trasparenza dell'azione amministrativa, nel rispetto della disciplina sulla sicurezza; d) ottimale valorizzazione del capitale umano attraverso la corretta valutazione dei risultati conseguiti, assicurando la formazione e lo sviluppo professionale delle proprie risorse umane e garantendo pari opportunita' alle lavoratrici e ai lavoratori; e) contrasto alle situazioni di conflitto di interessi ed ai fenomeni di corruzione e infiltrazione ad opera della criminalita' organizzata; f) flessibilita' e innovazione tecnologica poste a supporto dei processi gestionali, al fine di garantire nella misura massima l'efficacia e l'efficienza necessarie per la realizzazione degli obiettivi strategici dell'Agenzia; g) semplificazione dei processi di lavoro ed essenzialita' dei percorsi amministrativi, chiarezza degli obiettivi assegnati a ciascuna figura professionale ed efficacia delle soluzioni organizzative da adottare, che privilegino il lavoro per processi e di gruppo e la gestione per progetti, specie per le attivita' a termine di carattere innovativo e di particolare rilevanza e complessita'; h) sviluppo dei sistemi informativi a supporto delle decisioni e pieno utilizzo nell'organizzazione delle potenzialita' offerte dall'utilizzo delle tecnologie digitali e dei sistemi di comunicazione via web, anche in funzione della promozione dell'innovazione digitale e della facilita' di accesso alle attivita', all'assistenza e all'informazione da parte delle pubbliche amministrazioni, dei cittadini e delle imprese, secondo principi di cybersicurezza.   Art. 4 Struttura organizzativa 1. Sono organi dell'Agenzia quelli previsti dall'articolo 6, comma 2, del decreto-legge. 2. L'Agenzia, nei limiti definiti dall'articolo 6, comma 1, del decreto-legge, si articola in Servizi generali (di seguito «Servizi») e Divisioni. 3. I Servizi sono istituiti, nel numero di sette quali strutture di livello dirigenziale generale nei limiti stabiliti dall'articolo 6, comma 1, del decreto-legge, a presidio di ambiti di notevole ampiezza e complessita', che sono direttamente correlati alle funzioni e alle politiche generali dell'Agenzia. I Servizi sono posti alle dipendenze del direttore generale dell'Agenzia e operano sulla base degli indirizzi dallo stesso forniti. 4. Le Divisioni sono istituite per la gestione di un insieme omogeneo di tematiche e macro-processi e operano, di norma, all'interno dei Servizi. Nel numero massimo di trenta, sono individuate le Divisioni di maggiore complessita', quali articolazioni di livello dirigenziale non generale. In sede di prima applicazione delle disposizioni del decreto-legge, fino alla rideterminazione della dotazione organica da effettuarsi ai sensi dell'articolo 12, comma 5, del decreto-legge, non possono essere istituite piu' di ventiquattro Divisioni di maggiore complessita'. 5. Con provvedimento del direttore generale, rispondente a principi di efficacia ed efficienza organizzativa, sentiti i Capi dei Servizi, sono definiti: il numero delle Divisioni nei limiti di cui al comma 4 per quelle di maggiore complessita', le funzioni e le rispettive competenze, le dotazioni di risorse umane e strumentali, nonche' la loro eventuale riorganizzazione. Con analogo provvedimento puo' essere prevista anche la costituzione: a) di gruppi di progetto, di studio e ricerca, settori e altri gruppi con compiti, risorse e processi operativi assegnati; b) nell'ambito della dotazione organica dell'Agenzia, di strutture di missione temporanea di livello dirigenziale o unita' di progetto non aventi natura dirigenziale, dedicate all'attuazione di un progetto di durata definita. 6. Nell'ambito di un Servizio, il direttore generale puo' costituire, su proposta del relativo Capo Servizio, le posizioni di Vice Capo Servizio e Vice Capo Divisione, laddove la complessita' delle tematiche trattate richieda la previsione di una specifica figura manageriale, nonche' posizioni di coordinamento, in relazione a progetti o processi aventi carattere di trasversalita' tra piu' articolazioni dello stesso o di altri Servizi. A tali posizioni, secondo i criteri di cui al regolamento adottato ai sensi dell'articolo 12, comma 1, del decreto-legge, e' preposto personale dell'Agenzia nei limiti di cui agli articoli 12 e 18 del decreto-legge. 7. Con provvedimento del direttore generale, sono disciplinati i casi di sostituzione, in caso di assenza o impedimento, da parte dei titolari dei Servizi o delle Divisioni. Note all'art. 4: - Per il testo degli artt. 6 e 12 del decreto-legge 14 giugno 2021, n. 82 si veda nelle note alle premesse. - Si riporta il testo dell'art. 18 del citato decreto-legge 14 giugno 2021, n. 82: «Art. 18. (Disposizioni finanziarie). - 1. Per l'attuazione degli articoli da 5 a 7 e' istituito, nello stato di previsione del Ministero dell'economia e delle finanze, un apposito capitolo con una dotazione di 2.000.000 di euro per l'anno 2021, 41.000.000 di euro per l'anno 2022, 70.000.000 di euro per l'anno 2023, 84.000.000 di euro per l'anno 2024, 100.000.000 di euro per l'anno 2025, 110.000.000 di euro per l'anno 2026 e 122.000.000 di euro annui a decorrere dall'anno 2027. 2. Agli oneri di cui al comma 1, si provvede mediante corrispondente riduzione del Fondo di cui all'articolo 1, comma 200, della legge 23 dicembre 2014, n. 190. 3. Le risorse iscritte sui bilanci delle amministrazioni interessate, correlate alle funzioni ridefinite ai sensi del presente decreto a decorrere dall'inizio del funzionamento dell'Agenzia di cui all'articolo 5, sono accertate, anche in conto residui, con decreto del Ministro dell'economia e delle finanze, di concerto con i Ministri responsabili, e portate ad incremento del Fondo di cui all'articolo 1, comma 200, della legge 23 dicembre 2014, n. 190, anche mediante versamento all'entrata del bilancio dello Stato e successiva riassegnazione alla spesa. 4. I proventi di cui all'articolo 11, comma 2, sono versati all'entrata del bilancio dello Stato, per essere riassegnati al capitolo di cui al comma 1 del presente articolo. 5. Ai fini dell'immediata attuazione delle disposizioni del presente decreto il Ministro dell'economia e delle finanze e' autorizzato ad apportare, con propri decreti, anche in conto residui, le occorrenti variazioni di bilancio.».   Art. 5 Direttore generale dell'Agenzia 1. Il direttore generale e' il diretto referente del Presidente del Consiglio dei ministri e dell'Autorita' delegata, ove istituita, nella materia della cybersicurezza. 2. Il direttore generale, in particolare: a) e' il legale rappresentante dell'Agenzia e ne ha la rappresentanza esterna; b) cura i rapporti con le pubbliche amministrazioni nazionali e con i soggetti pubblici e privati, con le istituzioni, gli organismi e le agenzie dell'Unione europea, nonche' con le organizzazioni estere ed internazionali; c) svolge le funzioni di segretario del CIC, supportandone le funzioni di consulenza, proposta e vigilanza in materia di politiche di cybersicurezza; d) partecipa alle riunioni del Comitato interministeriale per la sicurezza della Repubblica (CISR), di cui all'articolo 5 della legge 3 agosto 2007, n. 124 in materia di gestione delle situazioni di crisi di cui all'articolo 10, comma 1, del decreto-legge; e) presiede il Nucleo per la cybersicurezza, il Tavolo Perimetro, il Comitato tecnico di raccordo (CTR) e il Comitato tecnico-scientifico (CTS), istituiti presso l'Agenzia; f) sottoscrive i contratti, ove non siano espressamente delegati i Capi dei Servizi competenti, ovvero altro personale dell'Agenzia; g) svolge le altre funzioni espressamente attribuite dalla legge e dai regolamenti o dal Presidente del Consiglio dei ministri. 3. Il direttore generale, sentito il Vice direttore generale: a) adotta i provvedimenti necessari per il funzionamento dell'Agenzia. A tal fine, ne definisce gli indirizzi e ne coordina le attivita', adottando ogni iniziativa idonea al miglior espletamento delle funzioni dell'Agenzia; b) adotta la pianificazione strategica dell'Agenzia, individuando gli obiettivi da conseguire, assegnandoli ai Capi dei Servizi; c) dispone le nomine, le promozioni, le assegnazioni, i trasferimenti e gli incarichi del personale; d) adotta i provvedimenti necessari per l'impiego delle risorse strumentali. A tal fine, impartisce indirizzi e direttive per il loro migliore impiego; e) adotta il bilancio preventivo e il bilancio consuntivo dell'Agenzia; f) assicura, sulla base delle determinazioni del Presidente del Consiglio dei ministri, l'attuazione degli indirizzi del CIC e l'esecuzione delle deliberazioni assunte dagli organismi che presiede. 4. Nello svolgimento delle funzioni attribuitegli, il Direttore generale si avvale del Gabinetto a fini di diretto supporto, nonche' dei competenti servizi e articolazioni dell'Agenzia. 5. Con apposito provvedimento, adottato ai sensi dell'articolo 4, comma 5, il Direttore generale istituisce una o piu' articolazioni a diretto supporto per lo svolgimento delle proprie funzioni istituzionali. Tali articolazioni possono essere, in particolare: a) la segreteria particolare, con funzioni di supporto dell'attivita' istituzionale del Direttore generale, di segreteria e contatto con i referenti delle altre istituzioni, con gli altri organi dell'Agenzia, per la trattazione delle questioni e degli approfondimenti che lo stesso intende gestire direttamente, per l'organizzazione delle cerimonie e degli eventi istituzionali; b) le relazioni esterne e comunicazione, con funzioni di gestione dei rapporti con le redazioni giornalistiche e con la stampa nazionale ed estera, redazione e diffusione dei comunicati e organizzazione di conferenze stampa, attuazione delle attivita' di comunicazione istituzionale, compresa la gestione del sito web e dei canali social dell'Agenzia, curando la presenza, l'immagine e la visibilita' dell'Agenzia e promuovendone le attivita' allo scopo di garantire una comunicazione coerente e trasparente. 6. Il trattamento economico del direttore generale e' disciplinato nell'ambito del regolamento di cui all'articolo 12, comma 1, del decreto-legge. Note all'art. 5: - Si riporta il testo dell'articolo 5 della legge 3 agosto 2007, n. 124 (Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto), pubblicata nella Gazzetta Ufficiale 13 agosto 2007, n. 187. «Art. 5. (Comitato interministeriale per la sicurezza della Repubblica). - 1. Presso la Presidenza del Consiglio dei ministri e' istituito il Comitato interministeriale per la sicurezza della Repubblica (CISR) con funzioni di consulenza, proposta e deliberazione sugli indirizzi e sulle finalita' generali della politica dell'informazione per la sicurezza. 2. Il Comitato elabora gli indirizzi generali e gli obiettivi fondamentali da perseguire nel quadro della politica dell'informazione per la sicurezza, delibera sulla ripartizione delle risorse finanziarie tra il DIS e i servizi di informazione per la sicurezza e sui relativi bilanci preventivi e consuntivi. 3. Il Comitato e' presieduto dal Presidente del Consiglio dei ministri ed e' composto dall'Autorita' delegata, ove istituita, dal Ministro degli affari esteri, dal Ministro dell'interno, dal Ministro della difesa, dal Ministro della giustizia, dal Ministro dell'economia e delle finanze, dal Ministro dello sviluppo economico e dal Ministro della transizione ecologica. 4. Il direttore generale del DIS svolge le funzioni di segretario del Comitato. 5. Il Presidente del Consiglio dei ministri puo' chiamare a partecipare alle sedute del Comitato, anche a seguito di loro richiesta, senza diritto di voto, altri componenti del Consiglio dei ministri, i direttori dell'AISE e dell'AISI, nonche' altre autorita' civili e militari di cui di volta in volta sia ritenuta necessaria la presenza in relazione alle questioni da trattare.». - Per il testo dell'articolo 12 del decreto-legge 14 giugno 2021, n. 82 si veda nelle note alle premesse.   Art. 6 Vice Direttore generale dell'Agenzia 1. Il Vice Direttore generale di cui all'articolo 5, comma 3, del decreto-legge coadiuva il direttore generale nella direzione dell'Agenzia. Sulla base di apposito provvedimento del direttore generale, svolge le funzioni attribuitegli, sovrintende e coordina i Servizi e le altre articolazioni dell'Agenzia, indicate nel medesimo provvedimento. 2. Il Vice Direttore generale svolge altresi' le funzioni vicarie per i casi di assenza o impedimento del direttore generale. 3. Sulla base di specifica delega del direttore generale, il Vice Direttore generale puo' presiedere il Nucleo per la cybersicurezza (NCS), il Tavolo Perimetro, il Comitato tecnico di raccordo (CTR) e il Comitato tecnico-scientifico (CTS), istituiti presso l'Agenzia. 4. Con apposito provvedimento, adottato ai sensi dell'articolo 4, comma 5, il Direttore generale istituisce una o piu' articolazioni a diretto supporto del Vice Direttore generale per supportarlo nello svolgimento delle proprie funzioni istituzionali. 5. Il Direttore generale, con proprio provvedimento, individua un Capo Servizio al quale, in caso di assenza o impedimento del Vice Direttore generale, sono attribuite le funzioni vicarie. 6. Il trattamento economico del Vice direttore generale e' disciplinato nell'ambito del regolamento di cui all'articolo 12, comma 1, del decreto-legge. Note all'art. 6: - Si riporta il testo del comma 3 dell'articolo 5 del citato decreto-legge 14 giugno 2021, n. 82: «3. Il direttore generale dell'Agenzia e' nominato tra soggetti appartenenti a una delle categorie di cui all'articolo 18, comma 2, della legge 23 agosto 1988, n. 400, in possesso di una documentata esperienza di elevato livello nella gestione di processi di innovazione. Gli incarichi del direttore generale e del vice direttore generale hanno la durata massima di quattro anni e sono rinnovabili, con successivi provvedimenti, per una durata complessiva massima di ulteriori quattro anni. Il direttore generale ed il vice direttore generale, ove provenienti da pubbliche amministrazioni di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, sono collocati fuori ruolo o in posizione di comando o altra analoga posizione, secondo gli ordinamenti di appartenenza. Per quanto previsto dal presente decreto, il direttore generale dell'Agenzia e' il diretto referente del Presidente del Consiglio dei ministri e dell'Autorita' delegata, ove istituita, ed e' gerarchicamente e funzionalmente sovraordinato al personale dell'Agenzia. Il direttore generale ha la rappresentanza legale dell'Agenzia.». - Per il testo dell'articolo 12 del decreto-legge 14 giugno 2021, n. 82 si veda nelle note alle premesse.   Art. 7 Collegio dei revisori dei conti 1. Il Collegio dei revisori dei conti e' composto da: a) un magistrato della Corte dei conti, in servizio o in quiescenza, che lo presiede; b) un componente effettivo, designato dal Ministero dell'economia e delle finanze ai sensi dell'articolo 16 della legge 31 dicembre 2009, n. 196; c) un ulteriore componente effettivo e un componente supplente, scelti entrambi tra soggetti, in servizio o in quiescenza, appartenenti ai ruoli della magistratura amministrativa, contabile o dell'Avvocatura dello Stato, ovvero tra professori universitari ordinari di contabilita' pubblica o discipline similari, ovvero tra alti dirigenti dello Stato. 2. Il presidente e i componenti del Collegio sono nominati con provvedimento del direttore generale su deliberazione del Comitato di Vertice, durano in carica quattro anni e possono essere confermati una sola volta. 3. I compensi del presidente e dei componenti sono stabiliti con successivo decreto del Presidente del Consiglio dei ministri, su proposta del direttore generale, in conformita' ai criteri stabiliti per gli enti e organismi pubblici. 4. Il presidente e i componenti sono tenuti, ai sensi della normativa vigente, al rispetto del segreto sui fatti e sui documenti di cui hanno conoscenza in ragione del loro ufficio. 5. Il Collegio: a) effettua il riscontro degli atti della gestione finanziaria e formula le proprie osservazioni; b) svolge, almeno una volta ogni tre mesi, verifiche di cassa e di bilancio; c) esprime, in apposita relazione, parere sul progetto di bilancio preventivo, nonche' sul rendiconto annuale; d) esercita ogni altra funzione ad esso attribuita dalla normativa vigente. Note all'art. 7: - Si riporta il testo dell'articolo 16 della legge 31 dicembre 2009, n. 196 (Legge di contabilita' e finanza pubblica), pubblicata nella Gazzetta Ufficiale 31 dicembre 2009, n. 303, S.O.: «Art. 16. (Potenziamento del monitoraggio attraverso attivita' di revisori e sindaci). - 1. Al fine di dare attuazione alle prioritarie esigenze di controllo e di monitoraggio degli andamenti della finanza pubblica di cui all'articolo 14, funzionali alla tutela dell'unita' economica della Repubblica, ove non gia' prevista dalla normativa vigente, e' assicurata la presenza di un rappresentante del Ministero dell'economia e delle finanze nei collegi di revisione o sindacali delle amministrazioni pubbliche, con esclusione degli enti e organismi pubblici territoriali e, fatto salvo quanto previsto dall'articolo 3-ter, comma 3, del decreto legislativo 30 dicembre 1992, n. 502, degli enti ed organismi da questi ultimi vigilati, fermo restando il numero dei revisori e dei componenti del collegio. 2. I collegi di cui al comma 1 devono riferire, nei verbali relativi alle verifiche effettuate, circa l'osservanza degli adempimenti previsti dalla presente legge e da direttive emanate dalle amministrazioni vigilanti.».   Art. 8 Controlli interni, valutazione e trasparenza 1. L'organismo indipendente di valutazione, di seguito OIV, costituito in forma collegiale o monocratica, e' nominato con provvedimento del direttore generale, sentito il Vice direttore generale, ed esercita le attribuzioni di cui all'articolo 14, del decreto legislativo 27 ottobre 2009, n. 150. 2. L'OIV si avvale del supporto di una struttura tecnica permanente appositamente costituita con provvedimento del direttore generale. 3. L'OIV, nello svolgimento delle funzioni attribuitegli dalla legge, si raccorda con il Vice direttore generale, anche in ottica di coordinamento con le articolazioni interessate dell'Agenzia. 4. Il diritto di accesso di cui all'articolo 14, comma 4-ter, del decreto legislativo 27 ottobre 2009, n. 150, si esercita nei ristretti limiti previsti dall'articolo 24 della legge 7 agosto 1990, n. 241, dalla legge n. 124 del 2007 e delle altre leggi a tutela della sicurezza nazionale, con particolare riguardo allo spazio cibernetico, e nel pieno rispetto della normativa vigente in materia di classifiche di segretezza. Note all'art. 8: - Si riporta il testo dell'articolo 14, del decreto legislativo 27 ottobre 2009, n. 150 (Attuazione della legge 4 marzo 2009, n. 15, in materia di ottimizzazione della produttivita' del lavoro pubblico e di efficienza e trasparenza delle pubbliche amministrazioni), pubblicato nella Gazzetta Ufficiale 31 ottobre 2009, n. 254, S.O.: «Art. 14. (Organismo indipendente di valutazione della performance). - 1. Ogni amministrazione, singolarmente o in forma associata, senza nuovi o maggiori oneri per la finanza pubblica, si dota di un Organismo indipendente di valutazione della performance. Il Dipartimento della funzione pubblica assicura la corretta istituzione e composizione degli Organismi indipendenti di valutazione. 2. L'Organismo di cui al comma 1 sostituisce i servizi di controllo interno, comunque denominati, di cui al decreto legislativo 30 luglio 1999, n. 286, ed esercita, in piena autonomia, le attivita' di cui al comma 4. Esercita, altresi', le attivita' di controllo strategico di cui all'articolo 6, comma 1, del citato decreto legislativo n. 286 del 1999, e riferisce, in proposito, direttamente all'organo di indirizzo politico-amministrativo. 2-bis. L'Organismo indipendente di valutazione della performance e' costituito, di norma, in forma collegiale con tre componenti. Il Dipartimento della funzione pubblica definisce i criteri sulla base dei quali le amministrazioni possono istituire l'Organismo in forma monocratica. (56) 2-ter. Il Dipartimento della funzione pubblica individua i casi in cui sono istituiti Organismi in forma associata tra piu' pubbliche amministrazioni. 3. 4. L'Organismo indipendente di valutazione della performance: a) monitora il funzionamento complessivo del sistema della valutazione, della trasparenza e integrita' dei controlli interni ed elabora una relazione annuale sullo stato dello stesso, anche formulando proposte e raccomandazioni ai vertici amministrativi; b) comunica tempestivamente le criticita' riscontrate ai competenti organi interni di governo ed amministrazione, nonche' alla Corte dei conti e al Dipartimento della funzione pubblica; c) valida la Relazione sulla performance di cui all'articolo 10, a condizione che la stessa sia redatta in forma sintetica, chiara e di immediata comprensione ai cittadini e agli altri utenti finali e ne assicura la visibilita' attraverso la pubblicazione sul sito istituzionale dell'amministrazione; d) garantisce la correttezza dei processi di misurazione e valutazione con particolare riferimento alla significativa differenziazione dei giudizi di cui all'articolo 9, comma 1, lettera d), nonche' dell'utilizzo dei premi di cui al Titolo III, secondo quanto previsto dal presente decreto, dai contratti collettivi nazionali, dai contratti integrativi, dai regolamenti interni all'amministrazione, nel rispetto del principio di valorizzazione del merito e della professionalita'; e) propone, sulla base del sistema di cui all'articolo 7, all'organo di indirizzo politico-amministrativo, la valutazione annuale dei dirigenti di vertice e l'attribuzione ad essi dei premi di cui al Titolo III; f) e' responsabile della corretta applicazione delle linee guida, delle metodologie e degli strumenti predisposti dal Dipartimento della funzione pubblica sulla base del decreto adottato ai sensi dell'articolo 19, comma 10, del decreto-legge n. 90 del 2014; g) promuove e attesta l'assolvimento degli obblighi relativi alla trasparenza e all'integrita' di cui al presente Titolo; h) verifica i risultati e le buone pratiche di promozione delle pari opportunita'. 4-bis. Gli Organismi indipendenti di valutazione esercitano i compiti di cui al comma 4 e, in particolare, procedono alla validazione della Relazione sulla performance, tenendo conto anche delle risultanze delle valutazioni realizzate con il coinvolgimento dei cittadini o degli altri utenti finali per le attivita' e i servizi rivolti, nonche', ove presenti, dei risultati prodotti dalle indagini svolte dalle agenzie esterne di valutazione e dalle analisi condotte dai soggetti appartenenti alla rete nazionale per la valutazione delle amministrazioni pubbliche, di cui al decreto emanato in attuazione dell'articolo 19 del decreto-legge n. 90 del 2014, e dei dati e delle elaborazioni forniti dall'amministrazione, secondo le modalita' indicate nel sistema di cui all'articolo 7. 4-ter. Nell'esercizio delle funzioni di cui al comma 4, l'Organismo indipendente di valutazione ha accesso a tutti gli atti e documenti in possesso dell'amministrazione, utili all'espletamento dei propri compiti, nel rispetto della disciplina in materia di protezione dei dati personali. Tale accesso e' garantito senza ritardo. L'Organismo ha altresi' accesso diretto a tutti i sistemi informativi dell'amministrazione, ivi incluso il sistema di controllo di gestione, e puo' accedere a tutti i luoghi all'interno dell'amministrazione, al fine di svolgere le verifiche necessarie all'espletamento delle proprie funzioni, potendo agire anche in collaborazione con gli organismi di controllo di regolarita' amministrativa e contabile dell'amministrazione. Nel caso di riscontro di gravi irregolarita', l'Organismo indipendente di valutazione effettua ogni opportuna segnalazione agli organi competenti. 5. 6. La validazione della Relazione sulla performance di cui al comma 4, lettera c), e' condizione inderogabile per l'accesso agli strumenti per premiare il merito di cui al Titolo III. 7. 8. I componenti dell'Organismo indipendente di valutazione non possono essere nominati tra i dipendenti dell'amministrazione interessata o tra soggetti che rivestano incarichi pubblici elettivi o cariche in partiti politici o in organizzazioni sindacali ovvero che abbiano rapporti continuativi di collaborazione o di consulenza con le predette organizzazioni, ovvero che abbiano rivestito simili incarichi o cariche o che abbiano avuto simili rapporti nei tre anni precedenti la designazione. 9. Presso l'Organismo indipendente di valutazione e' costituita, senza nuovi o maggiori oneri per la finanza pubblica, una struttura tecnica permanente per la misurazione della performance, dotata delle risorse necessarie all'esercizio delle relative funzioni. 10. Il responsabile della struttura tecnica permanente deve possedere una specifica professionalita' ed esperienza nel campo della misurazione della performance nelle amministrazioni pubbliche. 11. Agli oneri derivanti dalla costituzione e dal funzionamento degli organismi di cui al presente articolo si provvede nei limiti delle risorse attualmente destinate ai servizi di controllo interno.». - Si riporta il testo dell'articolo 24 della citata legge 7 agosto 1990, n. 241 (Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi): «Art. 24. (Esclusione dal diritto di accesso). - 1. Il diritto di accesso e' escluso: a) per i documenti coperti da segreto di Stato ai sensi della legge 24 ottobre 1977, n. 801, e successive modificazioni, e nei casi di segreto o di divieto di divulgazione espressamente previsti dalla legge, dal regolamento governativo di cui al comma 6 e dalle pubbliche amministrazioni ai sensi del comma 2 del presente articolo; b) nei procedimenti tributari, per i quali restano ferme le particolari norme che li regolano; c) nei confronti dell'attivita' della pubblica amministrazione diretta all'emanazione di atti normativi, amministrativi generali, di pianificazione e di programmazione, per i quali restano ferme le particolari norme che ne regolano la formazione; d) nei procedimenti selettivi, nei confronti dei documenti amministrativi contenenti informazioni di carattere psicoattitudinale relativi a terzi. 2. Le singole pubbliche amministrazioni individuano le categorie di documenti da esse formati o comunque rientranti nella loro disponibilita' sottratti all'accesso ai sensi del comma 1. 3. Non sono ammissibili istanze di accesso preordinate ad un controllo generalizzato dell'operato delle pubbliche amministrazioni. 4. L'accesso ai documenti amministrativi non puo' essere negato ove sia sufficiente fare ricorso al potere di differimento. 5. I documenti contenenti informazioni connesse agli interessi di cui al comma 1 sono considerati segreti solo nell'ambito e nei limiti di tale connessione. A tale fine le pubbliche amministrazioni fissano, per ogni categoria di documenti, anche l'eventuale periodo di tempo per il quale essi sono sottratti all'accesso. 6. Con regolamento, adottato ai sensi dell'articolo 17, comma 2, della legge 23 agosto 1988, n. 400, il Governo puo' prevedere casi di sottrazione all'accesso di documenti amministrativi: a) quando, al di fuori delle ipotesi disciplinate dall'articolo 12 della legge 24 ottobre 1977, n. 801, dalla loro divulgazione possa derivare una lesione, specifica e individuata, alla sicurezza e alla difesa nazionale, all'esercizio della sovranita' nazionale e alla continuita' e alla correttezza delle relazioni internazionali, con particolare riferimento alle ipotesi previste dai trattati e dalle relative leggi di attuazione; b) quando l'accesso possa arrecare pregiudizio ai processi di formazione, di determinazione e di attuazione della politica monetaria e valutaria; c) quando i documenti riguardino le strutture, i mezzi, le dotazioni, il personale e le azioni strettamente strumentali alla tutela dell'ordine pubblico, alla prevenzione e alla repressione della criminalita' con particolare riferimento alle tecniche investigative, alla identita' delle fonti di informazione e alla sicurezza dei beni e delle persone coinvolte, all'attivita' di polizia giudiziaria e di conduzione delle indagini; d) quando i documenti riguardino la vita privata o la riservatezza di persone fisiche, persone giuridiche, gruppi, imprese e associazioni, con particolare riferimento agli interessi epistolare, sanitario, professionale, finanziario, industriale e commerciale di cui siano in concreto titolari, ancorche' i relativi dati siano forniti all'amministrazione dagli stessi soggetti cui si riferiscono; e) quando i documenti riguardino l'attivita' in corso di contrattazione collettiva nazionale di lavoro e gli atti interni connessi all'espletamento del relativo mandato. 7. Deve comunque essere garantito ai richiedenti l'accesso ai documenti amministrativi la cui conoscenza sia necessaria per curare o per difendere i propri interessi giuridici. Nel caso di documenti contenenti dati sensibili e giudiziari, l'accesso e' consentito nei limiti in cui sia strettamente indispensabile e nei termini previsti dall'articolo 60 del decreto legislativo 30 giugno 2003, n. 196, in caso di dati idonei a rivelare lo stato di salute e la vita sessuale.». - La legge 3 agosto 2007, n. 124 (Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto) e' pubblicata nella Gazzetta Ufficiale 13 agosto 2007, n. 187.   Art. 9 Comitato di Vertice 1. Con riferimento a decisioni strategiche concernenti, tra l'altro, l'organizzazione e il funzionamento dell'Agenzia, anche in relazione a quanto stabilito dai regolamenti di attuazione del decreto-legge, il Direttore generale puo' richiedere la convocazione del Comitato di Vertice al quale presentare proposte o sottoporre questioni di particolare delicatezza. 2. Il Comitato di Vertice e' presieduto dal Presidente del Consiglio dei ministri, ovvero dall'Autorita' delegata di cui all'articolo 3 del decreto-legge, ove istituita, che ne dispone la convocazione, ove ritenuta opportuna, ed e' composto dal Direttore generale e dal Vice Direttore generale. Il Capo di Gabinetto dell'Agenzia ne svolge le funzioni di segretario. 3. Per la partecipazione al Comitato non sono previsti gettoni di presenza, compensi o rimborsi di spese. Note all'art. 9: - Per il testo dell'articolo 3 del decreto-legge 14 giugno 2021, n. 82, si veda nelle note all'articolo 1.   Art. 10 Comitato di coordinamento e programmazione 1. Per assicurare l'unitarieta' di azione e l'allineamento informativo dei Servizi sugli indirizzi e le decisioni strategiche in merito all'organizzazione, al funzionamento e alle attivita' dell'Agenzia, il direttore generale puo' convocare il Comitato di coordinamento e programmazione. 2. Il Comitato e' presieduto dal Direttore generale ed e' composto dal Vice Direttore generale e dai Capi dei Servizi o da loro delegati. 3. Il Comitato si riunisce su convocazione del Direttore generale, che ne definisce l'ordine del giorno. 4. Alle riunioni del Comitato puo' essere invitato a partecipare, in funzione degli argomenti da trattare, anche altro personale dell'Agenzia.   Art. 11 Comitato tecnico-scientifico 1. Ai sensi dell'articolo 7, comma 1-bis, del decreto-legge, e' istituito presso l'Agenzia un Comitato tecnico-scientifico, di seguito Comitato, con funzioni di consulenza e proposta, volto a promuovere la collaborazione con il sistema dell'universita' e della ricerca e con il sistema produttivo nazionale, nonche' a supportare le iniziative pubblico-private in materia di cybersicurezza. Al Comitato possono essere sottoposte, oltre alle questioni in materia di sviluppo di competenze, innovazione, partecipazione a programmi e progetti di cybersicurezza nazionali ed internazionali, comunicazione e promozione della consapevolezza in materia di cybersicurezza, formazione e qualificazione delle risorse umane, nonche' alle questioni afferenti al Centro nazionale di coordinamento, ogni altra tematica individuata dal direttore generale. 2. Il Comitato e' presieduto dal direttore generale, ovvero dal Vice direttore generale o da un dirigente dell'Agenzia ove delegati e, tenuto conto del principio di pari opportunita' tra uomini e donne, e' composto da: a) personale dell'Agenzia in numero non superiore a quattro; b) quattro dirigenti, preferibilmente individuati tra quelli chiamati a riferire in via immediata e diretta al vertice gerarchico, in rappresentanza dell'industria operativa negli ambiti di attivita' dell'Agenzia, comprese le piccole e medie imprese; c) quattro professori universitari ordinari o equivalenti, in rappresentanza del sistema dell'universita' e della ricerca; d) un esponente di associazioni del settore della sicurezza delle aziende strategiche del Paese. 3. I componenti del Comitato: a) devono possedere indiscussa competenza, tanto a livello nazionale quanto internazionale, negli ambiti di attivita' dell'Agenzia, in particolare nel contesto della definizione e dell'attuazione di progetti di ricerca e sviluppo tecnologico, industriale e scientifico, nei campi, tra gli altri, del quantum computing, dell'intelligenza artificiale, della crittografia, dell'Internet of things, delle reti e del software, nonche' negli ambiti della formazione e qualificazione delle risorse umane, della promozione e diffusione della cultura della cybersicurezza; b) devono possedere riscontrabili requisiti di onorabilita'. 4. I componenti del Comitato sono designati con decreto del Presidente del Consiglio dei ministri, sentito il Comitato di Vertice, su proposta del direttore generale, restano in carica per due anni e possono essere rinnovati, con la medesima procedura, per un ulteriore anno. 5. Per la partecipazione al Comitato non sono previsti gettoni di presenza, compensi o rimborsi di spese. 6. Il Comitato si riunisce, almeno due volte l'anno, su convocazione del presidente o anche su richiesta di almeno tre componenti esterni all'Agenzia. 7. Il presidente ne definisce l'ordine del giorno, anche sulla base delle proposte dei componenti del Comitato. Note all'art. 11: - Per il testo dell'articolo 7, comma 1-bis del decreto-legge 14 giugno 2021, n. 82 si veda nelle note all'articolo 1.   Art. 12 Organizzazione 1. L'Agenzia, nei limiti stabiliti dall'articolo 6, comma 1, del decreto-legge, e fatto salvo quanto previsto dall'articolo 17, si articola nei seguenti servizi: a) Gabinetto; b) Autorita' e sanzioni; c) Certificazione e vigilanza; d) Operazioni; e) Programmi industriali, tecnologici, di ricerca e formazione; f) Risorse umane e strumentali; g) Strategie e cooperazione. 2. Nell'ambito delle competenze e delle funzioni che sono attribuite per legge all'Agenzia e tenuto conto degli indirizzi che saranno progressivamente definiti dal Direttore generale: a) il Gabinetto assicura, a supporto del Direttore generale, il coordinamento tra i diversi Servizi e articolazioni dell'Agenzia e il raccordo tra le relative attivita', e svolge funzioni a valenza generale. In particolare, per tali ultime funzioni, operando in stretto raccordo con i Servizi e avvalendosi del relativo supporto: 1) assicura le funzioni di gestione dei flussi documentali, raccolta e canalizzazione di notizie, conoscenze ed esperienze, gestione del protocollo informatico e degli archivi dati, nonche' di eventi suscettibili di immediato superiore apprezzamento; 2) assicura il supporto necessario ai fini della tutela della riservatezza dei dati personali; 3) assolve agli obblighi di informazione e comunicazione al Parlamento e al Comitato parlamentare per la sicurezza della Repubblica (COPASIR) di cui all'articolo 30 della legge 3 agosto 2007, n. 124; 4) cura e promuove, anche attraverso il costante monitoraggio dell'attivita' parlamentare e di Governo, l'espressione di pareri non vincolanti su rilevanti iniziative legislative o regolamentari, ovvero ne propone l'adozione, al fine della definizione e del mantenimento di un quadro giuridico nazionale aggiornato e coerente nel dominio della cybersicurezza, tenendo anche conto degli orientamenti e degli sviluppi in ambito internazionale; 5) sulla base delle attivita' di competenza del Nucleo per la cybersicurezza, cura le attivita' di cui all'articolo 7, comma 1, lettera l), del decreto-legge; 6) supporta il Nucleo per la cybersicurezza, fermo restando quanto previsto dalla lettera d), numero 5); 7) cura le collaborazioni istituzionali con altri organi dello Stato e in generale con le altre amministrazioni, ivi compreso il Garante per la protezione dei dati personali e le altre Autorita' indipendenti, le Forze armate e di polizia e gli altri enti pubblici; 8) svolge studi e analisi su rilevanti iniziative, politiche e strategie in materia di cybersicurezza, laddove necessari per informare e supportare i processi decisionali dell'Agenzia; b) il Servizio autorita' e sanzioni assicura lo svolgimento della funzione di regolamentazione e la connessa attivita' sanzionatoria attribuite all'Agenzia dalla normativa vigente. A tal fine, in particolare: 1) cura gli adempimenti delle disposizioni del decreto legislativo NIS, con particolare riferimento a quanto previsto in materia di identificazione degli operatori di servizi essenziali e fornitori di servizi digitali e gestione dei rispettivi elenchi, determinazione delle soglie di incidenti, definizione delle misure di sicurezza, raccordo con le autorita' di settore, presidenza del Comitato tecnico di raccordo; 2) cura gli adempimenti delle disposizioni del decreto-legge perimetro; 3) cura la definizione delle misure di sicurezza e delle soglie di significativita' degli incidenti riguardanti le reti pubbliche di comunicazione o servizi di comunicazione elettronica accessibili al pubblico, ai sensi del Codice delle comunicazioni elettroniche; 4) cura l'attuazione degli articoli 51 e 71 del Codice dell'amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, con particolare riferimento alla previsione di linee guida contenenti regole tecniche di cybersicurezza della pubblica amministrazione; 5) stabilisce i livelli minimi di sicurezza, capacita' elaborativa, risparmio energetico e affidabilita' delle infrastrutture digitali per la pubblica amministrazione; 6) provvede all'irrogazione delle sanzioni in caso di inadempimento degli obblighi stabiliti dalle normative vigenti in materia di cybersicurezza di competenza dell'Agenzia, garantendo la necessaria partecipazione procedimentale degli interessati ed una adeguata terzieta' rispetto all'articolazione a cui spettano compiti ispettivi; 7) cura il contenzioso dell'Agenzia, con particolare riguardo a quello connesso ai procedimenti sanzionatori, assicurando il supporto all'Avvocatura dello Stato; c) il Servizio Certificazione e vigilanza sovrintende ai processi di certificazione, qualificazione e valutazione, nonche' cura l'attivita' ispettiva e di verifica attribuiti all'Agenzia dalla normativa vigente. A tal fine, in particolare: 1) cura le attivita' svolte dall'Agenzia in materia di certificazione di sicurezza cibernetica; 2) cura le attivita' dell'Agenzia quale CVCN, anche ai sensi del decreto-legge perimetro e del decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56; 3) cura e svolge l'attivita' ispettiva e di verifica di competenza dell'Agenzia concernente gli adempimenti di cybersicurezza nei confronti dei soggetti pubblici e privati; 4) cura le attivita' dell'Agenzia volte and assicurare l'attuazione del regolamento (UE) n. 2019/881 e, in particolare, garantisce che l'Agenzia assolva al ruolo di autorita' nazionale di certificazione in materia di cybersicurezza, ai sensi dell'articolo 58 del regolamento (UE) n. 2019/881, e partecipi ai lavori del Gruppo europeo per la certificazione della cybersicurezza, ai sensi dell'articolo 62 del regolamento (UE) n. 2019/881; 5) e' responsabile della promozione e dello svolgimento delle attivita' volte alla qualificazione dei servizi cloud per la pubblica amministrazione; 6) cura e promuove le attivita' volte allo sviluppo di algoritmi proprietari e alla valorizzazione della crittografia come strumento di cybersicurezza; d) il Servizio Operazioni contribuisce alla preparazione, prevenzione, gestione e risposta a eventi cibernetici. Nell'ambito del Servizio Operazioni e' collocato il CSIRT Italia. Il Servizio Operazioni, a tal fine, in particolare: 1) assicura il funzionamento del CSIRT Italia sulla base dei compiti che sono ad esso attribuiti per legge, tra i quali il monitoraggio e l'analisi dei rischi e delle minacce cyber a livello nazionale, l'emissione di preallarmi, allerte, annunci e la divulgazione di rilevanti informazioni agli operatori interessati, la ricezione di notifiche obbligatorie e volontarie di incidenti cyber, l'analisi degli incidenti e la definizione di modalita' di intervento e risposta; 2) cura lo sviluppo e il mantenimento di capacita' nazionali di prevenzione, monitoraggio, rilevamento, analisi e risposta, per prevenire e gestire gli incidenti di sicurezza informatica e gli attacchi informatici, anche attraverso il CSIRT Italia; 3) e' responsabile per le attivita' inerenti alla preparazione, prevenzione, gestione e risposta a eventi cibernetici di natura critica, supportando le attivita' volte al piu' celere ripristino della situazione ante-evento da parte dei soggetti interessati; 4) coordina e partecipa a esercitazioni nazionali e internazionali che riguardano aspetti tecnici e operativi di gestione di eventi o crisi con profili di cybersicurezza; 5) supporta il Nucleo per la cybersicurezza nella programmazione e pianificazione operativa della risposta a situazioni di crisi cibernetica da parte delle amministrazioni e degli operatori privati interessati, nonche' nelle attivita' cui all'articolo 10, comma 4, del decreto-legge, curando gli opportuni raccordi con il Gabinetto; 6) valuta e promuove, in raccordo con le amministrazioni competenti per specifici profili della cybersicurezza, procedure di condivisione delle informazioni, anche con gli operatori privati interessati, ai fini della diffusione di allarmi relativi ad eventi cibernetici e per la gestione delle crisi; e) il Servizio Programmi industriali, tecnologici, di ricerca e formazione svolge funzioni di indirizzo e gestione delle attivita' svolte dall'Agenzia per promuovere l'autonomia strategica e la sovranita' tecnologica nazionale. A tal fine, in particolare: 1) cura le attivita' dell'Agenzia volte alla promozione, allo sviluppo e al finanziamento di specifici progetti e iniziative nazionali e internazionali in materia di cybersicurezza, volti anche a favorire il trasferimento tecnologico dei risultati della ricerca; cura la partecipazione dell'Agenzia a progetti europei e internazionali, nonche' l'utilizzazione dei fondi europei; 2) si occupa dello sviluppo di competenze e capacita' industriali, tecnologiche e scientifiche, mediante il coinvolgimento del sistema dell'universita' e della ricerca, nonche' del sistema produttivo nazionale; 3) e' responsabile per la promozione e la costituzione di aree dedicate allo sviluppo di capacita' e competenze nei settori avanzati della cybersicurezza, nonche' alla realizzazione di studi di fattibilita' e di analisi valutative finalizzati a tale scopo; 4) svolge i compiti necessari ad assicurare il funzionamento del Centro nazionale di coordinamento in materia di cybersicurezza nell'ambito industriale, tecnologico e della ricerca; 5) cura le attivita' necessarie alla costituzione ed alla partecipazione a partenariati pubblico-privato sul territorio nazionale, nonche' - previa autorizzazione del Presidente del Consiglio dei ministri, resa anche in seno al Comitato di Vertice - a consorzi, fondazioni o societa' con soggetti pubblici e privati, italiani e stranieri; 6) promuove iniziative di formazione, tra le quali quelle riservate ai giovani che aderiscono al servizio civile, nonche' di crescita tecnico-professionale e qualificazione delle risorse umane in materia di cybersicurezza, anche sulla base di convenzioni con soggetti pubblici e privati; f) il Servizio risorse umane e strumentali svolge funzioni di indirizzo e gestione dell'attivita' amministrativa dell'Agenzia. A tal fine, in particolare: 1) assicura la corretta ed efficace gestione del personale dell'Agenzia, svolgendo funzioni di carattere ordinamentale e procedurale in materia di reclutamento, incarichi, mobilita', formazione, sviluppo professionale, valutazione del personale, gestione dello stato giuridico, trattamento economico e di fine rapporto, trattamento pensionistico; 2) cura e coordina l'acquisizione, la gestione, la crescita e lo sviluppo professionale del personale dell'Agenzia, nonche' la promozione delle pari opportunita'; 3) provvede alle ispezioni, inchieste e controlli interni su richiesta del direttore generale o del Vice direttore generale; 4) definisce il sistema di valutazione del personale, i piani di assunzione e formazione, al fine di garantirne lo sviluppo professionale e di assicurare la presenza delle competenze necessarie ai fabbisogni dell'Agenzia, nonche' di migliorare le prestazioni nell'ambito delle posizioni organizzative di appartenenza e sviluppare le potenzialita' dei singoli dipendenti, secondo un processo di adeguamento delle competenze funzionale all'evoluzione dell'Agenzia; 5) assicura l'applicazione del decreto legislativo 9 aprile 2008, n. 81, in materia di tutela della salute e della sicurezza nei luoghi di lavoro; 6) sovrintende alle politiche di bilancio, agli obblighi contabili, agli adempimenti fiscali e alla gestione degli aspetti finanziari e di tesoreria, curandone i relativi processi e procedure, anche con l'eventuale supporto degli altri Servizi interessati; 7) cura e coordina le politiche di approvvigionamento e i relativi processi sulla base delle esigenze manifestate dai Servizi interessati; 8) gestisce le attivita' relative alla logistica e alla manutenzione degli immobili e delle dotazioni dell'Agenzia; 9) cura i processi di pianificazione, sviluppo, ottimizzazione, elaborazione delle future esigenze e manutenzione delle infrastrutture, dei sistemi tecnologici e di telecomunicazione in dotazione all'Agenzia, assicurandone la gestione tecnica ed il funzionamento, anche in relazione al rispetto delle norme e dei requisiti in materia di sicurezza informatica e di tutela dei dati personali; 10) cura il contenzioso in materia di personale e di attivita' negoziale, assicurando il supporto all'Avvocatura dello Stato; g) il Servizio Strategie e cooperazione definisce gli indirizzi strategici e gli strumenti di policy nazionali in materia di cybersicurezza, ne monitora l'attuazione, nonche' mantiene e sviluppa le relazioni e la cooperazione internazionale dell'Agenzia. A tal fine, in particolare: 1) elabora le politiche nazionali in materia di cybersicurezza e, in particolare, predispone ed aggiorna la strategia nazionale di cybersicurezza, monitorandone la concreta attuazione; 2) contribuisce all'organizzazione di esercitazioni nazionali e internazionali in materia di cybersicurezza, definendo gli scenari di riferimento; 3) promuove, gestisce e supporta le relazioni internazionali dell'Agenzia, sia a livello bilaterale sia multilaterale, anche attraverso l'individuazione o la proposizione di rilevanti iniziative; 4) coordina e svolge attivita' di cooperazione internazionale in materia di cybersicurezza in cui e' coinvolta l'Agenzia, in particolare, curando i rapporti con i competenti organismi, istituzioni ed enti dell'Unione europea e di altre organizzazioni internazionali, seguendo nelle competenti sedi istituzionali internazionali le tematiche di cybersicurezza, nonche' assicurando, attraverso il raccordo con le altre amministrazioni nazionali, la definizione e il mantenimento di posizioni nazionali unitarie e coerenti in materia di cybersicurezza; 5) promuove, nei confronti delle altre amministrazioni, delle organizzazioni private, incluse le piccole e le medie imprese, e della societa' civile nel pertinente insieme, la consapevolezza in materia di cybersicurezza, al fine di contribuire allo sviluppo di una cultura nazionale in materia. Note all'art. 12: - Per il testo dell'articolo 6, comma 1, del decreto-legge 14 giugno 2021, n. 82 si veda nelle note all'articolo 2. - Si riporta il testo dell'articolo 30 della citata legge 3 agosto 2007, n. 124: «Art. 30. (Comitato parlamentare per la sicurezza della Repubblica). - 1. E' istituito il Comitato parlamentare per la sicurezza della Repubblica, composto da cinque deputati e cinque senatori, nominati entro venti giorni dall'inizio di ogni legislatura dai Presidenti dei due rami del Parlamento in proporzione al numero dei componenti dei gruppi parlamentari, garantendo comunque la rappresentanza paritaria della maggioranza e delle opposizioni e tenendo conto della specificita' dei compiti del Comitato. 2. Il Comitato verifica, in modo sistematico e continuativo, che l'attivita' del Sistema di informazione per la sicurezza si svolga nel rispetto della Costituzione, delle leggi, nell'esclusivo interesse e per la difesa della Repubblica e delle sue istituzioni. 2-bis. E' compito del Comitato accertare il rispetto di quanto stabilito dall'articolo 8, comma 1, nonche' verificare che le attivita' di informazione previste dalla presente legge svolte da organismi pubblici non appartenenti al Sistema di informazione per la sicurezza rispondano ai principi della presente legge. 3. L'ufficio di presidenza, composto dal presidente, da un vicepresidente e da un segretario, e' eletto dai componenti del Comitato a scrutinio segreto. Il presidente e' eletto tra i componenti appartenenti ai gruppi di opposizione e per la sua elezione e' necessaria la maggioranza assoluta dei componenti.". 4. Se nessuno riporta tale maggioranza, si procede al ballottaggio tra i due candidati che hanno ottenuto il maggiore numero di voti. 5. In caso di parita' di voti e' proclamato eletto o entra in ballottaggio il piu' anziano di eta'. 6. Per l'elezione, rispettivamente, del vicepresidente e del segretario, ciascun componente scrive sulla propria scheda un solo nome. Sono eletti coloro che hanno ottenuto il maggior numero di voti. In caso di parita' di voti si procede ai sensi del comma 5.». - Si riporta il testo dell'articolo 7, comma 1, lettera l) del decreto-legge 14 giugno 2021, n. 82 (Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale): «Art. 7. (Funzioni dell'Agenzia per la cybersicurezza nazionale). - 1. L'Agenzia: a)- i) (omissis) l) provvede, sulla base delle attivita' di competenza del Nucleo per la cybersicurezza di cui all'articolo 8, alle attivita' necessarie per l'attuazione e il controllo dell'esecuzione dei provvedimenti assunti dal Presidente del Consiglio dei ministri ai sensi dell'articolo 5 del decreto-legge perimetro;». - Si riportano il testo degli articoli 51 e 71 del citato decreto legislativo 7 marzo 2005, n. 82 (Codice dell'amministrazione digitale): «Art. 51. (Sicurezza e disponibilita' dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazioni). - Con le Linee guida sono individuate le soluzioni tecniche idonee a garantire la protezione, la disponibilita', l'accessibilita', l'integrita' e la riservatezza dei dati e la continuita' operativa dei sistemi e delle infrastrutture. 1-bis. AgID attua, per quanto di competenza e in raccordo con le altre autorita' competenti in materia, il Quadro strategico nazionale per la sicurezza dello spazio cibernetico e il Piano nazionale per la sicurezza cibernetica e la sicurezza informatica. AgID, in tale ambito: a) coordina, tramite il Computer Emergency Response Team Pubblica Amministrazione (CERT-PA) istituito nel suo ambito, le iniziative di prevenzione e gestione degli incidenti di sicurezza informatici; b) promuove intese con le analoghe strutture internazionali; c) segnala al Ministro per la semplificazione e la pubblica amministrazione il mancato rispetto delle regole tecniche di cui al comma 1 da parte delle pubbliche amministrazioni. 2. I documenti informatici delle pubbliche amministrazioni devono essere custoditi e controllati con modalita' tali da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o non consentito o non conforme alle finalita' della raccolta. 2-bis. 2-ter. I soggetti di cui all'articolo 2, comma 2, aderiscono ogni anno ai programmi di sicurezza preventiva coordinati e promossi da AgID secondo le procedure dettate dalla medesima AgID con le Linee guida. 2-quater. I soggetti di cui articolo 2, comma 2, predispongono, nel rispetto delle Linee guida adottate dall'AgID, piani di emergenza in grado di assicurare la continuita' operativa delle operazioni indispensabili per i servizi erogati e il ritorno alla normale operativita'. Onde garantire quanto previsto, e' possibile il ricorso all'articolo 15 della legge 7 agosto 1990, n. 241, per l'erogazione di servizi applicativi, infrastrutturali e di dati, con ristoro dei soli costi di funzionamento. Per le Amministrazioni dello Stato coinvolte si provvede mediante rimodulazione degli stanziamenti dei pertinenti capitoli di spesa o mediante riassegnazione alla spesa degli importi versati a tale titolo ad apposito capitolo di entrata del bilancio statale.». «Art. 71. (Regole tecniche). - 1. L'AgID, previa consultazione pubblica da svolgersi entro il termine di trenta giorni, sentiti le amministrazioni competenti e il Garante per la protezione dei dati personali nelle materie di competenza, nonche' acquisito il parere della Conferenza unificata, adotta Linee guida contenenti le regole tecniche e di indirizzo per l'attuazione del presente Codice. Le Linee guida divengono efficaci dopo la loro pubblicazione nell'apposita area del sito Internet istituzionale dell'AgID e di essa ne e' data notizia nella Gazzetta Ufficiale della Repubblica italiana. Le Linee guida sono aggiornate o modificate con la procedura di cui al primo periodo. 1-bis. 1-ter. Le regole tecniche di cui al presente codice sono dettate in conformita' ai requisiti tecnici di accessibilita' di cui all'articolo 11 della legge 9 gennaio 2004, n. 4, alle discipline risultanti dal processo di standardizzazione tecnologica a livello internazionale ed alle normative dell'Unione europea. 2.». - Per i riferimenti del decreto-legge 15 marzo 2012, n. 21 si veda nelle note alle premesse. - Il regolamento (UE) n. 2019/881 (Regolamento del Parlamento europeo e del Consiglio relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza»), e' pubblicato nella Gazzetta Ufficiale dell'Unione europea 7 giugno 2019, n. L 151. - Si riporta il testo del comma 4 dell'articolo 10, del citato decreto-legge 14 giugno 2021, n. 82: «4. E' compito del Nucleo, nella composizione per la gestione delle crisi, di cui al comma 3, assicurare che le attivita' di reazione e stabilizzazione di competenza delle diverse amministrazioni ed enti rispetto a situazioni di crisi di natura cibernetica vengano espletate in maniera coordinata secondo quanto previsto dall'articolo 9, comma 1, lettera b).». - Il decreto legislativo 9 aprile 2008, n. 81 (Attuazione dell'articolo 1 della legge 3 agosto 2007, n. 123, in materia di tutela della salute e della sicurezza nei luoghi di lavoro), e' pubblicato nella Gazzetta Ufficiale 30 aprile 2008, n. 101, S.O..   Art. 13 Codice etico 1. Con provvedimento del Direttore generale e' adottato il codice etico dell'Agenzia che individua i principi guida del comportamento dei dipendenti di ruolo e di tutti coloro che operino a qualsiasi titolo presso l'Agenzia ed e' istituito un garante del codice etico ai fini del controllo della sua osservanza, individuato nell'ambito del personale di ruolo dell'Agenzia. Al garante medesimo non sono attribuiti compensi, gettoni di presenza, rimborsi spese indennita' o emolumenti comunque denominati.   Art. 14 Comitati e commissioni 1. Al fine di assicurare l'efficace svolgimento di attivita' che possano richiedere temporaneamente l'apporto di conoscenze, competenze e professionalita' diversificate, il Direttore generale puo' costituire, anche al di fuori delle strutture di cui all'articolo 4, comma 5, specifici comitati e commissioni, con la possibilita' di prevedere anche la partecipazione di soggetti estranei alla pubblica amministrazione. 2. Per la partecipazione ai comitati e alle commissioni di cui al comma 1 non sono previsti gettoni di presenza, compensi o rimborsi di spese.   Art. 15 Sedi principale e secondarie 1. Ai sensi dell'articolo 5, comma 1, del decreto-legge, l'Agenzia ha sede principale in Roma. 2. Per motivate esigenze istituzionali e nel rispetto dei vincoli di bilancio e tenuto conto della dotazione organica dell'Agenzia, su proposta del Direttore generale, il Comitato di Vertice puo' stabilire la costituzione di una o piu' sedi secondarie in Italia. 3. Lo svolgimento delle funzioni dell'Agenzia di natura internazionale possono essere assicurate anche mediante apposite unita' distaccate presso enti e istituzioni dell'Unione europea ovvero, d'intesa con il Ministero degli affari esteri e della cooperazione internazionale, presso le Ambasciate e le Rappresentanze italiane operanti nel contesto dell'Unione europea e delle organizzazioni internazionali. Note all'art. 15: - Si riporta il testo dell'articolo 5, comma 1, del citato decreto-legge 14 giugno 2021, n. 82: «Art. 5. (Agenzia per la cybersicurezza nazionale). - 1. E' istituita, a tutela degli interessi nazionali nel campo della cybersicurezza, l'Agenzia per la cybersicurezza nazionale, denominata ai fini del presente decreto «Agenzia», con sede in Roma.».   Art. 16 Regolamenti e disciplinari 1. Il Direttore generale adotta ogni provvedimento, tra cui regolamenti e disciplinari, necessario all'attuazione delle funzioni dell'Agenzia, anche in attuazione della normativa vigente.   Art. 17 Attuazione 1. In sede di prima applicazione, sino al raggiungimento della dotazione organica complessiva prevista dall'articolo 12, comma 4, del decreto-legge, l'organizzazione dell'Agenzia definita dal presente regolamento, con particolare riferimento alle modalita' di attivazione delle articolazioni di cui agli articoli 4 e 12, viene progressivamente disposta, con provvedimento del direttore generale, secondo criteri di economicita', efficienza ed efficacia dell'azione amministrativa. Note all'art. 17: - Per il testo dell'articolo 12 del decreto-legge 14 giugno 2021, n. 82 si veda nelle note alle premesse. - Per il testo dell'articolo 4 del decreto-legge 14 giugno 2021, n. 82 si veda nelle note all'articolo 1.   Art. 18 Entrata in vigore 1. Il presente regolamento entra in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. Il presente decreto munito del sigillo dello Stato sara' inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo osservare. Roma, 9 dicembre 2021 Il Presidente del Consiglio dei ministri Draghi Il Ministro dell'economia e delle finanze Franco Visto, il Guardasigilli: Cartabia Registrato alla Corte dei conti il 22 dicembre 2021 Ufficio di controllo sugli atti della Presidenza del Consiglio, del Ministero della giustizia e del Ministero degli affari esteri, registrazione n. 3022