Gazzetta n. 223 del 23 settembre 2024 -

Gazzetta n. 223 del 23 settembre 2024 (vai al sommario)

DECRETO LEGISLATIVO 4 settembre 2024, n. 134

Attuazione della direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio.

IL PRESIDENTE DELLA REPUBBLICA

Visti gli articoli 76 e 87, quinto comma, della Costituzione;
Vista la legge 23 agosto 1988, n. 400, recante «Disciplina dell'attivita' di Governo e ordinamento della Presidenza del Consiglio dei ministri» e, in particolare, l'articolo 14;
Vista la legge 24 dicembre 2012, n. 234, recante «Norme generali sulla partecipazione dell'Italia alla formazione e all'attuazione della normativa e delle politiche dell'Unione europea» e, in particolare, gli articoli 31 e 32;
Vista la legge 21 febbraio 2024, n. 15, recante «Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea - Legge di delegazione europea 2022-2023» e, in particolare, l'articolo 5, che reca principi e criteri direttivi per l'esercizio della delega per il recepimento della direttiva (UE) 2022/2557, relativa alla resilienza dei soggetti critici;
Vista la direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati);
Visto il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011;
Vista la direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2);
Visto il regolamento delegato (UE) 2023/2450 della Commissione, del 25 luglio 2023, che integra la direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio stabilendo un elenco di servizi essenziali;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante «Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE»;
Visto il decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, recante «Misure urgenti per il contrasto del terrorismo internazionale»;
Vista la legge 3 agosto 2007, n. 124, recante «Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto»;
Visto il decreto legislativo 11 aprile 2011, n. 61, recante «Attuazione della direttiva 2008/114/CE recante l'individuazione e la designazione delle infrastrutture critiche europee e la valutazione della necessita' di migliorarne la protezione»;
Visto il decreto legislativo 23 giugno 2011, n. 118, recante «Disposizioni in materia di armonizzazione dei sistemi contabili e degli schemi di bilancio delle Regioni, degli enti locali e dei loro organismi, a norma degli articoli 1 e 2 della legge 5 maggio 2009, n. 42»;
Visto il decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, recante «Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale»;
Vista la preliminare deliberazione del Consiglio dei ministri, adottata nella riunione del 10 giugno 2024;
Acquisito il parere del Garante per la protezione dei dati personali, reso nella seduta del 18 luglio 2024;
Acquisito il parere della Conferenza unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, reso nella seduta dell'11 luglio 2024;
Acquisiti i pareri delle competenti Commissioni della Camera dei deputati e del Senato della Repubblica;
Vista la deliberazione del Consiglio dei ministri, adottata nella riunione del 7 agosto 2024;
Sulla proposta del Presidente del Consiglio dei ministri e del Ministro per gli affari europei, il Sud, le politiche di coesione e il PNRR, di concerto con i Ministri per gli affari regionali e le autonomie, per la protezione civile e le politiche del mare, degli affari esteri e della cooperazione internazionale, dell'interno, della giustizia, della difesa, dell'economia e delle finanze, delle imprese e del made in Italy, dell'ambiente e della sicurezza energetica, delle infrastrutture e dei trasporti, della salute e dell'agricoltura, della sovranita' alimentare e delle foreste;

E m a n a
il seguente decreto legislativo:

Art. 1

Oggetto e ambito di applicazione

1. Il presente decreto stabilisce:
a) misure volte a garantire che i servizi essenziali per il mantenimento di funzioni vitali della societa', di attivita' economiche, della salute e della sicurezza pubbliche o dell'ambiente, di cui all'articolo 2, comma 1, lettera e), siano forniti senza impedimenti nonche' criteri per l'individuazione dei soggetti critici di cui all'articolo 2, comma 1, lettera a);
b) obblighi per i soggetti critici di cui all'articolo 2, comma 1, lettera a), volti a rafforzarne la resilienza, fino al raggiungimento di un livello elevato, e a rafforzarne la capacita' di fornire i servizi essenziali di cui all'articolo 2, comma 1, lettera e), nel mercato interno, al fine di migliorarne il funzionamento;
c) misure per il sostegno nell'adempimento degli obblighi imposti dal presente decreto ai soggetti critici di cui all'articolo 2, comma 1, lettera a);
d) disposizioni riguardanti la vigilanza e l'irrogazione di sanzioni nei confronti dei soggetti critici di cui all'articolo 2, comma 1, lettera a);
e) disposizioni riguardanti l'individuazione dei soggetti critici di particolare rilevanza europea, di cui all'articolo 17, e le missioni di consulenza della Commissione europea finalizzate a valutare le misure predisposte da tali soggetti per adempiere ai propri obblighi, di cui all'articolo 18;
f) disposizioni per la predisposizione della strategia nazionale per la resilienza dei soggetti critici, di cui all'articolo 6;
g) la disciplina della valutazione del rischio da parte dello Stato, di cui all'articolo 7, e della valutazione del rischio da parte dei soggetti critici, di cui all'articolo 13;
h) l'istituzione del Comitato interministeriale per la resilienza, di cui all'articolo 4, nonche' l'individuazione delle autorita' settoriali competenti e del punto di contatto unico, di cui all'articolo 5;
i) le modalita' di cooperazione con gli altri Stati membri e con la Commissione europea, inclusa la partecipazione nazionale al gruppo per la resilienza dei soggetti critici di cui all'articolo 19.
2. Fermo restando quanto previsto dall'articolo 10, il presente decreto non si applica alle materie disciplinate dalle disposizioni nazionali di attuazione della direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, le cui misure sulla gestione dei rischi della cibersicurezza sono basate su un approccio multirischio che mira a proteggere anche l'ambiente fisico dei sistemi informatici da eventi che possono avere origini diverse.
3. Qualora gli obblighi previsti per i soggetti critici di adottare misure per rafforzare la loro resilienza siano oggetto di uno specifico atto giuridico dell'Unione europea, si applicano le disposizioni di detto atto giuridico nella misura in cui gli effetti di tali obblighi siano almeno equivalenti a quelli degli obblighi di cui al presente decreto. In tale circostanza non si applicano le disposizioni in materia di vigilanza ed esecuzione di cui al presente decreto.
4. Fatto salvo quanto previsto dall'articolo 346 del Trattato sul funzionamento dell'Unione europea, se l'applicazione del presente decreto comporta la comunicazione di informazioni riservate ai sensi delle disposizioni nazionali o delle disposizioni dell'Unione europea, tale comunicazione e' limitata a quanto strettamente necessario ai fini dell'applicazione medesima e le informazioni scambiate sono esclusivamente quelle pertinenti e commisurate allo scopo. In ogni caso, la comunicazione di cui al primo periodo tutela la riservatezza di tali informazioni, nonche' la sicurezza e gli interessi commerciali dei soggetti critici di cui all'articolo 2, comma 1, lettera a). Gli obblighi stabiliti dal presente decreto non comportano la comunicazione di informazioni la cui divulgazione sarebbe contraria agli interessi essenziali dello Stato in materia di sicurezza nazionale, di difesa o di pubblica sicurezza.
5. Resta impregiudicata la responsabilita' dello Stato di tutelare la sicurezza nazionale, la difesa e le altre funzioni essenziali dello Stato, tra cui la garanzia dell'integrita' territoriale dello Stato e il mantenimento dell'ordine pubblico.
6. Il presente decreto non si applica agli organi e alle articolazioni della pubblica amministrazione, nonche' agli enti di cui all'articolo 2, comma 1, lettera l), che operano nei settori della pubblica sicurezza, della difesa nazionale o dell'attivita' di contrasto, compresi l'indagine, l'accertamento e il perseguimento di reati, nonche' agli organismi di informazione per la sicurezza di cui alla legge 3 agosto 2007, n. 124, all'Agenzia per la cybersicurezza nazionale di cui al decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109. Esso non si applica, altresi', al Parlamento, alla Banca d'Italia, all'Unita' di informazione finanziaria per l'Italia di cui all'articolo 6 del decreto legislativo 21 novembre 2007, n. 231 e agli organi giudiziari.
7. Con uno o piu' decreti del Presidente del Consiglio dei ministri, di concerto, per gli ambiti di rispettiva competenza, con i Ministri della giustizia, dell'interno e della difesa, sentito il Comitato interministeriale per la resilienza di cui all'articolo 4, sono individuati specifici soggetti critici che svolgono attivita' principalmente nei settori della pubblica sicurezza, della protezione civile, della difesa o dell'attivita' di contrasto, accertamento e perseguimento di reati, ovvero che forniscono servizi esclusivamente agli organi, alle articolazioni o agli enti della pubblica amministrazione di cui al comma 6, ai quali, nell'espletamento di tali attivita' o servizi, non si applicano le disposizioni di cui all'articolo 12 e ai capi III, IV e VI del presente decreto.
8. Resta ferma l'applicazione del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196.
9. Con decreto del Presidente del Consiglio dei ministri, da adottare ai sensi dell'articolo 43 della legge 3 agosto 2007, n. 124, sono individuati specifici soggetti critici che svolgono attivita' principalmente o forniscono servizi esclusivamente per gli organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della legge n. 124 del 2007, ai quali, nell'espletamento delle predette attivita' o servizi, non si applicano le disposizioni di cui all'articolo 12 e ai capi III, IV e VI del presente decreto.

N O T E

Avvertenza:
Il testo delle note qui pubblicato e' stato redatto
dall'amministrazione competente per materia, ai sensi
dell'art. 10, commi 2 e 3, del testo unico delle
disposizioni sulla promulgazione delle leggi,
sull'emanazione dei decreti del Presidente della Repubblica
e sulle pubblicazioni ufficiali della Repubblica italiana,
approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo
fine di facilitare la lettura delle disposizioni di legge
modificate o alle quali e' operato il rinvio. Restano
invariati il valore e l'efficacia degli atti legislativi
qui trascritti.
- Per le direttive CEE vengono forniti gli estremi di
pubblicazione nella Gazzetta Ufficiale delle Comunita'
europee (GUUE).

Note alle premesse:
- L'art. 76 della Costituzione stabilisce che
l'esercizio della funzione legislativa non puo' essere
delegato al Governo se non con determinazione di principi e
criteri direttivi e soltanto per tempo limitato e per
oggetti definiti.
- L'art. 87, quinto comma, della Costituzione
conferisce al Presidente della Repubblica il potere di
promulgare le leggi ed emanare i decreti aventi valore di
legge e i regolamenti.
- Si riporta l'articolo 14 della legge 23 agosto 1988,
n. 400 (Disciplina dell'attivita' di Governo e ordinamento
della Presidenza del Consiglio dei Ministri), pubblicato
nella Gazzetta Ufficiale n. 214 del 12 settembre 1988, S.O.
n. 86:
«Art. 14 (Decreti legislativi). - 1. I decreti
legislativi adottati dal Governo ai sensi dell'articolo 76
della Costituzione sono emanati dal Presidente della
Repubblica con la denominazione di "decreto legislativo" e
con l'indicazione, nel preambolo, della legge di
delegazione, della deliberazione del Consiglio dei ministri
e degli altri adempimenti del procedimento prescritti dalla
legge di delegazione.
2. L'emanazione del decreto legislativo deve avvenire
entro il termine fissato dalla legge di delegazione; il
testo del decreto legislativo adottato dal Governo e'
trasmesso al Presidente della Repubblica, per la
emanazione, almeno venti giorni prima della scadenza.
3. Se la delega legislativa si riferisce ad una
pluralita' di oggetti distinti suscettibili di separata
disciplina, il Governo puo' esercitarla mediante piu' atti
successivi per uno o piu' degli oggetti predetti. In
relazione al termine finale stabilito dalla legge di
delegazione, il Governo informa periodicamente le Camere
sui criteri che segue nell'organizzazione dell'esercizio
della delega.
4. In ogni caso, qualora il termine previsto per
l'esercizio della delega ecceda i due anni, il Governo e'
tenuto a richiedere il parere delle Camere sugli schemi dei
decreti delegati. Il parere e' espresso dalle Commissioni
permanenti delle due Camere competenti per materia entro
sessanta giorni, indicando specificamente le eventuali
disposizioni non ritenute corrispondenti alle direttive
della legge di delegazione. Il Governo, nei trenta giorni
successivi, esaminato il parere, ritrasmette, con le sue
osservazioni e con eventuali modificazioni, i testi alle
Commissioni per il parere definitivo che deve essere
espresso entro trenta giorni.».
- Si riportano gli articoli 31 e 32 della legge 24
dicembre 2012, n. 234 (Norme generali sulla partecipazione
dell'Italia alla formazione e all'attuazione della
normativa e delle politiche dell'Unione europea),
pubblicata nella Gazzetta Ufficiale n. 3 del 4 gennaio
2013:
«Art. 31 (Procedure per l'esercizio delle deleghe
legislative conferite al Governo con la legge di
delegazione europea). - 1. In relazione alle deleghe
legislative conferite con la legge di delegazione europea
per il recepimento delle direttive, il Governo adotta i
decreti legislativi entro il termine di quattro mesi
antecedenti a quello di recepimento indicato in ciascuna
delle direttive; per le direttive il cui termine cosi'
determinato sia gia' scaduto alla data di entrata in vigore
della legge di delegazione europea, ovvero scada nei tre
mesi successivi, il Governo adotta i decreti legislativi di
recepimento entro tre mesi dalla data di entrata in vigore
della medesima legge; per le direttive che non prevedono un
termine di recepimento, il Governo adotta i relativi
decreti legislativi entro dodici mesi dalla data di entrata
in vigore della legge di delegazione europea.
2. I decreti legislativi sono adottati, nel rispetto
dell'articolo 14 della legge 23 agosto 1988, n. 400, su
proposta del Presidente del Consiglio dei Ministri o del
Ministro per gli affari europei e del Ministro con
competenza prevalente nella materia, di concerto con i
Ministri degli affari esteri, della giustizia,
dell'economia e delle finanze e con gli altri Ministri
interessati in relazione all'oggetto della direttiva. I
decreti legislativi sono accompagnati da una tabella di
concordanza tra le disposizioni in essi previste e quelle
della direttiva da recepire, predisposta
dall'amministrazione con competenza istituzionale
prevalente nella materia.
3. La legge di delegazione europea indica le
direttive in relazione alle quali sugli schemi dei decreti
legislativi di recepimento e' acquisito il parere delle
competenti Commissioni parlamentari della Camera dei
deputati e del Senato della Repubblica. In tal caso gli
schemi dei decreti legislativi sono trasmessi, dopo
l'acquisizione degli altri pareri previsti dalla legge,
alla Camera dei deputati e al Senato della Repubblica
affinche' su di essi sia espresso il parere delle
competenti Commissioni parlamentari. Decorsi quaranta
giorni dalla data di trasmissione, i decreti sono emanati
anche in mancanza del parere. Qualora il termine per
l'espressione del parere parlamentare di cui al presente
comma ovvero i diversi termini previsti dai commi 4 e 9
scadano nei trenta giorni che precedono la scadenza dei
termini di delega previsti ai commi 1 o 5 o
successivamente, questi ultimi sono prorogati di tre mesi.
4. Gli schemi dei decreti legislativi recanti
recepimento delle direttive che comportino conseguenze
finanziarie sono corredati della relazione tecnica di cui
all'articolo 17, comma 3, della legge 31 dicembre 2009, n.
196. Su di essi e' richiesto anche il parere delle
Commissioni parlamentari competenti per i profili
finanziari. Il Governo, ove non intenda conformarsi alle
condizioni formulate con riferimento all'esigenza di
garantire il rispetto dell'articolo 81, quarto comma, della
Costituzione, ritrasmette alle Camere i testi, corredati
dei necessari elementi integrativi d'informazione, per i
pareri definitivi delle Commissioni parlamentari competenti
per i profili finanziari, che devono essere espressi entro
venti giorni.
5. Entro ventiquattro mesi dalla data di entrata in
vigore di ciascuno dei decreti legislativi di cui al comma
1, nel rispetto dei principi e criteri direttivi fissati
dalla legge di delegazione europea, il Governo puo'
adottare, con la procedura indicata nei commi 2, 3 e 4,
disposizioni integrative e correttive dei decreti
legislativi emanati ai sensi del citato comma 1, fatto
salvo il diverso termine previsto dal comma 6.
6. Con la procedura di cui ai commi 2, 3 e 4 il
Governo puo' adottare disposizioni integrative e correttive
di decreti legislativi emanati ai sensi del comma 1, al
fine di recepire atti delegati dell'Unione europea di cui
all'articolo 290 del Trattato sul funzionamento dell'Unione
europea, che modificano o integrano direttive recepite con
tali decreti legislativi. Le disposizioni integrative e
correttive di cui al primo periodo sono adottate nel
termine di cui al comma 5 o nel diverso termine fissato
dalla legge di delegazione europea. Resta ferma la
disciplina di cui all'articolo 36 per il recepimento degli
atti delegati dell'Unione europea che recano meri
adeguamenti tecnici.
7. I decreti legislativi di recepimento delle
direttive previste dalla legge di delegazione europea,
adottati, ai sensi dell'articolo 117, quinto comma, della
Costituzione, nelle materie di competenza legislativa delle
regioni e delle province autonome, si applicano alle
condizioni e secondo le procedure di cui all'articolo 41,
comma 1.
8. I decreti legislativi adottati ai sensi
dell'articolo 33 e attinenti a materie di competenza
legislativa delle regioni e delle province autonome sono
emanati alle condizioni e secondo le procedure di cui
all'articolo 41, comma 1.
9. Il Governo, quando non intende conformarsi ai
pareri parlamentari di cui al comma 3, relativi a sanzioni
penali contenute negli schemi di decreti legislativi
recanti attuazione delle direttive, ritrasmette i testi,
con le sue osservazioni e con eventuali modificazioni, alla
Camera dei deputati e al Senato della Repubblica. Decorsi
venti giorni dalla data di ritrasmissione, i decreti sono
emanati anche in mancanza di nuovo parere.»
«Art. 32 (Principi e criteri direttivi generali di
delega per l'attuazione del diritto dell'Unione europea). -
1. Salvi gli specifici principi e criteri direttivi
stabiliti dalla legge di delegazione europea e in aggiunta
a quelli contenuti nelle direttive da attuare, i decreti
legislativi di cui all'articolo 31 sono informati ai
seguenti principi e criteri direttivi generali:
a) le amministrazioni direttamente interessate
provvedono all'attuazione dei decreti legislativi con le
ordinarie strutture amministrative, secondo il principio
della massima semplificazione dei procedimenti e delle
modalita' di organizzazione e di esercizio delle funzioni e
dei servizi;
b) ai fini di un migliore coordinamento con le
discipline vigenti per i singoli settori interessati dalla
normativa da attuare, sono introdotte le occorrenti
modificazioni alle discipline stesse, anche attraverso il
riassetto e la semplificazione normativi con l'indicazione
esplicita delle norme abrogate, fatti salvi i procedimenti
oggetto di semplificazione amministrativa ovvero le materie
oggetto di delegificazione;
c) gli atti di recepimento di direttive dell'Unione
europea non possono prevedere l'introduzione o il
mantenimento di livelli di regolazione superiori a quelli
minimi richiesti dalle direttive stesse, ai sensi
dell'articolo 14, commi 24-bis, 24-ter e 24-quater, della
legge 28 novembre 2005, n. 246 ;
d) al di fuori dei casi previsti dalle norme penali
vigenti, ove necessario per assicurare l'osservanza delle
disposizioni contenute nei decreti legislativi, sono
previste sanzioni amministrative e penali per le infrazioni
alle disposizioni dei decreti stessi. Le sanzioni penali,
nei limiti, rispettivamente, dell'ammenda fino a 150.000
euro e dell'arresto fino a tre anni, sono previste, in via
alternativa o congiunta, solo nei casi in cui le infrazioni
ledano o espongano a pericolo interessi costituzionalmente
protetti. In tali casi sono previste: la pena dell'ammenda
alternativa all'arresto per le infrazioni che espongano a
pericolo o danneggino l'interesse protetto; la pena
dell'arresto congiunta a quella dell'ammenda per le
infrazioni che rechino un danno di particolare gravita'.
Nelle predette ipotesi, in luogo dell'arresto e
dell'ammenda, possono essere previste anche le sanzioni
alternative di cui agli articoli 53 e seguenti del decreto
legislativo 28 agosto 2000, n. 274, e la relativa
competenza del giudice di pace. La sanzione amministrativa
del pagamento di una somma non inferiore a 150 euro e non
superiore a 150.000 euro e' prevista per le infrazioni che
ledono o espongono a pericolo interessi diversi da quelli
indicati dalla presente lettera. Nell'ambito dei limiti
minimi e massimi previsti, le sanzioni indicate dalla
presente lettera sono determinate nella loro entita',
tenendo conto della diversa potenzialita' lesiva
dell'interesse protetto che ciascuna infrazione presenta in
astratto, di specifiche qualita' personali del colpevole,
comprese quelle che impongono particolari doveri di
prevenzione, controllo o vigilanza, nonche' del vantaggio
patrimoniale che l'infrazione puo' recare al colpevole
ovvero alla persona o all'ente nel cui interesse egli
agisce. Ove necessario per assicurare l'osservanza delle
disposizioni contenute nei decreti legislativi, sono
previste inoltre le sanzioni amministrative accessorie
della sospensione fino a sei mesi e, nei casi piu' gravi,
della privazione definitiva di facolta' e diritti derivanti
da provvedimenti dell'amministrazione, nonche' sanzioni
penali accessorie nei limiti stabiliti dal codice penale.
Al medesimo fine e' prevista la confisca obbligatoria delle
cose che servirono o furono destinate a commettere
l'illecito amministrativo o il reato previsti dai medesimi
decreti legislativi, nel rispetto dei limiti stabiliti
dall'articolo 240, terzo e quarto comma, del codice penale
e dall'articolo 20 della legge 24 novembre 1981, n. 689, e
successive modificazioni. Entro i limiti di pena indicati
nella presente lettera sono previste sanzioni anche
accessorie identiche a quelle eventualmente gia' comminate
dalle leggi vigenti per violazioni omogenee e di pari
offensivita' rispetto alle infrazioni alle disposizioni dei
decreti legislativi. Nelle materie di cui all'articolo 117,
quarto comma, della Costituzione, le sanzioni
amministrative sono determinate dalle regioni;
e) al recepimento di direttive o all'attuazione di
altri atti dell'Unione europea che modificano precedenti
direttive o atti gia' attuati con legge o con decreto
legislativo si procede, se la modificazione non comporta
ampliamento della materia regolata, apportando le
corrispondenti modificazioni alla legge o al decreto
legislativo di attuazione della direttiva o di altro atto
modificato;
f) nella redazione dei decreti legislativi di cui
all'articolo 31 si tiene conto delle eventuali
modificazioni delle direttive dell'Unione europea comunque
intervenute fino al momento dell'esercizio della delega;
g) quando si verifichino sovrapposizioni di
competenze tra amministrazioni diverse o comunque siano
coinvolte le competenze di piu' amministrazioni statali, i
decreti legislativi individuano, attraverso le piu'
opportune forme di coordinamento, rispettando i principi di
sussidiarieta', differenziazione, adeguatezza e leale
collaborazione e le competenze delle regioni e degli altri
enti territoriali, le procedure per salvaguardare
l'unitarieta' dei processi decisionali, la trasparenza, la
celerita', l'efficacia e l'economicita' nell'azione
amministrativa e la chiara individuazione dei soggetti
responsabili;
h) qualora non siano di ostacolo i diversi termini
di recepimento, vengono attuate con un unico decreto
legislativo le direttive che riguardano le stesse materie o
che comunque comportano modifiche degli stessi atti
normativi;
i) e' assicurata la parita' di trattamento dei
cittadini italiani rispetto ai cittadini degli altri Stati
membri dell'Unione europea e non puo' essere previsto in
ogni caso un trattamento sfavorevole dei cittadini
italiani.».
- Si riporta l'articolo 5 della legge 21 febbraio 2024,
n. 15 (Delega al Governo per il recepimento delle direttive
europee e l'attuazione di altri atti dell'Unione europea -
Legge di delegazione europea 2022-2023), pubblicata nella
Gazzetta Ufficiale 24 febbraio, n. 15:
«Art. 5. (Principi e criteri direttivi per
l'esercizio della delega per il recepimento della direttiva
(UE) 2022/2557, relativa alla resilienza dei soggetti
critici e che abroga la direttiva 2008/114/CE del
Consiglio). - 1. Nell'esercizio della delega per il
recepimento della direttiva (UE) 2022/2557 del Parlamento
europeo e del Consiglio, del 14 dicembre 2022, il Governo
osserva, oltre ai principi e criteri direttivi di cui
all'articolo 32 della legge 24 dicembre 2012, n. 234, anche
i seguenti principi e criteri direttivi specifici:
a) escludere dall'ambito di applicazione delle
disposizioni di recepimento della direttiva (UE) 2022/2557
gli enti della pubblica amministrazione operanti nei
settori di cui all'articolo 1, paragrafo 6, della direttiva
medesima, compresi gli organismi di informazione per la
sicurezza ai quali si applicano le disposizioni della legge
3 agosto 2007, n. 124;
b) avvalersi della facolta' di cui all'articolo 1,
paragrafo 7, della direttiva (UE) 2022/2557 , prevedendo
che con uno o piu' decreti del Presidente del Consiglio dei
ministri, su proposta delle competenti amministrazioni di
settore, siano individuati gli specifici soggetti critici
la cui attivita' principale ricade nei settori ivi indicati
o che forniscono servizi esclusivamente agli enti della
pubblica amministrazione di cui all'articolo 1, paragrafo
6, della medesima direttiva, ai quali non si applicano, in
tutto o in parte, le disposizioni di attuazione
dell'articolo 11 e dei capi III, IV e VI della medesima
direttiva;
c) istituire o designare, ai sensi dell'articolo 9
della direttiva (UE) 2022/2557, una o piu' autorita'
competenti, con riferimento ai settori di cui all'allegato
alla medesima direttiva; in caso di istituzione o
designazione di un'unica autorita' competente, istituire o
designare presso quest'ultima un punto di contatto unico,
ai sensi dell'articolo 9, paragrafo 2, della direttiva (UE)
2022/2557;
d) istituire o designare, ai sensi dell'articolo 9,
paragrafo 2, della direttiva (UE) 2022/2557 , un punto di
contatto unico, cui sono attribuite anche le funzioni di
assicurare il collegamento con la Commissione europea e la
cooperazione con i Paesi terzi, di coordinare le attivita'
di sostegno di cui all'articolo 10 della citata direttiva
(UE) 2022/2557 , di ricevere da parte dei soggetti critici,
contestualmente alle autorita' competenti di cui alla
lettera c) del presente comma, le notifiche degli incidenti
ai sensi dell'articolo 15 della medesima direttiva (UE)
2022/2557 , di promuovere le attivita' di ricerca e
formazione in materia di resilienza delle infrastrutture
critiche, nonche' di coordinare l'attivita' delle autorita'
competenti di cui alla citata lettera c);
e) avvalersi della facolta', ai sensi dell'articolo
7, paragrafo 2, lettera a), della direttiva (UE) 2022/2557,
di individuare servizi essenziali aggiuntivi rispetto
all'elenco contenuto nell'atto delegato di cui all'articolo
5, paragrafo 1, della medesima direttiva;
f) prevedere che, ai sensi dell'articolo 7,
paragrafo 2, secondo comma, della direttiva (UE) 2022/2557,
le soglie ivi previste possano essere presentate come tali
o in forma aggregata;
g) prevedere, ai sensi dell'articolo 8 della
direttiva (UE) 2022/2557, ove necessario, misure atte a
conseguire un livello di resilienza piu' elevato per i
soggetti critici del settore bancario, del settore delle
infrastrutture dei mercati finanziari e del settore delle
infrastrutture digitali;
h) introdurre, ai sensi dell'articolo 22 della
direttiva (UE) 2022/2557, sanzioni penali e amministrative
efficaci, proporzionate e dissuasive, anche, ove
necessario, in deroga a quanto previsto dall'articolo 32,
comma 1, lettera d), della legge 24 dicembre 2012, n. 234,
e dalla legge 24 novembre 1981, n. 689, nonche' introdurre
strumenti deflativi del contenzioso, quali, in particolare,
la diffida ad adempiere;
i) prevedere che le autorita' di cui alla lettera
c) possano irrogare sanzioni amministrative ai sensi
dell'articolo 22 della direttiva (UE) 2022/2557;
l) prevedere la facolta', anche per le autorita' di
cui alla lettera c), nell'ambito delle rispettive
competenze, di adottare una disciplina secondaria, secondo
quanto previsto dalle disposizioni attuative del presente
articolo;
m) assicurare, in attuazione degli articoli 1 , 4 ,
6 , 8 , 9 , 19 e 21 della direttiva (UE) 2022/2557 , il
coordinamento tra le disposizioni adottate per il
recepimento della medesima direttiva, le disposizioni di
recepimento della direttiva (UE) 2022/2555 del Parlamento
europeo e del Consiglio, del 14 dicembre 2022 , nonche' le
disposizioni del regolamento (UE) 2022/2554 del Parlamento
europeo e del Consiglio, del 14 dicembre 2022, ivi comprese
le disposizioni nazionali di adeguamento a quest'ultimo;
n) curare il coordinamento delle disposizioni
vigenti, operando le necessarie modifiche o abrogazioni
espresse e, in particolare, modificando o abrogando
l'articolo 211-bis del decreto-legge 19 maggio 2020, n. 34,
convertito, con modificazioni, dalla legge 17 luglio 2020,
n. 77, nonche', ai sensi dell'articolo 27 della direttiva
(UE) 2022/2557, il decreto legislativo 11 aprile 2011, n.
61;
o) nell'attuazione del presente articolo, tenere
ferme le vigenti attribuzioni dell'autorita' giudiziaria
relativamente alla ricezione delle notizie di reato, del
Ministero dell'interno in materia di tutela dell'ordine e
della sicurezza pubblica e di difesa civile, del Ministero
della difesa in materia di difesa e sicurezza dello Stato,
del Dipartimento della protezione civile della Presidenza
del Consiglio dei ministri in materia di previsione,
prevenzione e mitigazione dei rischi, del Ministero delle
imprese e del made in Italy in materia di resilienza fisica
delle reti di comunicazione elettronica nonche'
dell'Agenzia per la cybersicurezza nazionale in materia di
cybersicurezza e resilienza nazionale nello spazio
cibernetico, istituendo un tavolo di coordinamento tra il
punto di contatto unico di cui alle lettere c) e d) e la
Commissione interministeriale tecnica di difesa civile in
relazione alla formulazione e attuazione degli obiettivi di
resilienza nazionale. Restano ferme le attribuzioni degli
organismi preposti alla tutela della sicurezza nazionale ai
sensi della legge 3 agosto 2007, n. 124;
p) favorire la piu' ampia tutela dei lavoratori
nello svolgimento delle attivita' ritenute critiche o
sensibili, anche prevedendo disposizioni speciali, in
raccordo con la normativa dell'Unione europea.».
- La direttiva (UE) 2022/2557 del Parlamento europeo e
del Consiglio, del 14 dicembre 2022, relativa alla
resilienza dei soggetti critici e che abroga la direttiva
2008/114/CE del Consiglio e' pubblicata nella Gazzetta
ufficiale dell'Unione europea del 27 dicembre 2022, n. L
333.
- Il regolamento (UE) 2016/679 del Parlamento europeo e
del Consiglio, del 27 aprile 2016, relativo alla protezione
delle persone fisiche con riguardo al trattamento dei dati
personali, nonche' alla libera circolazione di tali dati e
che abroga la direttiva 95/46/CE (regolamento generale
sulla protezione dei dati) e' pubblicato nella Gazzetta
ufficiale dell'Unione europea del 4 maggio 2026, n. L 119.
- Il regolamento (UE) 2022/2554 del Parlamento europeo
e del Consiglio, del 14 dicembre 2022, relativo alla
resilienza operativa digitale per il settore finanziario e
che modifica i regolamenti (CE) n. 1060/2009, (UE) n.
648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE)
2016/1011 e' pubblicato nella Gazzetta ufficiale
dell'Unione europea del 27 dicembre 2022, n. L 333.
- La direttiva (UE) 2022/2555 del Parlamento europeo e
del Consiglio, del 14 dicembre 2022, relativa a misure per
un livello comune elevato di cibersicurezza nell'Unione,
recante modifica del regolamento (UE) n. 910/2014 e della
direttiva (UE) 2018/1972 e che abroga la direttiva (UE)
2016/1148 (direttiva NIS 2) e' pubblicata nella Gazzetta
ufficiale dell'Unione europea del 27 dicembre 2022, n. L
333.
- Il regolamento delegato (UE) 2023/2450 della
Commissione, del 25 luglio 2023, che integra la direttiva
(UE) 2022/2557 del Parlamento europeo e del Consiglio
stabilendo un elenco di servizi essenziali, e' pubblicato
nella Gazzetta ufficiale dell'Unione europea del 30 ottobre
2023, serie L.
- Il decreto legislativo 30 giugno 2003, n. 196 (Codice
in materia di protezione dei dati personali, recante
disposizioni per l'adeguamento dell'ordinamento nazionale
al regolamento (UE) n. 2016/679 del Parlamento europeo e
del Consiglio, del 27 aprile 2016, relativo alla protezione
delle persone fisiche con riguardo al trattamento dei dati
personali, nonche' alla libera circolazione di tali dati e
che abroga la direttiva 95/46/CE) e' pubblicato nella
Gazzetta Ufficiale n. 174 del 29 luglio 2003, S.O. n. 123.
- Il decreto-legge 27 luglio 2005, n. 144, convertito,
con modificazioni, dalla legge 31 luglio 2005, n. 155
(Misure urgenti per il contrasto del terrorismo
internazionale) e' pubblicato nella Gazzetta Ufficiale n.
173 del 27 luglio 2005.
- La legge 3 agosto 2007, n. 124 (Sistema di
informazione per la sicurezza della Repubblica e nuova
disciplina del segreto) e' pubblicata nella Gazzetta
Ufficiale n. 187 del 13 agosto 2007.
- Il decreto legislativo 11 aprile 2011, n. 61
(Attuazione della direttiva 2008/114/CE recante
l'individuazione e la designazione delle infrastrutture
critiche europee e la valutazione della necessita' di
migliorarne la protezione), abrogato dal presente decreto,
a partire dal 18 ottobre 2024, e' pubblicato nella Gazzetta
Ufficiale n. 102 del 4 maggio 2011.
- Il decreto legislativo 23 giugno 2011, n. 118
(Disposizioni in materia di armonizzazione dei sistemi
contabili e degli schemi di bilancio delle Regioni, degli
enti locali e dei loro organismi, a norma degli articoli 1
e 2 della legge 5 maggio 2009, n. 42) e' pubblicato nella
Gazzetta Ufficiale n. 172 del 26 luglio 2011.
- Il decreto-legge 14 giugno 2021, n. 82, convertito, con
modificazioni, dalla legge 4 agosto 2021, n. 109
(Disposizioni urgenti in materia di cybersicurezza,
definizione dell'architettura nazionale di cybersicurezza e
istituzione dell'Agenzia per la cybersicurezza nazionale)
e' pubblicato nella Gazzetta Ufficiale n. 140 del 14 giugno
2021.

Note all'art. 1:
- Per la direttiva (UE) 2022/2555 del Parlamento
europeo e del Consiglio, del 14 dicembre 2022, relativa a
misure per un livello comune elevato di cibersicurezza
nell'Unione, recante modifica del regolamento (UE) n.
910/2014 e della direttiva (UE) 2018/1972 e che abroga la
direttiva (UE) 2016/1148 (direttiva NIS 2) si rinvia alle
note alle premesse.
- Il Trattato sul funzionamento dell'Unione europea e'
pubblicato nella Gazzetta ufficiale dell'Unione europea del
7 giugno 2016, n. C 202.
- Per la legge 3 agosto 2007, n. 124 (Sistema di
informazione per la sicurezza della Repubblica e nuova
disciplina del segreto) si rinvia alle note alle premesse.
- Per il decreto-legge 14 giugno 2021, n. 82,
convertito, con modificazioni, dalla legge 4 agosto 2021,
n. 109 (Disposizioni urgenti in materia di cybersicurezza,
definizione dell'architettura nazionale di cybersicurezza e
istituzione dell'Agenzia per la cybersicurezza nazionale)
si rinvia alle note alle premesse.
- Si riporta l'articolo 6 del decreto legislativo 21
novembre 2007, n. 231 (Attuazione della direttiva
2005/60/CE concernente la prevenzione dell'utilizzo del
sistema finanziario a scopo di riciclaggio dei proventi di
attivita' criminose e di finanziamento del terrorismo
nonche' della direttiva 2006/70/CE che ne reca misure di
esecuzione), pubblicato nella Gazzetta Ufficiale n. 290 del
14 dicembre 2007, S.O.:
«Art. 6. (Unita' d'informazione finanziaria). - 1.
L'Unita' di informazione finanziaria per l'Italia (UIF),
istituita presso la Banca d'Italia, e' autonoma e
operativamente indipendente. In attuazione di tale
principio, la Banca d'Italia ne disciplina con regolamento
l'organizzazione e il funzionamento, ivi compresa la
riservatezza delle informazioni acquisite, attribuendole i
mezzi finanziari e le risorse idonei ad assicurare
l'efficace perseguimento dei suoi fini istituzionali. Alla
UIF e al personale addetto si applica l'articolo 24, comma
6-bis, della legge 28 dicembre 2005, n. 262.
2. Il Direttore della UIF, al quale compete in
autonomia la responsabilita' della gestione, e' nominato
con provvedimento del Direttorio della Banca d'Italia, su
proposta del Governatore della Banca d'Italia, tra persone
dotate di adeguati requisiti di onorabilita',
professionalita' e conoscenza del sistema finanziario. Il
mandato ha la durata di cinque anni ed e' rinnovabile una
sola volta.
3. Per l'efficace svolgimento dei compiti fissati
dalla legge e dagli obblighi internazionali, presso la UIF
e' costituito un Comitato di esperti, del quale fanno parte
il Direttore e quattro membri, dotati di adeguati requisiti
di onorabilita' e professionalita'. I componenti del
Comitato sono nominati, nel rispetto del principio
dell'equilibrio di genere, con decreto del Ministro
dell'economia e delle finanze, sentito il Governatore della
Banca d'Italia, e restano in carica tre anni, rinnovabili
per altri tre. La partecipazione al Comitato non da' luogo
a compensi. Il Comitato e' convocato dal Direttore della
UIF con cadenza almeno semestrale e svolge funzioni di
consulenza e ausilio a supporto dell'azione della UIF. Il
Comitato cura, altresi', la redazione di un parere
sull'azione dell'UIF, che forma parte integrante della
documentazione trasmessa al Parlamento ai sensi del comma
8.
4. La UIF esercita le seguenti funzioni:
a) riceve le segnalazioni di operazioni sospette e
ne effettua l'analisi finanziaria;
b) analizza i flussi finanziari, al fine di
individuare e prevenire fenomeni di riciclaggio di denaro e
di finanziamento del terrorismo;
c) puo' sospendere, per un massimo di cinque giorni
lavorativi, operazioni sospette, anche su richiesta del
Nucleo speciale di polizia valutaria della Guardia di
finanza, della Direzione investigativa antimafia e
dell'autorita' giudiziaria ovvero su richiesta di un'altra
FIU, ove non ne derivi pregiudizio per il corso delle
indagini. La UIF provvede a dare immediata notizia della
sospensione all'autorita' che ne ha fatto richiesta;
d) avuto riguardo alle caratteristiche dei soggetti
obbligati, emana istruzioni, pubblicate nella Gazzetta
Ufficiale della Repubblica italiana, sui dati e le
informazioni che devono essere contenuti nelle segnalazioni
di operazioni sospette e nelle comunicazioni oggettive,
sulla relativa tempistica nonche' sulle modalita' di tutela
della riservatezza dell'identita' del segnalante;
e) al fine di agevolare l'individuazione delle
operazioni sospette, emana e aggiorna periodicamente,
previa presentazione al Comitato di sicurezza finanziaria,
indicatori di anomalia, pubblicati nella Gazzetta Ufficiale
della Repubblica italiana e in apposita sezione del proprio
sito istituzionale;
f) effettua, anche attraverso ispezioni, verifiche
al fine di accertare il rispetto delle disposizioni in
materia di prevenzione e contrasto del riciclaggio e del
finanziamento del terrorismo, con riguardo alle
segnalazioni di operazioni sospette e ai casi di omessa
segnalazione di operazioni sospette, nonche' con riguardo
alle comunicazioni alla UIF previste dal presente decreto e
ai casi di omissione delle medesime, anche avvalendosi
della collaborazione del Nucleo speciale di polizia
valutaria della Guardia di finanza;
g) in relazione ai propri compiti, accerta e
contesta ovvero trasmette alle autorita' di vigilanza di
settore le violazioni degli obblighi di cui al presente
decreto di cui viene a conoscenza nell'esercizio delle
proprie funzioni istituzionali;
h) assicura la tempestiva trasmissione alla
Direzione nazionale antimafia e antiterrorismo dei dati,
delle informazioni e delle analisi, secondo quanto
stabilito dall'articolo 8, comma 1, lettera a). Assicura,
altresi', l'effettuazione delle analisi richieste dalla
Direzione nazionale antimafia e antiterrorismo ai sensi
dell'articolo 8, comma 1, lettera d).
5. Per lo svolgimento delle proprie funzioni
istituzionali, la UIF:
a) acquisisce, anche attraverso ispezioni, dati e
informazioni presso i soggetti destinatari degli obblighi
di cui al presente decreto;
b) riceve la comunicazione dei dati statistici
aggregati da parte dei soggetti obbligati tenuti a
effettuarla e le comunicazioni cui sono tenute le Pubbliche
amministrazioni, ai sensi dell'articolo 10.
6. Per l'esercizio delle funzioni di cui ai commi 4 e
5, la UIF:
a) si avvale dei dati contenuti nell'anagrafe dei
conti e dei depositi di cui all'articolo 20, comma 4, della
legge 30 dicembre 1991, n. 413, e nell'anagrafe tributaria
di cui all'articolo 37 del decreto-legge 4 luglio 2006, n.
223, convertito, con modificazioni, dalla legge 4 agosto
2006, n. 248;
b) ha accesso ai dati e alle informazioni contenute
nell'anagrafe immobiliare integrata di cui all'articolo 19
del decreto-legge 31 maggio 2010, n. 78, convertito, con
modificazioni dalla legge 30 luglio 2010, n. 122;
c) ha accesso alle informazioni sul titolare
effettivo di persone giuridiche e trust espressi, contenute
in apposita sezione del Registro delle imprese, ai sensi
dell'articolo 21 del presente decreto.
7. Avvalendosi delle informazioni raccolte nello
svolgimento delle proprie funzioni, la UIF:
a) svolge analisi e studi su singole anomalie,
riferibili a ipotesi di riciclaggio e di finanziamento del
terrorismo su specifici settori dell'economia ritenuti a
rischio, su categorie di strumenti di pagamento e su
specifiche realta' economiche territoriali, anche sulla
base dell'analisi nazionale dei rischi elaborata dal
Comitato di sicurezza finanziaria;
b) elabora e diffonde modelli e schemi
rappresentativi di comportamenti anomali sul piano
economico e finanziario riferibili a possibili attivita' di
riciclaggio e di finanziamento del terrorismo.
8. Ai fini della presentazione al Parlamento della
relazione sullo stato dell'azione di prevenzione del
riciclaggio e del finanziamento del terrorismo, il
Direttore della UIF, entro il 30 maggio di ogni anno,
trasmette al Ministro dell'economia e delle finanze, per il
tramite del Comitato di sicurezza finanziaria, gli allegati
alla medesima relazione, di cui all'articolo 4, comma 2,
del presente decreto.».
- Per il decreto legislativo 30 giugno 2003, n. 196
(Codice in materia di protezione dei dati personali,
recante disposizioni per l'adeguamento dell'ordinamento
nazionale al regolamento (UE) n. 2016/679 del Parlamento
europeo e del Consiglio, del 27 aprile 2016, relativo alla
protezione delle persone fisiche con riguardo al
trattamento dei dati personali, nonche' alla libera
circolazione di tali dati e che abroga la direttiva
95/46/CE) si rinvia alle note alle premesse.
- Si riportano gli articoli 4, 6, 7 e 43 della legge 3
agosto 2007, n. 124 (Sistema di informazione per la
sicurezza della Repubblica e nuova disciplina del segreto),
pubblicata nella Gazzetta Ufficiale n. 187 del 13 agosto
2007:
«Art. 4. (Dipartimento delle informazioni per la
sicurezza). - 1. Per lo svolgimento dei compiti di cui al
comma 3 e' istituito, presso la Presidenza del Consiglio
dei ministri, il Dipartimento delle informazioni per la
sicurezza (DIS).
2. Il Presidente del Consiglio dei ministri e
l'Autorita' delegata, ove istituita, si avvalgono del DIS
per l'esercizio delle loro competenze, al fine di
assicurare piena unitarieta' nella programmazione della
ricerca informativa del Sistema di informazione per la
sicurezza, nonche' nelle analisi e nelle attivita'
operative dei servizi di informazione per la sicurezza.
3. Il DIS svolge i seguenti compiti:
a) coordina l'intera attivita' di informazione per
la sicurezza, verificando altresi' i risultati delle
attivita' svolte dall'AISE e dall'AISI, ferma restando la
competenza dei predetti servizi relativamente alle
attivita' di ricerca informativa e di collaborazione con i
servizi di sicurezza degli Stati esteri;
b) e' costantemente informato delle operazioni di
competenza dei servizi di informazione per la sicurezza e
trasmette al Presidente del Consiglio dei ministri le
informative e le analisi prodotte dal Sistema di
informazione per la sicurezza;
c) raccoglie le informazioni, le analisi e i
rapporti provenienti dai servizi di informazione per la
sicurezza, dalle Forze armate e di polizia, dalle
amministrazioni dello Stato e da enti di ricerca anche
privati; ferma l'esclusiva competenza dell'AISE e dell'AISI
per l'elaborazione dei rispettivi piani di ricerca
operativa, elabora analisi strategiche o relative a
particolari situazioni; formula valutazioni e previsioni,
sulla scorta dei contributi analitici settoriali dell'AISE
e dell'AISI;
d) elabora, anche sulla base delle informazioni e
dei rapporti di cui alla lettera c), analisi globali da
sottoporre al CISR, nonche' progetti di ricerca
informativa, sui quali decide il Presidente del Consiglio
dei ministri, dopo avere acquisito il parere del CISR;
d-bis) sulla base delle direttive di cui
all'articolo 1, comma 3-bis, nonche' delle informazioni e
dei rapporti di cui alla lettera c) del presente comma,
coordina le attivita' di ricerca informativa finalizzate a
rafforzare la protezione cibernetica e la sicurezza
informatica nazionali;
e) promuove e garantisce, anche attraverso riunioni
periodiche, lo scambio informativo tra l'AISE, l'AISI e le
Forze di polizia; comunica al Presidente del Consiglio dei
ministri le acquisizioni provenienti dallo scambio
informativo e i risultati delle riunioni periodiche;
f) trasmette, su disposizione del Presidente del
Consiglio dei ministri, sentito il CISR, informazioni e
analisi ad amministrazioni pubbliche o enti, anche ad
ordinamento autonomo, interessati all'acquisizione di
informazioni per la sicurezza;
g) elabora, d'intesa con l'AISE e l'AISI, il piano
di acquisizione delle risorse umane e materiali e di ogni
altra risorsa comunque strumentale all'attivita' dei
servizi di informazione per la sicurezza, da sottoporre
all'approvazione del Presidente del Consiglio dei ministri;
h) sentite l'AISE e l'AISI, elabora e sottopone
all'approvazione del Presidente del Consiglio dei ministri
lo schema del regolamento di cui all'articolo 21, comma 1;
i) esercita il controllo sull'AISE e sull'AISI,
verificando la conformita' delle attivita' di informazione
per la sicurezza alle leggi e ai regolamenti, nonche' alle
direttive e alle disposizioni del Presidente del Consiglio
dei ministri. Per tale finalita', presso il DIS e'
istituito un ufficio ispettivo le cui modalita' di
organizzazione e di funzionamento sono definite con il
regolamento di cui al comma 7. Con le modalita' previste da
tale regolamento e' approvato annualmente, previo parere
del Comitato parlamentare di cui all'articolo 30, il piano
annuale delle attivita' dell'ufficio ispettivo. L'ufficio
ispettivo, nell'ambito delle competenze definite con il
predetto regolamento, puo' svolgere, anche a richiesta del
direttore generale del DIS, autorizzato dal Presidente del
Consiglio dei ministri, inchieste interne su specifici
episodi e comportamenti verificatisi nell'ambito dei
servizi di informazione per la sicurezza;
l) assicura l'attuazione delle disposizioni
impartite dal Presidente del Consiglio dei Ministri con
apposito regolamento adottato ai sensi dell'articolo 1,
comma 2, ai fini della tutela amministrativa del segreto di
Stato e delle classifiche di segretezza, vigilando altresi'
sulla loro corretta applicazione;7
m) cura le attivita' di promozione e diffusione
della cultura della sicurezza e la comunicazione
istituzionale;
n) impartisce gli indirizzi per la gestione
unitaria del personale di cui all'articolo 21, secondo le
modalita' definite dal regolamento di cui al comma 1 del
medesimo articolo;
n-bis) gestisce unitariamente, ferme restando le
competenze operative dell'AISE e dell'AISI, gli
approvvigionamenti e i servizi logistici comuni.
4. Fermo restando quanto previsto dall'articolo
118-bis del codice di procedura penale, introdotto
dall'articolo 14 della presente legge, qualora le
informazioni richieste alle Forze di polizia, ai sensi
delle lettere c) ed e) del comma 3 del presente articolo,
siano relative a indagini di polizia giudiziaria, le
stesse, se coperte dal segreto di cui all'articolo 329 del
codice di procedura penale, possono essere acquisite solo
previo nulla osta della autorita' giudiziaria competente.
L'autorita' giudiziaria puo' trasmettere gli atti e le
informazioni anche di propria iniziativa.
5. La direzione generale del DIS e' affidata ad un
dirigente di prima fascia o equiparato dell'amministrazione
dello Stato, la cui nomina e revoca spettano in via
esclusiva al Presidente del Consiglio dei ministri, sentito
il CISR. L'incarico ha la durata massima di otto anni ed e'
conferibile, senza soluzione di continuita', anche con
provvedimenti successivi, ciascuno dei quali di durata non
superiore al quadriennio. Per quanto previsto dalla
presente legge, il direttore del DIS e' il diretto
referente del Presidente del Consiglio dei ministri e
dell'Autorita' delegata, ove istituita, salvo quanto
previsto dall'articolo 6, comma 5, e dall'articolo 7, comma
5, ed e' gerarchicamente e funzionalmente sovraordinato al
personale del DIS e degli uffici istituiti nell'ambito del
medesimo Dipartimento.
6. Il Presidente del Consiglio dei ministri, sentito
il direttore generale del DIS, nomina uno o piu' vice
direttori generali; il direttore generale affida gli altri
incarichi nell'ambito del Dipartimento, ad eccezione degli
incarichi il cui conferimento spetta al Presidente del
Consiglio dei ministri.
7. L'ordinamento e l'organizzazione del DIS e degli
uffici istituiti nell'ambito del medesimo Dipartimento sono
disciplinati con apposito regolamento.
8. Il regolamento previsto dal comma 7 definisce le
modalita' di organizzazione e di funzionamento dell'ufficio
ispettivo di cui al comma 3, lettera i), secondo i seguenti
criteri:
a) agli ispettori e' garantita piena autonomia e
indipendenza di giudizio nell'esercizio delle funzioni di
controllo;
b) salva specifica autorizzazione del Presidente
del Consiglio dei ministri o dell'Autorita' delegata, ove
istituita, i controlli non devono interferire con le
operazioni in corso;
c) sono previste per gli ispettori specifiche prove
selettive e un'adeguata formazione;
d) non e' consentito il passaggio di personale
dall'ufficio ispettivo ai servizi di informazione per la
sicurezza;
e) gli ispettori, previa autorizzazione del
Presidente del Consiglio dei ministri o dell'Autorita'
delegata, ove istituita, possono accedere a tutti gli atti
conservati presso i servizi di informazione per la
sicurezza e presso il DIS; possono altresi' acquisire,
tramite il direttore generale del DIS, altre informazioni
da enti pubblici e privati.»
«Art. 6. (Agenzia informazioni e sicurezza
esterna). - 1. E' istituita l'Agenzia informazioni e
sicurezza esterna (AISE), alla quale e' affidato il compito
di ricercare ed elaborare nei settori di competenza tutte
le informazioni utili alla difesa dell'indipendenza,
dell'integrita' e della sicurezza della Repubblica, anche
in attuazione di accordi internazionali, dalle minacce
provenienti dall'estero.
2. Spettano all'AISE inoltre le attivita' in materia
di controproliferazione concernenti i materiali strategici,
nonche' le attivita' di informazione per la sicurezza, che
si svolgono al di fuori del territorio nazionale, a
protezione degli interessi politici, militari, economici,
scientifici e industriali dell'Italia.
3. E', altresi', compito dell'AISE individuare e
contrastare al di fuori del territorio nazionale le
attivita' di spionaggio dirette contro l'Italia e le
attivita' volte a danneggiare gli interessi nazionali.
4. L'AISE puo' svolgere operazioni sul territorio
nazionale soltanto in collaborazione con l'AISI, quando
tali operazioni siano strettamente connesse ad attivita'
che la stessa AISE svolge all'estero. A tal fine il
direttore generale del DIS provvede ad assicurare le
necessarie forme di coordinamento e di raccordo
informativo, anche al fine di evitare sovrapposizioni
funzionali o territoriali.
5. L'AISE risponde al Presidente del Consiglio dei
ministri.
6. L'AISE informa tempestivamente e con continuita'
il Ministro della difesa, il Ministro degli affari esteri e
il Ministro dell'interno per i profili di rispettiva
competenza.
7. Il Presidente del Consiglio dei ministri, con
proprio decreto, nomina e revoca il direttore dell'AISE,
scelto tra dirigenti di prima fascia o equiparati
dell'amministrazione dello Stato, sentito il CISR.
L'incarico ha la durata massima di otto anni ed e'
conferibile, senza soluzione di continuita', anche con
provvedimenti successivi, ciascuno dei quali di durata non
superiore al quadriennio.15
8. Il direttore dell'AISE riferisce costantemente
sull'attivita' svolta al Presidente del Consiglio dei
ministri o all'Autorita' delegata, ove istituita, per il
tramite del direttore generale del DIS. Riferisce
direttamente al Presidente del Consiglio dei ministri in
caso di urgenza o quando altre particolari circostanze lo
richiedano, informandone senza ritardo il direttore
generale del DIS; presenta al CISR, per il tramite del
direttore generale del DIS, un rapporto annuale sul
funzionamento e sull'organizzazione dell'Agenzia.
9. Il Presidente del Consiglio dei ministri nomina e
revoca, sentito il direttore dell'AISE, uno o piu' vice
direttori. Il direttore dell'AISE affida gli altri
incarichi nell'ambito dell'Agenzia.
10. L'organizzazione e il funzionamento dell'AISE
sono disciplinati con apposito regolamento.»
«Art. 7. (Agenzia informazioni e sicurezza
interna). - 1. E' istituita l'Agenzia informazioni e
sicurezza interna (AISI), alla quale e' affidato il compito
di ricercare ed elaborare nei settori di competenza tutte
le informazioni utili a difendere, anche in attuazione di
accordi internazionali, la sicurezza interna della
Repubblica e le istituzioni democratiche poste dalla
Costituzione a suo fondamento da ogni minaccia, da ogni
attivita' eversiva e da ogni forma di aggressione criminale
o terroristica.
2. Spettano all'AISI le attivita' di informazione per
la sicurezza, che si svolgono all'interno del territorio
nazionale, a protezione degli interessi politici, militari,
economici, scientifici e industriali dell'Italia.
3. E', altresi', compito dell'AISI individuare e
contrastare all'interno del territorio nazionale le
attivita' di spionaggio dirette contro l'Italia e le
attivita' volte a danneggiare gli interessi nazionali.
4. L'AISI puo' svolgere operazioni all'estero
soltanto in collaborazione con l'AISE, quando tali
operazioni siano strettamente connesse ad attivita' che la
stessa AISI svolge all'interno del territorio nazionale. A
tal fine il direttore generale del DIS provvede ad
assicurare le necessarie forme di coordinamento e di
raccordo informativo, anche al fine di evitare
sovrapposizioni funzionali o territoriali.
5. L'AISI risponde al Presidente del Consiglio dei
ministri.
6. L'AISI informa tempestivamente e con continuita'
il Ministro dell'interno, il Ministro degli affari esteri e
il Ministro della difesa per i profili di rispettiva
competenza.
7. Il Presidente del Consiglio dei ministri nomina e
revoca, con proprio decreto, il direttore dell'AISI, scelto
tra i dirigenti di prima fascia o equiparati
dell'amministrazione dello Stato, sentito il CISR.
L'incarico ha la durata massima di otto anni ed e'
conferibile, senza soluzione di continuita', anche con
provvedimenti successivi, ciascuno dei quali di durata non
superiore al quadriennio.
8. Il direttore dell'AISI riferisce costantemente
sull'attivita' svolta al Presidente del Consiglio dei
ministri o all'Autorita' delegata, ove istituita, per il
tramite del direttore generale del DIS. Riferisce
direttamente al Presidente del Consiglio dei ministri in
caso di urgenza o quando altre particolari circostanze lo
richiedano, informandone senza ritardo il direttore
generale del DIS; presenta al CISR, per il tramite del
direttore generale del DIS, un rapporto annuale sul
funzionamento e sull'organizzazione dell'Agenzia.
9. Il Presidente del Consiglio dei ministri nomina e
revoca, sentito il direttore dell'AISI, uno o piu' vice
direttori. Il direttore dell'AISI affida gli altri
incarichi nell'ambito dell'Agenzia.
10. L'organizzazione e il funzionamento dell'AISI
sono disciplinati con apposito regolamento.»
«Art. 43. (Procedura per l'adozione dei
regolamenti). - 1. Salvo che non sia diversamente
stabilito, le disposizioni regolamentari previste dalla
presente legge sono emanate entro centottanta giorni dalla
data della sua entrata in vigore, con uno o piu' decreti
del Presidente del Consiglio dei ministri adottati anche in
deroga all'articolo 17 della legge 23 agosto 1988, n. 400,
e successive modificazioni, previo parere del Comitato
parlamentare di cui all'articolo 30 e sentito il CISR.
2. I suddetti decreti stabiliscono il regime della
loro pubblicita', anche in deroga alle norme vigenti.».

Art. 2

Definizioni

1. Ai fini del presente decreto si intende per:
a) «soggetto critico»: un soggetto pubblico o privato individuato, ai sensi dell'articolo 8, nell'ambito delle categorie di soggetti che operano nei settori e sottosettori di cui all'allegato A, che costituisce parte integrante del presente decreto;
b) «resilienza»: la capacita' di un soggetto critico di prevenire, attenuare, assorbire un incidente di cui alla lettera c), di proteggersi da esso, di rispondervi, di resistervi, di adattarvisi e di ripristinare le proprie capacita' operative;
c) «incidente»: un evento di carattere fisico che puo' perturbare in modo significativo, o che perturba, la fornitura di un servizio essenziale di cui alla lettera e);
d) «infrastruttura critica»: un elemento, un impianto, un'attrezzatura, una rete o un sistema o una parte di essi necessari per la fornitura di un servizio essenziale di cui alla lettera e);
e) «servizio essenziale»: un servizio fondamentale per il mantenimento di funzioni vitali della societa', di attivita' economiche, della salute e della sicurezza pubbliche o dell'ambiente, individuato ai sensi dell'articolo 7, commi 1 e 2;
f) «rischio»: la potenziale perdita o perturbazione causata da un incidente; il rischio e' espresso come combinazione dell'entita' di tale perdita o perturbazione e della probabilita' che si verifichi l'incidente;
g) «valutazione del rischio»: l'intero processo per la determinazione della natura e della portata di un rischio, mediante l'individuazione e l'analisi delle potenziali minacce, vulnerabilita' e pericoli che potrebbero causare un incidente, nonche' mediante la valutazione della potenziale perdita o perturbazione della fornitura di un servizio essenziale che potrebbero essere causate da tale incidente;
h) «norma»: una norma ai sensi dell'articolo 2, punto 1), del regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio, del 25 ottobre 2012;
i) «specifica tecnica»: una specifica tecnica ai sensi dell'articolo 2, punto 4), del regolamento (UE) n. 1025/2012;
l) «enti della pubblica amministrazione»: ai fini del presente decreto, un soggetto che, anche se opera in settori diversi da quelli di cui ai numeri 1, 2, 3, 4, 5, 6, 7, 8, 10 e 11, dell'allegato A al presente decreto, soddisfa i seguenti criteri:
1) e' istituito allo scopo di soddisfare esigenze di interesse generale e non ha carattere industriale o commerciale;
2) e' dotato di personalita' giuridica o autorizzato per legge ad agire per conto di un altro soggetto dotato di personalita' giuridica;
3) e' finanziato in modo maggioritario da autorita' statali o da altri organismi di diritto pubblico a livello centrale, la sua gestione e' soggetta alla vigilanza di tali autorita' o organismi, oppure e' dotato di un organo di amministrazione, di direzione o di vigilanza in cui piu' della meta' dei membri e' designata da autorita' statali o da altri organismi di diritto pubblico a livello centrale;
4) ha il potere di adottare, nei confronti di persone fisiche o giuridiche, decisioni amministrative o regolatorie che incidono sui loro diritti relativi alla circolazione transfrontaliera delle persone, delle merci, dei servizi o dei capitali.

Note all'art. 2:
- Il regolamento (UE) n. 1025/2012 del Parlamento
europeo e del Consiglio, del 25 ottobre 2012, pubblicato
nella Gazzetta Ufficiale dell'Unione europea del 14
novembre 2012, n. L 316.

Art. 3

Competenze del Presidente del Consiglio dei ministri

1. Al Presidente del Consiglio dei ministri sono attribuite in via esclusiva le seguenti competenze:
a) l'alta direzione e la responsabilita' generale delle politiche per la resilienza dei soggetti critici;
b) l'adozione della strategia nazionale per la resilienza dei soggetti critici di cui all'articolo 6, sentito il Comitato interministeriale per la resilienza di cui all'articolo 4.
2. Nell'ambito delle competenze di cui al comma 1, lettera a), e dell'attuazione della strategia di cui all'articolo 6, il Presidente del Consiglio dei ministri impartisce le direttive per la resilienza dei soggetti critici, sentito il Comitato interministeriale per la resilienza di cui all'articolo 4.
3. Il Presidente del Consiglio dei ministri puo' delegare a un Ministro senza portafoglio, ovvero a un Sottosegretario di Stato alla Presidenza del Consiglio dei ministri, le competenze in materia di resilienza dei soggetti critici ad esso attribuite, ad eccezione di quelle di cui al comma 1.
4. Il Ministro o il Sottosegretario di Stato alla Presidenza del Consiglio dei ministri con delega alla resilienza dei soggetti critici aggiorna il Presidente del Consiglio dei ministri sull'esercizio delle competenze delegate ai sensi del comma 3.

Art. 4

Comitato interministeriale per la resilienza

1. Presso la Presidenza del Consiglio dei ministri e' istituito il Comitato interministeriale per la resilienza (CIR).
2. Il CIR:
a) propone al Presidente del Consiglio dei ministri gli indirizzi generali per le politiche di resilienza dei soggetti critici;
b) esercita l'alta sorveglianza sull'attuazione della strategia nazionale per la resilienza dei soggetti critici di cui all'articolo 6;
c) promuove l'adozione di misure volte a rafforzare la resilienza dei soggetti critici e di buone pratiche, nonche' promuove iniziative per favorire, a livello nazionale e internazionale, l'efficace collaborazione e la condivisione delle informazioni e delle buone pratiche tra i soggetti istituzionali e i soggetti critici.
3. Il CIR e' presieduto dal Presidente del Consiglio dei ministri ovvero dal Ministro senza portafoglio o dal Sottosegretario di Stato alla Presidenza del Consiglio dei ministri con delega alla resilienza dei soggetti critici ed e' composto dal Ministro degli affari esteri e della cooperazione internazionale, dal Ministro dell'interno, dal Ministro della giustizia, dal Ministro della difesa, dal Ministro dell'economia e delle finanze, dal Ministro delle imprese e del made in Italy, dal Ministro dell'agricoltura, della sovranita' alimentare e delle foreste, dal Ministro dell'ambiente e della sicurezza energetica, dal Ministro delle infrastrutture e dei trasporti, dal Ministro della salute, dal Ministro per la protezione civile e le politiche del mare, dall'Autorita' delegata di cui all'articolo 3, comma 1, della legge 3 agosto 2007, n. 124, e dall'Autorita' delegata alle politiche spaziali e aerospaziali.
4. Il responsabile del punto di contatto unico di cui all'articolo 5, comma 5, svolge le funzioni di segretario del CIR.
5. Alle sedute del CIR partecipano, senza diritto di voto, il direttore generale dell'Agenzia per la cybersicurezza nazionale e, a seguito di invito del Presidente del Consiglio dei ministri, anche su loro richiesta, Ministri diversi da quelli di cui al comma 3, il capo del Dipartimento della protezione civile della Presidenza del Consiglio dei ministri e altre autorita' civili e autorita' militari la cui presenza e' necessaria in relazione all'ordine del giorno delle sedute.

Note all'art. 4:
- Si riporta l'articolo 3 della legge 3 agosto 2007, n.
124 (Sistema di informazione per la sicurezza della
Repubblica e nuova disciplina del segreto), pubblicata
nella Gazzetta Ufficiale n. 187 del 13 agosto 2007:
«Art. 3. (Autorita' delegata). - 1. Il Presidente del
Consiglio dei ministri, ove lo ritenga opportuno, puo'
delegare le funzioni che non sono ad esso attribuite in via
esclusiva soltanto ad un Ministro senza portafoglio o ad un
Sottosegretario di Stato, di seguito denominati «Autorita'
delegata».
1-bis. L'Autorita' delegata non puo' esercitare
funzioni di governo ulteriori rispetto a quelle ad essa
delegate dal Presidente del Consiglio dei Ministri a norma
della presente legge e in materia di cybersicurezza, ad
eccezione delle funzioni attribuite al Sottosegretario di
Stato alla Presidenza del Consiglio dei ministri, con
funzioni di Segretario del Consiglio medesimo.
2
3. Il Presidente del Consiglio dei ministri e'
costantemente informato dall'Autorita' delegata sulle
modalita' di esercizio delle funzioni delegate e, fermo
restando il potere di direttiva, puo' in qualsiasi momento
avocare l'esercizio di tutte o di alcune di esse.
4. In deroga a quanto previsto dal comma 1
dell'articolo 9 della legge 23 agosto 1988, n. 400, e
successive modificazioni, non e' richiesto il parere del
Consiglio dei ministri per il conferimento delle deleghe di
cui al presente articolo al Ministro senza portafoglio.»

Art. 5

Autorita' settoriali competenti
e punto di contatto unico

1. Sono designate le seguenti autorita' settoriali competenti (ASC), responsabili della corretta applicazione e dell'esecuzione delle disposizioni del presente decreto:
a) il Ministero dell'ambiente e della sicurezza energetica, per il settore dell'energia di cui al numero 1 dell'allegato A, sottosettori dell'energia elettrica, del teleriscaldamento e del teleraffrescamento, del petrolio, del gas e dell'idrogeno;
b) il Ministero delle infrastrutture e dei trasporti, per il settore dei trasporti di cui al numero 2 dell'allegato A, sottosettori del trasporto aereo, del trasporto ferroviario, del trasporto per vie d'acqua, del trasporto su strada e del trasporto pubblico, nonche' per il settore delle acque irrigue di cui al numero 12 dell'allegato A;
c) il Ministero dell'economia e delle finanze, per il settore bancario di cui al numero 3 dell'allegato A e per il settore delle infrastrutture dei mercati finanziari di cui al numero 4 dell'allegato A, in collaborazione con le autorita' di vigilanza di settore, la Banca d'Italia e la Commissione nazionale per la societa' e la borsa (Consob);
d) il Ministero della salute, direttamente o per il tramite delle proprie autorita' territoriali, e, per gli ambiti di propria competenza, l'Agenzia italiana del farmaco (AIFA), per il settore della salute di cui al numero 5 dell'allegato A;
e) il Ministero dell'ambiente e della sicurezza energetica, direttamente o per il tramite delle proprie autorita' territoriali, per il settore dell'acqua potabile di cui al numero 6 dell'allegato A, e per il settore delle acque reflue di cui al numero 7 dell'allegato A;
f) l'Agenzia per la cybersicurezza nazionale, per il settore delle infrastrutture digitali di cui al numero 8 dell'allegato A, in collaborazione con il Ministero delle imprese e del made in Italy, per le attivita' di cui agli articoli 7 e 8 del presente decreto;
g) la Presidenza del Consiglio dei ministri, per il settore dello spazio di cui al numero 10 dell'allegato A;
h) il Ministero dell'agricoltura, della sovranita' alimentare e delle foreste, per il settore della produzione, trasformazione e distribuzione di alimenti di cui al numero 11 dell'allegato A;
i) per il settore degli enti della pubblica amministrazione, di cui al numero 9 dell'allegato A, sono designate ASC le amministrazioni indicate alle lettere da a) a h) relativamente ai settori di rispettiva competenza e la Presidenza del Consiglio dei ministri per gli enti individuati con apposito decreto del Presidente del Consiglio dei ministri da adottare entro il 17 gennaio 2026.
2. Con accordo definito entro il 30 ottobre 2024 in sede di Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano, sono definite modalita' di collaborazione tra le ASC, le regioni e le province autonome interessate, quando il soggetto critico ha carattere regionale ovvero opera esclusivamente sul territorio di una regione o provincia autonoma nei settori di cui alle lettere a), b), d), e) ed h). Con il medesimo accordo, nei casi di cui al primo periodo, sono definiti altresi' criteri uniformi in ambito nazionale per lo svolgimento delle attivita' di ispezione e di verifica, per le misure previste dagli articoli 13, 14 e 16 e 20.
3. Le ASC esercitano le competenze loro attribuite dal presente decreto nel rispetto delle attribuzioni:
a) dell'autorita' giudiziaria, relativamente alle notizie di reato;
b) del Ministero dell'interno, in materia di tutela dell'ordine pubblico e della sicurezza pubblica e di difesa civile;
c) del Ministero della difesa, in materia di difesa e sicurezza dello Stato;
d) del Dipartimento della protezione civile della Presidenza del Consiglio dei ministri, in materia di previsione, prevenzione e mitigazione dei rischi e di gestione e superamento delle emergenze;
e) del Ministero delle imprese e del made in Italy, in materia di resilienza fisica delle reti di comunicazione elettronica;
f) dell'Agenzia per la cybersicurezza nazionale, in materia di cybersicurezza e resilienza di cui all'articolo 1, comma 1, lettere a) e b), del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109;
g) degli organismi preposti alla tutela della sicurezza nazionale ai sensi della legge 3 agosto 2007, n. 124.
4. Quando opportuno, le ASC, senza imposizioni o discriminazioni a favore dell'uso di un particolare tipo di tecnologia, incoraggiano l'uso di norme e specifiche tecniche europee e internazionali per le misure sulla sicurezza e sulla resilienza applicabili ai soggetti critici.
5. E' istituito nell'ambito della Presidenza del Consiglio dei ministri il punto di contatto unico in materia di resilienza dei soggetti critici (PCU). Con decreto del Presidente del Consiglio dei ministri, da adottare ai sensi dell'articolo 7 del decreto legislativo 30 luglio 1999, n. 303, e' definita l'organizzazione del PCU tenuto anche conto di quanto previsto dal comma 1, lettera g), e lettera i). Il punto di contatto e le ASC presso la Presidenza del Consiglio dei ministri sono complessivamente composti da cinque unita' di livello dirigenziale, di cui massimo una di livello dirigenziale generale, e ventisette unita' di personale non dirigenziale, con corrispondente incremento della dotazione organica. Per le finalita' cui al presente comma e' autorizzata la spesa di euro 893.205 per l'anno 2024 e di euro 3.572.820 annui a decorrere dall'anno 2025.
6. Il PCU esercita le competenze ad esso attribuite dal presente decreto e, in particolare:
a) assicura il collegamento con la Commissione europea e la cooperazione con i Paesi terzi, sentito il Ministero degli affari esteri e della cooperazione internazionale;
b) assicura il collegamento con i punti di contatto unici designati o istituiti, ai sensi della direttiva (UE) 2022/2557, da parte degli altri Stati membri;
c) assicura il collegamento tra le ASC e le autorita' competenti designate o istituite, ai sensi della direttiva (UE) 2022/2557, da parte degli altri Stati membri;
d) assicura il collegamento con il gruppo per la resilienza dei soggetti critici di cui all'articolo 19;
e) si coordina, istituendo un apposito tavolo, con la Commissione interministeriale tecnica di difesa civile di cui al decreto del Ministro dell'interno 10 gennaio 2013, con il Dipartimento della protezione civile della Presidenza del Consiglio dei ministri e con gli altri organismi nazionali competenti in materia di resilienza nazionale;
f) coordina le attivita' di sostegno di cui all'articolo 11;
g) riceve le notifiche degli incidenti ai sensi dell'articolo 16;
h) promuove le attivita' di ricerca e formazione in materia di resilienza delle infrastrutture critiche;
i) svolge funzioni di autorita' settoriale competente per il settore di cui al comma 1, lettera i), per quanto di competenza della Presidenza del Consiglio dei ministri;
l) svolge i compiti di segreteria a supporto del CIR.
7. Entro il 17 luglio 2028 e, successivamente, ogni due anni, il PCU trasmette alla Commissione europea e al gruppo per la resilienza dei soggetti critici di cui all'articolo 19 una relazione di sintesi in merito alle notifiche ricevute ai sensi dell'articolo 16, comma 1, compresi il numero di notifiche e la natura degli incidenti notificati, e alle azioni intraprese dalle ASC ai sensi dell'articolo 16, comma 6. Per la redazione di tale relazione, il PCU puo' utilizzare il modello di cui all'articolo 9, paragrafo 3, secondo comma, della direttiva (UE) 2022/2557.
8. Il PCU elabora annualmente un documento di sintesi sullo stato della resilienza dei soggetti critici e lo trasmette al Presidente del Consiglio dei ministri ovvero al Ministro o al Sottosegretario di Stato alla Presidenza del Consiglio dei ministri con delega alla resilienza dei soggetti critici per la comunicazione al CIR.
9. Il PCU e le ASC cooperano tra loro e possono cooperare con il Dipartimento della protezione civile della Presidenza del Consiglio dei ministri, il Ministero dell'interno, il Garante per la protezione dei dati personali, i soggetti critici e le parti interessate.
10. Il PCU e le ASC cooperano e scambiano informazioni con l'Agenzia nazionale per la cybersicurezza sui rischi di cybersicurezza, sulle minacce e sugli incidenti informatici e sui rischi, sulle minacce e sugli incidenti non informatici che hanno ripercussioni sui soggetti critici, anche per quanto riguarda le pertinenti misure adottate dai medesimi PCU, ASC o Agenzia nazionale per la cybersicurezza nazionale.
11. Il PCU, le ASC e l'Agenzia per la cybersicurezza nazionale cooperano e trasmettono informazioni agli organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124, su rischi, minacce e incidenti, anche di natura informatica, che hanno ripercussioni sui soggetti critici, nonche' sulle relative misure adottate dai medesimi PCU, ASC e Agenzia per la cybersicurezza nazionale.
12. Entro tre mesi dall'istituzione del PCU e dalla designazione delle ASC, la Presidenza del Consiglio dei ministri notifica alla Commissione europea l'identita' del PCU e delle ASC, i dati di contatto, le competenze e le responsabilita' previste dal presente decreto e, successivamente, notifica tempestivamente alla Commissione europea ogni modifica delle informazioni notificate in precedenza. La Presidenza del Consiglio dei ministri assicura adeguata e tempestiva pubblicita' all'identita' del PCU e delle ASC e ad ogni modifica di tale identita'.
13. Ciascuna ASC, per l'esercizio delle competenze attribuite dal presente decreto, individua, tra quelli esistenti, un ufficio dirigenziale di livello non generale, o istituisce un apposito ufficio dirigenziale non generale, composto da un dirigente di seconda fascia e da sei unita' di personale appartenente all'area funzionari del vigente contratto collettivo nazionale - Comparto funzioni centrali, o categorie equivalenti, posto alle dirette dipendenze del segretario generale o del soggetto individuato secondo i rispettivi ordinamenti, con corrispondente incremento della dotazione organica, adottando il relativo provvedimento di organizzazione con decorrenza non anteriore al 1° ottobre 2024 e dandone comunicazione al Ministero dell'economia e delle finanze - Dipartimento della Ragioneria generale dello Stato. Resta fermo per la Presidenza del Consiglio dei ministri quanto previsto dal comma 5. Il PCU e ciascuna ASC sono autorizzati a reclutare, con contratto di lavoro subordinato a tempo indeterminato, i dirigenti di cui al comma 5 e di cui al primo periodo del presente comma anche mediante i concorsi unici di cui all'articolo 19, del decreto del Presidente della Repubblica 9 maggio 1994, n. 487, o attraverso lo scorrimento di vigenti graduatorie di concorsi pubblici. Il PCU e ciascuna ASC sono autorizzati a reclutare con contratto di lavoro subordinato a tempo indeterminato il contingente di personale non dirigenziale di cui al comma 5 e di cui al primo periodo del presente comma, mediante procedure di passaggio diretto di personale tra amministrazioni pubbliche ai sensi dell'articolo 30 del decreto legislativo 30 marzo 2001, n. 165, scorrimento di vigenti graduatorie di concorsi pubblici o attraverso i concorsi unici di cui all'articolo 19, del decreto del Presidente della Repubblica 9 maggio 1994, n. 487, nonche' ad avvalersi di personale non dirigenziale posto in posizione di comando, ai sensi dell'articolo 17, comma 14, della legge 15 maggio 1997, n. 127, di aspettativa, distacco o fuori ruolo ovvero altro analogo istituto previsto dai rispettivi ordinamenti, ad esclusione del personale docente, educativo, amministrativo, tecnico e ausiliario delle istituzioni scolastiche. All'atto del collocamento fuori ruolo e' reso indisponibile, nella dotazione organica dell'amministrazione di provenienza, per tutta la durata del collocamento fuori ruolo, un numero di posti equivalente dal punto di vista finanziario. Ai fini dello svolgimento delle attivita' di collaborazione di cui al comma 1, lettera f) del presente articolo, il Ministero delle imprese e del made in Italy e' autorizzato ad assumere con contratto di lavoro subordinato a tempo indeterminato, con corrispondente incremento della dotazione organica, 2 unita' di personale appartenente all'area dei funzionari del vigente contratto collettivo nazionale - Comparto funzioni centrali, con le medesime modalita' di reclutamento previste dal presente comma. Per le finalita' di cui al presente comma e' autorizzata la spesa 1.088.968 per l'anno 2024 e di euro 3.155.871 annui a decorrere dall'anno 2025.
14. Agli oneri derivanti dai commi 5, e 13 del presente articolo, pari a euro 1.982.173 per l'anno 2024 e pari a euro 6.728.691 annui a decorrere dall'anno 2025, si provvede mediante corrispondente riduzione del Fondo per il recepimento della normativa europea di cui all'articolo 41-bis della legge 24 dicembre 2012, n. 234.
15. L'Agenzia per la Cybersicurezza Nazionale e l'Agenzia Italiana del Farmaco provvedono all'attuazione del presente articolo con le risorse umane strumentali e finanziarie disponibili a legislazione vigente.
16. Con decreto del Presidente del Consiglio dei ministri, di concerto con il Ministro dell'economia e delle finanze, le somme relative alla copertura degli oneri di funzionamento sono ripartite tra le ASC in ragione del numero dei settori, dei sottosettori e delle categorie dei potenziali soggetti critici, nonche' dei relativi elementi di complessita' tecnica.

Note all'art. 5:
- Si riporta l'articolo 1 del decreto-legge 14 giugno
2021, n. 82 (Disposizioni urgenti in materia di
cybersicurezza, definizione dell'architettura nazionale di
cybersicurezza e istituzione dell'Agenzia per la
cybersicurezza nazionale), convertito, con modificazioni,
dalla legge 4 agosto 2021, n. 109, pubblicato nella
Gazzetta Ufficiale n. 140 del 14 giugno 2021:
«Art. 1. (Definizioni). - 1. Ai fini del presente
decreto si intende per:
a) cybersicurezza, l'insieme delle attivita', fermi
restando le attribuzioni di cui alla legge 3 agosto 2007,
n. 124, e gli obblighi derivanti da trattati
internazionali, necessarie per proteggere dalle minacce
informatiche reti, sistemi informativi, servizi informatici
e comunicazioni elettroniche, assicurandone la
disponibilita', la confidenzialita' e l'integrita' e
garantendone la resilienza, anche ai fini della tutela
della sicurezza nazionale e dell'interesse nazionale nello
spazio cibernetico;
b) resilienza nazionale nello spazio cibernetico,
le attivita' volte a prevenire un pregiudizio per la
sicurezza nazionale come definito dall' articolo 1, comma
1, lettera f), del regolamento di cui al decreto del
Presidente del Consiglio dei ministri 30 luglio 2020, n.
131;
c) decreto-legge perimetro, il decreto-legge 21
settembre 2019, n. 105, convertito, con modificazioni,
dalla legge 18 novembre 2019, n. 133, recante disposizioni
urgenti in materia di perimetro di sicurezza nazionale
cibernetica e di disciplina dei poteri speciali nei settori
di rilevanza strategica;
d) decreto legislativo NIS, il decreto legislativo
18 maggio 2018, n. 65, di attuazione della direttiva (UE)
2016/1148 del Parlamento europeo e del Consiglio, del 6
luglio 2016, recante misure per un livello comune elevato
di sicurezza delle reti e dei sistemi informativi
nell'Unione;
e) strategia nazionale di cybersicurezza, la
strategia di cui all' articolo 6 del decreto legislativo
NIS.»
- Per la legge 3 agosto 2007, n. 124 (Sistema di
informazione per la sicurezza della Repubblica e nuova
disciplina del segreto) si rinvia alle note alle premesse.
- Si riporta l'articolo 7 del decreto legislativo 30
luglio 1999, n. 303 (Ordinamento della Presidenza del
Consiglio dei Ministri, a norma dell'articolo 11 della L.
15 marzo 1997, n. 59), pubblicato nella Gazz. Uff. 1
settembre 1999, n. 205, S.O.:
«Art. 7. (Autonomia organizzativa). - 1. Per lo
svolgimento delle funzioni istituzionali di cui
all'articolo 2, e per i compiti di organizzazione e
gestione delle occorrenti risorse umane e strumentali, il
Presidente individua con propri decreti le aree funzionali
omogenee da affidare alle strutture in cui si articola il
Segretariato generale.
2. Con propri decreti, il Presidente determina le
strutture della cui attivita' si avvalgono i Ministri o
Sottosegretari da lui delegati.
3. I decreti di cui ai commi 1 e 2 indicano il numero
massimo degli uffici in cui si articola ogni Dipartimento e
dei servizi in cui si articola ciascun ufficio. Alla
organizzazione interna delle strutture medesime provvedono,
nell'ambito delle rispettive competenze, il Segretario
generale ovvero il Ministro o Sottosegretario delegato.
4. Per lo svolgimento di particolari compiti per il
raggiungimento di risultati determinati o per la
realizzazione di specifici programmi, il Presidente
istituisce, con proprio decreto, apposite strutture di
missione, la cui durata temporanea, comunque non superiore
a quella del Governo che le ha istituite, e' specificata
dall'atto istitutivo. Entro trenta giorni dalla data di
entrata in vigore della presente disposizione, il
Presidente puo' ridefinire le finalita' delle strutture di
missione gia' operanti: in tale caso si applica l'articolo
18, comma 3, della legge 23 agosto 1988, n. 400, e
successive modificazioni. Sentiti il Comitato nazionale per
la bioetica e gli altri organi collegiali che operano
presso la Presidenza, il Presidente, con propri decreti, ne
disciplina le strutture di supporto.
4-bis. Per le attribuzioni che implicano l'azione
unitaria di piu' dipartimenti o uffici a questi
equiparabili, il Presidente puo' istituire con proprio
decreto apposite unita' di coordinamento
interdipartimentale, il cui responsabile e' nominato ai
sensi dell'articolo 18, comma 3, della legge 23 agosto
1988, n. 400. Dall'attuazione del presente comma non devono
in ogni caso derivare nuovi o maggiori oneri per il
bilancio dello Stato.
5. Il Segretario generale e' responsabile del
funzionamento del Segretariato generale e della gestione
delle risorse umane e strumentali della Presidenza. Il
Segretario generale puo' essere coadiuvato da uno o piu'
Vicesegretari generali. Per le strutture affidate a
Ministri o Sottosegretari, le responsabilita' di gestione
competono ai funzionari preposti alle strutture medesime,
ovvero, nelle more della preposizione, a dirigenti
temporaneamente delegati dal Segretario generale, su
indicazione del Ministro o Sottosegretario competente.
6. Le disposizioni che disciplinano i poteri e le
responsabilita' dirigenziali nelle pubbliche
amministrazioni, con particolare riferimento alla
valutazione dei risultati, si applicano alla Presidenza nei
limiti e con le modalita' da definirsi con decreto del
Presidente, sentite le organizzazioni sindacali, tenuto
conto della peculiarita' dei compiti della Presidenza. Il
Segretario generale e, per le strutture ad essi affidate, i
Ministri o Sottosegretari delegati, indicano i parametri
organizzativi e funzionali, nonche' gli obiettivi di
gestione e di risultato cui sono tenuti i dirigenti
generali preposti alle strutture individuate dal
Presidente.
7. Il Presidente, con propri decreti, individua gli
uffici di diretta collaborazione propri e, sulla base delle
relative proposte, quelli dei Ministri senza portafoglio o
sottosegretari della Presidenza, e ne determina la
composizione.
8. La razionalita' dell'ordinamento e
dell'organizzazione della Presidenza e' sottoposta a
periodica verifica triennale, anche mediante ricorso a
strutture specializzate pubbliche o private. Il Presidente
informa le Camere dei risultati della verifica. In sede di
prima applicazione del presente decreto, la verifica e'
effettuata dopo due anni.»
- La direttiva (UE) 2022/2557, del Parlamento europeo e
del Consiglio, del 14 dicembre 2022, relativa alla
resilienza dei soggetti critici e che abroga la direttiva
2008/114/CE del Consiglio, e' pubblicata nella Gazzetta
ufficiale dell'Unione europea del 27 dicembre 2022, n. L
333.
- Per il testo degli articoli 4, 6 e 7 della legge 3
agosto 2007, n. 124 si rinvia alle note all'articolo 1.
- Si riporta l'articolo 19 del decreto del Presidente
della Repubblica 9 maggio 1994, n. 487, (Regolamento
recante norme sull'accesso agli impieghi nelle pubbliche
amministrazioni e le modalita' di svolgimento dei concorsi,
dei concorsi unici e delle altre forme di assunzione nei
pubblici impieghi), pubblicato nella Gazzetta Ufficiale n.
185 del 9 agosto 1994, S.O. n. 113:
«Art. 19 (Concorsi unici per il reclutamento dei
dirigenti e delle figure professionali comuni a tutte le
amministrazioni pubbliche). - 1. Il reclutamento dei
dirigenti e delle figure professionali comuni a tutte le
amministrazioni pubbliche di cui all'articolo 35, comma 4,
secondo periodo, del decreto legislativo 30 marzo 2001, n.
165, si svolge mediante concorsi pubblici unici, nonche' ai
sensi di quanto previsto agli articoli 28 e 28-bis del
medesimo decreto legislativo, nel rispetto dei principi di
imparzialita', trasparenza e buon andamento, nonche' dei
principi selettivi, delle finalita' e delle modalita', in
quanto compatibili, di cui al capo I.
2. Con le modalita' di cui all'articolo 35, comma 4,
secondo periodo, del decreto legislativo 30 marzo 2001, n.
165, o previste dalla normativa vigente, le amministrazioni
e gli enti ivi indicati possono essere autorizzati dal
Dipartimento della funzione pubblica della Presidenza del
Consiglio dei ministri a svolgere direttamente i concorsi
pubblici per specifiche professionalita'.
3. Le regioni e gli enti locali, le istituzioni
universitarie e gli enti pubblici di ricerca possono
aderire alla ricognizione dei fabbisogni per l'indizione
dei concorsi unici di cui all'articolo 21, comma 1, e, in
caso di adesione, si obbligano ad attingere alle relative
graduatorie in caso di fabbisogno, nel rispetto dei vincoli
finanziari loro applicabili in materia di assunzioni.
4. Al fine di assicurare la massima trasparenza delle
procedure, il Dipartimento della funzione pubblica della
Presidenza del Consiglio dei ministri garantisce, mediante
il Portale, la diffusione di ogni informazione utile sullo
stato della procedura di reclutamento e selezione.
5. Per l'applicazione software dedicata allo
svolgimento delle prove concorsuali e le connesse
procedure, ivi compreso lo scioglimento dell'anonimato
anche con modalita' digitali, il Dipartimento della
funzione pubblica della Presidenza del Consiglio dei
ministri, anche per il tramite di FormezPA, puo' avvalersi
di CINECA Consorzio Interuniversitario, con oneri a carico
delle amministrazioni interessate alle procedure
concorsuali nei limiti delle risorse disponibili a
legislazione vigente.
6. La commissione esaminatrice e le sottocommissioni
possono svolgere i propri lavori in modalita' telematica,
garantendo comunque la sicurezza e la tracciabilita' delle
comunicazioni.
7. Per le procedure di cui al presente articolo, i
termini previsti dall'articolo 34-bis, commi 2 e 4, del
decreto legislativo 30 marzo 2001, n. 165, sono stabiliti,
rispettivamente, in otto e venti giorni.
8. Per lo svolgimento delle procedure dei concorsi
unici il bando di concorso puo' fissare un contributo di
ammissione per ciascun candidato non superiore a 10 euro
per i concorsi per il personale non dirigenziale e di
importo compreso tra i 10 e i 15 euro per i concorsi per il
personale dirigenziale.»
- Si riporta l'articolo 30 del decreto legislativo 30
marzo 2001, n. 165 (Norme generali sull'ordinamento del
lavoro alle dipendenze delle amministrazioni pubbliche),
pubblicato nella Gazzetta Ufficiale n. 106 del 9 maggio
2001, S.O. n. 112:
«Art. 30 (Passaggio diretto di personale tra
amministrazioni diverse). - 1. Le amministrazioni possono
ricoprire posti vacanti in organico mediante passaggio
diretto di dipendenti di cui all'articolo 2, comma 2,
appartenenti a una qualifica corrispondente e in servizio
presso altre amministrazioni, che facciano domanda di
trasferimento. E' richiesto il previo assenso
dell'amministrazione di appartenenza nel caso in cui si
tratti di posizioni dichiarate motivatamente infungibili
dall'amministrazione cedente o di personale assunto da meno
di tre anni o qualora la mobilita' determini una carenza di
organico superiore al 20 per cento nella qualifica
corrispondente a quella del richiedente. E' fatta salva la
possibilita' di differire, per motivate esigenze
organizzative, il passaggio diretto del dipendente fino ad
un massimo di sessanta giorni dalla ricezione dell'istanza
di passaggio diretto ad altra amministrazione. Le
disposizioni di cui ai periodi secondo e terzo non si
applicano al personale delle aziende e degli enti del
servizio sanitario nazionale e degli enti locali con un
numero di dipendenti a tempo indeterminato non superiore a
100, per i quali e' comunque richiesto il previo assenso
dell'amministrazione di appartenenza. Al personale della
scuola continuano ad applicarsi le disposizioni vigenti in
materia. Le amministrazioni, fissando preventivamente i
requisiti e le competenze professionali richieste,
pubblicano sul proprio sito istituzionale, per un periodo
pari almeno a trenta giorni, un bando in cui sono indicati
i posti che intendono ricoprire attraverso passaggio
diretto di personale di altre amministrazioni, con
indicazione dei requisiti da possedere. In via sperimentale
e fino all'introduzione di nuove procedure per la
determinazione dei fabbisogni standard di personale delle
amministrazioni pubbliche, per il trasferimento tra le sedi
centrali di differenti ministeri, agenzie ed enti pubblici
non economici nazionali non e' richiesto l'assenso
dell'amministrazione di appartenenza, la quale dispone il
trasferimento entro due mesi dalla richiesta
dell'amministrazione di destinazione, fatti salvi i termini
per il preavviso e a condizione che l'amministrazione di
destinazione abbia una percentuale di posti vacanti
superiore all'amministrazione di appartenenza.
1.1. Per gli enti locali con un numero di dipendenti
compreso tra 101 e 250, la percentuale di cui al comma 1 e'
stabilita al 5 per cento; per gli enti locali con un numero
di dipendenti non superiore a 500, la predetta percentuale
e' fissata al 10 per cento. La percentuale di cui al comma
1 e' da considerare all'esito della mobilita' e riferita
alla dotazione organica dell'ente.
1-bis. L'amministrazione di destinazione provvede
alla riqualificazione dei dipendenti la cui domanda di
trasferimento e' accolta, eventualmente avvalendosi, ove
sia necessario predisporre percorsi specifici o settoriali
di formazione, della Scuola nazionale dell'amministrazione.
All'attuazione del presente comma si provvede utilizzando
le risorse umane, strumentali e finanziarie disponibili a
legislazione vigente e, comunque, senza nuovi o maggiori
oneri per la finanza pubblica.
1-ter. La dipendente vittima di violenza di genere
inserita in specifici percorsi di protezione, debitamente
certificati dai servizi sociali del comune di residenza,
puo' presentare domanda di trasferimento ad altra
amministrazione pubblica ubicata in un comune diverso da
quello di residenza, previa comunicazione
all'amministrazione di appartenenza. Entro quindici giorni
dalla suddetta comunicazione l'amministrazione di
appartenenza dispone il trasferimento presso
l'amministrazione indicata dalla dipendente, ove vi siano
posti vacanti corrispondenti alla sua qualifica
professionale.
1-quater. A decorrere dal 1° luglio 2022, ai fini di
cui al comma 1 e in ogni caso di avvio di procedure di
mobilita', le amministrazioni provvedono a pubblicare il
relativo avviso in una apposita sezione del Portale unico
del reclutamento di cui all'articolo 35-ter. Il personale
interessato a partecipare alle predette procedure invia la
propria candidatura, per qualsiasi posizione disponibile,
previa registrazione nel Portale corredata del proprio
curriculum vitae esclusivamente in formato digitale. Dalla
presente disposizione non devono derivare nuovi o maggiori
oneri a carico della finanza pubblica.
1-quinquies. Per il personale non dirigenziale delle
amministrazioni di cui all'articolo 1, comma 2, delle
autorita' amministrative indipendenti e dei soggetti di cui
all'articolo 70, comma 4, i comandi o distacchi sono
consentiti esclusivamente nel limite del 25 per cento dei
posti non coperti all'esito delle procedure di mobilita' di
cui al presente articolo. La disposizione di cui al primo
periodo non si applica ai comandi o distacchi obbligatori,
previsti da disposizioni di legge, ivi inclusi quelli
relativi agli uffici di diretta collaborazione, nonche' a
quelli relativi alla partecipazione ad organi, comunque
denominati, istituiti da disposizioni legislative o
regolamentari che prevedono la partecipazione di personale
di amministrazioni diverse, nonche' ai comandi presso le
sedi territoriali dei ministeri, o presso le Unioni di
comuni per i Comuni che ne fanno parte.
2. Nell'ambito dei rapporti di lavoro di cui
all'articolo 2, comma 2, i dipendenti possono essere
trasferiti all'interno della stessa amministrazione o,
previo accordo tra le amministrazioni interessate, in altra
amministrazione, in sedi collocate nel territorio dello
stesso comune ovvero a distanza non superiore a cinquanta
chilometri dalla sede cui sono adibiti. Ai fini del
presente comma non si applica il terzo periodo del primo
comma dell'articolo 2103 del codice civile. Con decreto del
Ministro per la semplificazione e la pubblica
amministrazione, previa consultazione con le confederazioni
sindacali rappresentative e previa intesa, ove necessario,
in sede di conferenza unificata di cui all'articolo 8 del
decreto legislativo 28 agosto 1997, n. 281, possono essere
fissati criteri per realizzare i processi di cui al
presente comma, anche con passaggi diretti di personale tra
amministrazioni senza preventivo accordo, per garantire
l'esercizio delle funzioni istituzionali da parte delle
amministrazioni che presentano carenze di organico. Le
disposizioni di cui al presente comma si applicano ai
dipendenti con figli di eta' inferiore a tre anni, che
hanno diritto al congedo parentale, e ai soggetti di cui
all'articolo 33, comma 3, della legge 5 febbraio 1992, n.
104, e successive modificazioni, con il consenso degli
stessi alla prestazione della propria attivita' lavorativa
in un'altra sede.
2.1. Nei casi di cui ai commi 1 e 2 per i quali sia
necessario un trasferimento di risorse, si applica il comma
2.3.
2.2 I contratti collettivi nazionali possono
integrare le procedure e i criteri generali per
l'attuazione di quanto previsto dai commi 1 e 2. Sono nulli
gli accordi, gli atti o le clausole dei contratti
collettivi in contrasto con le disposizioni di cui ai commi
1 e 2.
2.3 Al fine di favorire i processi di cui ai commi 1
e 2, e' istituito, nello stato di previsione del Ministero
dell'economia e delle finanze, un fondo destinato al
miglioramento dell'allocazione del personale presso le
pubbliche amministrazioni, con una dotazione di 15 milioni
di euro per l'anno 2014 e di 30 milioni di euro a decorrere
dall'anno 2015, da attribuire alle amministrazioni
destinatarie dei predetti processi. Al fondo confluiscono,
altresi', le risorse corrispondenti al cinquanta per cento
del trattamento economico spettante al personale trasferito
mediante versamento all'entrata dello Stato da parte
dell'amministrazione cedente e corrispondente
riassegnazione al fondo ovvero mediante contestuale
riduzione dei trasferimenti statali all'amministrazione
cedente. I criteri di utilizzo e le modalita' di gestione
delle risorse del fondo sono stabiliti con decreto del
Presidente del Consiglio dei Ministri, di concerto con il
Ministro dell'economia e delle finanze. In sede di prima
applicazione, nell'assegnazione delle risorse vengono
prioritariamente valutate le richieste finalizzate
all'ottimale funzionamento degli uffici giudiziari che
presentino rilevanti carenze di personale e
conseguentemente alla piena applicazione della riforma
delle province di cui alla legge 7 aprile 2014, n. 56. Le
risorse sono assegnate alle amministrazioni di destinazione
sino al momento di effettiva permanenza in servizio del
personale oggetto delle procedure di cui ai commi 1 e 2.
2.4 Agli oneri derivanti dall'attuazione del comma
2.3, pari a 15 milioni di euro per l'anno 2014 e a 30
milioni di euro a decorrere dall'anno 2015, si provvede,
quanto a 6 milioni di euro per l'anno 2014 e a 9 milioni di
euro a decorrere dal 2015 mediante corrispondente riduzione
dell'autorizzazione di spesa di cui all'articolo 3, comma
97, della legge 24 dicembre 2007, n. 244, quanto a 9
milioni di euro a decorrere dal 2014 mediante
corrispondente riduzione dell'autorizzazione di spesa di
cui all'articolo 1, comma 14, del decreto-legge del 3
ottobre 2006, n. 262 convertito con modificazioni, dalla
legge 24 novembre 2006, n. 286 e quanto a 12 milioni di
euro a decorrere dal 2015 mediante corrispondente riduzione
dell'autorizzazione di spesa di cui all'articolo 1, comma
527, della legge 27 dicembre 2006, n. 296. A decorrere
dall'anno 2015, il fondo di cui al comma 2.3 puo' essere
rideterminato ai sensi dell'articolo 11, comma 3, lettera
d), della legge 31 dicembre 2009, n. 196. Il Ministro
dell'economia e delle finanze e' autorizzato ad apportare
con propri decreti le occorrenti variazioni di bilancio per
l'attuazione del presente articolo.
2-bis. Le amministrazioni, prima di procedere
all'espletamento di procedure concorsuali, finalizzate alla
copertura di posti vacanti in organico, devono attivare le
procedure di mobilita' di cui al comma 1, provvedendo, in
via prioritaria, all'immissione in ruolo dei dipendenti,
provenienti da altre amministrazioni, in posizione di
comando o di fuori ruolo, appartenenti alla stessa area
funzionale, che facciano domanda di trasferimento nei ruoli
delle amministrazioni in cui prestano servizio. Il
trasferimento e' disposto, nei limiti dei posti vacanti,
con inquadramento nell'area funzionale e posizione
economica corrispondente a quella posseduta presso le
amministrazioni di provenienza; il trasferimento puo'
essere disposto anche se la vacanza sia presente in area
diversa da quella di inquadramento assicurando la
necessaria neutralita' finanziaria.
2-ter. L'immissione in ruolo di cui al comma 2-bis,
limitatamente alla Presidenza del Consiglio dei ministri e
al Ministero degli affari esteri, in ragione della
specifica professionalita' richiesta ai propri dipendenti,
avviene previa valutazione comparativa dei titoli di
servizio e di studio, posseduti dai dipendenti comandati o
fuori ruolo al momento della presentazione della domanda di
trasferimento, nei limiti dei posti effettivamente
disponibili.
2-quater. La Presidenza del Consiglio dei ministri,
per fronteggiare le situazioni di emergenza in atto, in
ragione della specifica professionalita' richiesta ai
propri dipendenti puo' procedere alla riserva di posti da
destinare al personale assunto con ordinanza per le
esigenze della Protezione civile e del servizio civile,
nell'ambito delle procedure concorsuali di cui all'articolo
3, comma 59, della legge 24 dicembre 2003, n. 350, e
all'articolo 1, comma 95, della legge 30 dicembre 2004, n.
311".218
2-quinquies. Salvo diversa previsione, a seguito
dell'iscrizione nel ruolo dell'amministrazione di
destinazione, al dipendente trasferito per mobilita' si
applica esclusivamente il trattamento giuridico ed
economico, compreso quello accessorio, previsto nei
contratti collettivi vigenti nel comparto della stessa
amministrazione.
2-sexies. Le pubbliche amministrazioni, per motivate
esigenze organizzative, risultanti dai documenti di
programmazione previsti all'articolo 6, possono utilizzare
in assegnazione temporanea, con le modalita' previste dai
rispettivi ordinamenti, personale di altre amministrazioni
per un periodo non superiore a tre anni, fermo restando
quanto gia' previsto da norme speciali sulla materia,
nonche' il regime di spesa eventualmente previsto da tali
norme e dal presente decreto».
- Si riporta il comma 14 dell'articolo 17 della legge
15 maggio 1997, n. 127 (Misure urgenti per lo snellimento
dell'attivita' amministrativa e dei procedimenti di
decisione e di controllo), pubblicata nella Gazzetta
Ufficiale n. 127 del 17 maggio 1997, S.O. n. 113:
«14. Nel caso in cui disposizioni di legge o
regolamentari dispongano l'utilizzazione presso le
amministrazioni pubbliche di un contingente di personale in
posizione di fuori ruolo o di comando, le amministrazioni
di appartenenza sono tenute ad adottare il provvedimento di
fuori ruolo o di comando entro quindici giorni dalla
richiesta.»

Art. 6

Strategia per la resilienza dei soggetti critici

1. Il Presidente del Consiglio dei ministri, a seguito di una consultazione aperta ai portatori di interesse, sentito il CIR e tenuto conto della strategia nazionale per la cybersicurezza, adotta la strategia nazionale per la resilienza dei soggetti critici, di seguito «strategia», entro il 17 luglio 2025 e, successivamente, la aggiorna almeno ogni quattro anni.
2. La strategia mira al conseguimento e al mantenimento di un livello elevato di resilienza da parte dei soggetti critici e contiene almeno:
a) gli obiettivi strategici e le priorita' per conseguire e mantenere un livello elevato di resilienza dei soggetti critici, tenendo conto delle dipendenze e interdipendenze transfrontaliere e intersettoriali;
b) l'indicazione delle autorita' coinvolte nell'attuazione della strategia, la descrizione delle competenze, del ruolo e delle responsabilita' di tali autorita', dei soggetti critici e degli altri soggetti coinvolti nella strategia;
c) la descrizione delle misure necessarie per conseguire e mantenere un livello elevato di resilienza dei soggetti critici, che comprende una descrizione della valutazione del rischio di cui all'articolo 7;
d) la descrizione del procedimento di individuazione dei soggetti critici;
e) la descrizione delle misure per sostenere i soggetti critici ai sensi dell'articolo 11, comprese quelle per rafforzare la cooperazione tra le autorita' e gli altri soggetti coinvolti nell'attuazione della strategia;
f) un elenco delle principali autorita' e dei pertinenti portatori di interessi, diversi dai soggetti critici, coinvolti nell'attuazione della strategia;
g) un quadro strategico per il coordinamento tra le ASC e il PCU, da un lato, e l'Agenzia per la cybersicurezza nazionale di cui al decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, dall'altro, ai fini della condivisione delle informazioni sui rischi, le minacce e gli incidenti, informatici e non, nonche' ai fini dell'esercizio delle rispettive competenze;
h) la descrizione delle misure gia' in vigore, volte ad agevolare il rispetto degli obblighi di cui al capo III del presente decreto da parte delle piccole e medie imprese ai sensi della normativa di adeguamento alla raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese, individuate come soggetti critici.
3. Il PCU notifica alla Commissione europea la strategia e i suoi aggiornamenti sostanziali entro tre mesi dalla loro adozione.

Note all'art. 6:
- Per i riferimenti del decreto-legge 14 giugno 2021,
n. 82, convertito, con modificazioni, dalla legge 4 agosto
2021, n. 109 (Disposizioni urgenti in materia di
cybersicurezza, definizione dell'architettura nazionale di
cybersicurezza e istituzione dell'Agenzia per la
cybersicurezza nazionale) si rinvia alle note alle
premesse.
- La raccomandazione 2003/361/CE della Commissione, del
6 maggio 2003, relativa alla definizione delle
microimprese, piccole e medie imprese, individuate come
soggetti critici, e' pubblicata nella Gazzetta Ufficiale
dell'Unione europea 20 maggio 2003, n. L 124.

Art. 7

Valutazione del rischio da parte dello Stato

1. Il PCU, entro il 17 luglio 2025 e, successivamente, quando necessario e, in ogni caso, almeno ogni quattro anni, acquisite le valutazioni del rischio da parte delle ASC per i settori di competenza, con riferimento ai servizi essenziali individuati con regolamento delegato (UE) 2023/2450 della Commissione, del 25 luglio 2023, e con il decreto di cui al comma 2, redige la valutazione del rischio dello Stato.
2. Con decreto del Presidente del Consiglio dei ministri, su proposta del CIR, possono essere individuati eventuali servizi essenziali aggiuntivi rispetto a quelli contenuti nell'elenco di cui al regolamento delegato (UE) 2023/2450, sulla base dei seguenti criteri:
a) i servizi essenziali aggiuntivi si riferiscono ai settori e ai sottosettori di cui all'allegato A;
b) nell'individuazione di un servizio essenziale aggiuntivo si tiene conto delle interdipendenze con gli altri servizi essenziali e dei conseguenti rischi associati a un incidente;
c) nell'individuazione dei servizi essenziali aggiuntivi e' assicurato un livello di dettaglio sufficiente a determinare in modo chiaro e univoco i corrispondenti soggetti critici;
d) nell'individuazione dei servizi essenziali aggiuntivi sono evitate sovrapposizioni e ridondanze con l'elenco di cui al regolamento delegato (UE) 2023/2450.
3. Ai fini della valutazione del rischio dello Stato, le ASC e il PCU possono consultare i soggetti di cui all'articolo 5, comma 3, lettere da a) a f), i fornitori di servizi essenziali, nonche' esperti anche appartenenti a universita' o enti e istituti di ricerca.
4. La valutazione del rischio dello Stato tiene conto dei rischi rilevanti, naturali e di origine umana, ivi compresi i rischi di natura intersettoriale o transfrontaliera, gli incidenti anche diversi da quelli di cui all'articolo 16, le catastrofi naturali, le emergenze di sanita' pubblica, le minacce ibride e altre minacce antagoniste, inclusi i reati con finalita' di terrorismo anche internazionale. Ai fini dell'individuazione dei rischi di natura intersettoriale o transfrontaliera, il PCU e le ASC, sentito il Ministero degli affari esteri e della cooperazione internazionale, cooperano con le autorita' competenti designate o istituite, ai sensi della direttiva (UE) 2022/2557, da parte degli altri Stati membri e con le autorita' competenti dei Paesi terzi.
5. Ai fini della valutazione del rischio dello Stato, sono presi in considerazione almeno:
a) la valutazione generale del rischio effettuata ai sensi dell'articolo 6 della decisione n. 1313/2013/UE, del Parlamento europeo e del Consiglio, del 17 dicembre 2013;
b) altre valutazioni del rischio rilevanti, svolte ai sensi di disposizioni nazionali, diverse da quelle previste nel presente decreto, o dell'Unione europea, quali le disposizioni di cui ai decreti legislativi 23 febbraio 2010, n. 49, e 26 giugno 2015, n. 105, e ai regolamenti (UE) 2017/1938 del Parlamento europeo e del Consiglio, del 25 ottobre 2017, e (UE) 2019/941 del Parlamento europeo e del Consiglio, del 5 giugno 2019;
c) i rischi pertinenti derivanti dalla misura in cui i settori di cui all'allegato A dipendono l'uno dall'altro, e anche dalla misura in cui essi dipendono da soggetti situati in altri Stati membri dell'Unione europea e in Paesi terzi, nonche' l'impatto che una perturbazione significativa in un settore puo' avere su altri settori, compresi gli eventuali rischi significativi per i cittadini e il mercato interno;
d) le informazioni sugli incidenti notificati ai sensi dell'articolo 16.
6. Il PCU mette a disposizione dei soggetti critici gli elementi rilevanti della valutazione del rischio dello Stato. Il PCU garantisce che le informazioni fornite ai soggetti critici siano funzionali affinche' essi effettuino la propria valutazione del rischio ai sensi dell'articolo 13 e adottino le misure per garantire la propria resilienza ai sensi dell'articolo 14.
7. Il PCU trasmette alla Commissione europea le informazioni pertinenti sui tipi di rischi individuati e sui risultati della valutazione del rischio dello Stato, per settore e sottosettore di cui all'allegato A, entro tre mesi dalla sua effettuazione.

Note all'art. 7:
- Per i riferimenti del regolamento delegato (UE)
2023/2450 della Commissione, del 25 luglio 2023, si rinvia
alle note alle premesse.
- Per i riferimenti della direttiva (UE) 2022/2557 del
Parlamento europeo e del Consiglio, del 14 dicembre 2022,
relativa alla resilienza dei soggetti critici e che abroga
la direttiva 2008/114/CE del Consiglio si rinvia alle note
alle premesse.
- La decisione n. 1313/2013/UE, del Parlamento europeo
e del Consiglio, del 17 dicembre 2013, su un meccanismo
unionale di protezione civile, e' pubblicata nella Gazzetta
Ufficiale dell'Unione europea 20 maggio 2003, n. L 124.
- Il decreto legislativo 23 febbraio 2010, n. 49, e'
pubblicato nella Gazzetta Ufficiale n. 77 del 2 aprile
2010.
- Il decreto legislativo 26 giugno 2015, n. 105
(Attuazione della direttiva 2012/18/UE relativa al
controllo del pericolo di incidenti rilevanti connessi con
sostanze pericolose), e' pubblicato nella Gazzetta
Ufficiale n.161 del 14 luglio 2015, S. O. n. 38.
- Il regolamento (UE) 2017/1938 del Parlamento europeo
e del Consiglio, del 25 ottobre 2017, concernente misure
volte a garantire la sicurezza dell'approvvigionamento di
gas e che abroga il regolamento (UE) n. 994/2010, e'
pubblicato nella Gazzetta Ufficiale dell'Unione europea 28
ottobre 2017, n. L 280.
- Il regolamento (UE) 2019/941 del Parlamento europeo e
del Consiglio, del 5 giugno 2019 sulla preparazione ai
rischi nel settore dell'energia elettrica e che abroga la
direttiva 2005/89/CE, e' pubblicato nella Gazzetta
Ufficiale dell'Unione europea 14 giugno 2019, n. L 158.

Art. 8

Individuazione dei soggetti critici

1. Le ASC, con il procedimento di cui all'articolo 6, comma 2, lettera d), individuano per ciascun settore e sottosettore di cui all'allegato A i soggetti ritenuti critici entro il 17 gennaio 2026 e li comunicano al PCU.
2. In sede di individuazione dei soggetti ritenuti critici, le ASC tengono conto dei risultati della valutazione del rischio dello Stato e della strategia e applicano tutti i seguenti criteri:
a) il soggetto fornisce uno o piu' servizi essenziali;
b) il soggetto opera, e la sua infrastruttura critica e' situata, in tutto o in parte sul territorio dello Stato;
c) un incidente avrebbe effetti negativi rilevanti, ai sensi dell'articolo 9, sulla fornitura da parte del soggetto di uno o piu' servizi essenziali ovvero sulla fornitura di altri servizi essenziali che dipendono da tale o tali servizi essenziali.
3. Il PCU, tenuto conto delle comunicazioni pervenute ai sensi del comma 1, coordina le attivita' delle ASC, avviando, ove necessario, apposite interlocuzioni per garantire l'omogeneita' dei criteri applicati, nel rispetto di quanto previsto dal decreto del Presidente del Consiglio dei ministri di cui all'articolo 9, comma 2, e forma un elenco dei soggetti critici.
4. Con decreto del Presidente del Consiglio dei ministri, sentito il CIR, entro il 17 luglio 2026, e' adottato l'elenco dei soggetti critici individuati ai sensi del comma 3. Il decreto di cui al primo periodo non e' soggetto a pubblicazione ed e' escluso dall'accesso.
5. Entro trenta giorni dall'adozione dell'elenco di cui al comma 4, il PCU notifica ai soggetti che vi compaiono che i medesimi sono stati individuati come soggetti critici. Con la notifica di cui al primo periodo, il PCU informa tali soggetti critici degli obblighi di cui ai capi III e IV e del fatto che gli stessi obblighi si applicano dopo la scadenza del termine di dieci mesi dalla medesima notifica, fatto salvo quanto previsto dall'articolo 13, comma 1, e dall'articolo 17, comma 2. Il PCU informa, altresi', i soggetti critici dei settori bancario, delle infrastrutture dei mercati finanziari e delle infrastrutture digitali, di cui all'articolo 10, che essi non sono soggetti agli obblighi di cui all'articolo 12 e ai capi III e IV. La medesima notifica contiene l'indicazione dell'ASC di riferimento.
6. Il PCU, entro trenta giorni dall'adozione dell'elenco di cui al comma 4, notifica all'Agenzia per la cybersicurezza nazionale l'identita' dei soggetti critici. Tale notifica indica anche a quali soggetti critici non si applicano, ai sensi dell'articolo 10, l'articolo 12 e i capi III, IV e VI.
7. L'elenco di cui al comma 4 e' trasmesso anche agli organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124, con l'indicazione dei soggetti di cui al secondo periodo del comma 6.
8. A seguito dell'individuazione dei soggetti critici e, successivamente, quando necessario e, in ogni caso, almeno ogni quattro anni, il PCU notifica senza indebito ritardo alla Commissione europea le seguenti informazioni:
a) l'elenco dei servizi essenziali individuati con il decreto del Presidente del Consiglio dei ministri di cui all'articolo 7, comma 2;
b) il numero di soggetti critici per ciascun settore e sottosettore di cui all'allegato A e per ciascun servizio essenziale;
c) le soglie di cui all'articolo 9, comma 2, presentate come tali o in forma aggregata.
9. L'elenco dei soggetti critici di cui al comma 4 e' riesaminato e, se del caso, aggiornato, quando necessario e, in ogni caso, almeno ogni quattro anni, con le medesime modalita' di cui ai commi 1, 2, 3 e 4. Qualora tali aggiornamenti portino all'individuazione di soggetti critici ulteriori, si applicano i commi 5 e 6. Ai soggetti critici che in sede di aggiornamento non sono confermati, il PCU notifica tempestivamente tale decisione, anche informandoli che, a decorrere dalla data di ricevimento della notifica, non sono soggetti agli obblighi previsti dal presente decreto.
10. I soggetti di carattere regionale ritenuti critici sono individuati con decreto del Ministro dell'ambiente e della sicurezza energetica nel settore dell'energia di cui al numero 1 dell'allegato A, con decreto del Ministro delle infrastrutture e dei trasporti nel settore dei trasporti di cui al numero 2 dell'allegato A, con decreto del Ministro della salute nel settore della salute di cui al numero 5 dell'allegato A, con decreto del Ministro dell'ambiente e della sicurezza energetica nel settore dell'acqua potabile di cui al numero 6 dell'allegato A e nel settore delle acque reflue di cui al numero 7 dell'allegato A, con decreto del Ministro dell'agricoltura, della sovranita' alimentare e delle foreste nel settore della produzione, trasformazione e distribuzione di alimenti di cui al numero 11 dell'allegato A. I decreti di cui al primo periodo sono adottati previa intesa in sede di Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano, ai sensi dell'articolo 3 del decreto legislativo 28 agosto 1997, n. 281.

Note all'art. 8:
- Per il testo degli articoli 4, 6 e 7 della legge 3
agosto 2007, n. 124 si rinvia alle note all'articolo 1.
- Si riporta l'articolo 3 del decreto legislativo 28
agosto 1997, n. 281 (Definizione ed ampliamento delle
attribuzioni della Conferenza permanente per i rapporti tra
lo Stato, le regioni e le province autonome di Trento e
Bolzano ed unificazione, per le materie ed i compiti di
interesse comune delle regioni, delle province e dei
comuni, con la Conferenza Stato-citta' ed autonomie
locali):
«Art. 3. (Intese.). - 1. Le disposizioni del presente
articolo si applicano a tutti i procedimenti in cui la
legislazione vigente prevede un'intesa nella Conferenza
Stato-regioni.
2. Le intese si perfezionano con l'espressione
dell'assenso del Governo e dei presidenti delle regioni e
delle province autonome di Trento e di Bolzano.
3. Quando un'intesa espressamente prevista dalla
legge non e' raggiunta entro trenta giorni dalla prima
seduta della Conferenza Stato-regioni in cui l'oggetto e'
posto all'ordine del giorno, il Consiglio dei Ministri
provvede con deliberazione motivata.
4. In caso di motivata urgenza il Consiglio dei
Ministri puo' provvedere senza l'osservanza delle
disposizioni del presente articolo. I provvedimenti
adottati sono sottoposti all'esame della Conferenza
Stato-regioni nei successivi quindici giorni. Il Consiglio
dei Ministri e' tenuto ad esaminare le osservazioni della
Conferenza Stato-regioni ai fini di eventuali deliberazioni
successive.».

Art. 9

Effetti negativi rilevanti

1. Nella determinazione della rilevanza degli effetti negativi di cui all'articolo 8, comma 2, lettera c), le ASC e il PCU tengono conto dei seguenti criteri:
a) il numero di utenti che dipendono dal servizio essenziale fornito dal soggetto;
b) la misura in cui altri settori e sottosettori di cui all'allegato A dipendono dal servizio essenziale in questione;
c) l'impatto che gli incidenti potrebbero avere, in termini di entita' e di durata, sulle attivita' economiche o sociali, sull'ambiente, sulla pubblica sicurezza, sull'incolumita' pubblica o sulla salute pubblica;
d) la quota di mercato del soggetto nel mercato del servizio essenziale fornito;
e) l'area geografica, anche transfrontaliera, che potrebbe essere interessata da un incidente, tenendo conto della vulnerabilita' associata al grado di isolamento di alcuni tipi di aree geografiche, quali quelle insulari, remote o montane;
f) l'importanza del soggetto nel mantenimento di un livello sufficiente del servizio essenziale, tenendo conto della disponibilita' di strumenti alternativi per la fornitura di tale servizio essenziale.
2. Entro il 17 luglio 2025, con decreto del Presidente del Consiglio dei ministri, adottato su proposta del CIR, sono definite le soglie per l'applicazione di uno o piu' criteri di cui al comma 1, anche differenziate in ragione del settore di appartenenza.
3. Lo schema di decreto di cui al comma 2 e' trasmesso alla Camera dei deputati e al Senato della Repubblica per l'espressione del parere delle Commissioni parlamentari competenti per materia, che si pronunciano nel termine di trenta giorni, decorso il quale il decreto puo' essere comunque adottato.

Art. 10
Soggetti critici del settore bancario, delle infrastrutture dei
mercati finanziari e delle infrastrutture digitali

1. Le disposizioni di cui all'articolo 12 e ai capi III, IV e VI non si applicano ai soggetti critici dei settori di cui ai numeri 3, 4 e 8 dell'allegato A, ai quali si applica la specifica disciplina settoriale.

Art. 11

Sostegno ai soggetti critici

1. Ferme restando le disposizioni in materia di aiuti di Stato, il PCU e le ASC, anche sulla base della valutazione del rischio dello Stato, sostengono i soggetti critici nel rafforzamento della loro resilienza, attraverso attivita' di scambio con essi di buone prassi, elaborazione di modelli, linee guida e metodologie di analisi, supporto nell'organizzazione di esercitazioni volte a testare la loro resilienza, nonche' nella realizzazione di corsi di formazione per il loro personale e, ove possibile, attraverso attivita' di consulenza.
2. Il PCU e le ASC agevolano la condivisione volontaria di informazioni fra i soggetti critici in relazione alle materie disciplinate dal presente decreto, nel rispetto delle disposizioni nazionali e del diritto dell'Unione europea relative alle informazioni classificate e sensibili, alla concorrenza e alla protezione dei dati personali.
3. Il PCU convoca e coordina, con cadenza periodica almeno annuale, anche su richiesta dei componenti, una conferenza per la resilienza dei soggetti critici (CRSC) composta da un rappresentante per ciascuna delle ASC, un rappresentante del Ministero dell'interno, uno del Ministero della difesa, uno del Dipartimento della protezione civile della Presidenza del Consiglio dei ministri e uno dell'Agenzia per la cybersicurezza nazionale.
4. Alla conferenza di cui al comma 3 possono partecipare i soggetti critici appartenenti ai settori di volta in volta oggetto della medesima conferenza, rappresentati dai membri del proprio personale di cui all'articolo 14, comma 3, nonche' soggetti pubblici e privati invitati dal PCU in base all'oggetto della conferenza.
5. La CRSC tratta questioni attinenti alla resilienza dei soggetti critici, agevola la condivisione, tra i componenti, di informazioni e delle migliori prassi e formula proposte in materia di rafforzamento della resilienza dei soggetti critici.
6. Ai componenti della CRSC non spettano compensi, gettoni di presenza, rimborsi di spese o altri emolumenti comunque denominati.
7. Alle attivita' di cui al comma 1, si provvede nei limiti delle risorse destinate al funzionamento di cui all'articolo 5, comma 16, del presente decreto.

Art. 12

Cooperazione con gli Stati membri
dell'Unione europea

1. Quando opportuno, il PCU e, per il tramite di quest'ultimo, le ASC consultano i punti di contatto unici ovvero le autorita' competenti designati o istituiti da parte degli altri Stati membri, ai sensi della direttiva (UE) 2022/2557, al fine di un'applicazione coerente della medesima direttiva, in merito ai soggetti critici che:
a) utilizzano infrastrutture critiche che collegano fisicamente l'Italia e uno o piu' Stati membri;
b) fanno parte di strutture societarie collegate o associate a soggetti individuati, ai sensi della direttiva (UE) 2022/2557, come soggetti critici da parte degli altri Stati membri;
c) forniscono servizi essenziali a o in altri Stati membri.
2. Il PCU riceve le richieste di consultazione da parte degli altri Stati membri e le comunica senza ritardo alle autorita' competenti interessate.
3. Le consultazioni di cui ai commi 1 e 2 sono intese a rafforzare la resilienza dei soggetti critici e, ove possibile, a ridurre gli oneri amministrativi a loro carico.
4. All'attuazione del presente articolo le amministrazioni interessate provvedono con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente.

Note all'art. 12:
- Per i riferimenti della direttiva (UE) 2022/2557 del
Parlamento europeo e del Consiglio, del 14 dicembre 2022,
relativa alla resilienza dei soggetti critici e che abroga
la direttiva 2008/114/CE del Consiglio si rinvia alle note
alle premesse.

Art. 13

Valutazione del rischio da parte dei soggetti critici

1. Fermo restando il termine di dieci mesi di cui all'articolo 8, comma 5, i soggetti critici, al fine di valutare tutti i rischi rilevanti che potrebbero perturbare la fornitura dei loro servizi essenziali, effettuano una valutazione del rischio entro nove mesi dal ricevimento della notifica di cui al medesimo articolo 8, comma 5, e, successivamente, quando necessario e, in ogni caso, almeno ogni quattro anni, basandosi sulla valutazione del rischio dello Stato e su altre fonti di informazioni rilevanti.
2. Ai fini della valutazione del rischio di cui al comma 1, i soggetti critici individuano le proprie infrastrutture critiche ai sensi dell'articolo 2, comma 1, lettera d).
3. La valutazione del rischio dei soggetti critici tiene conto:
a) dei rischi rilevanti naturali e di origine umana che potrebbero causare un incidente, ivi compresi i rischi di natura intersettoriale o transfrontaliera, gli incidenti, le catastrofi naturali, le emergenze di sanita' pubblica, le minacce ibride e altre minacce antagoniste, inclusi i reati con finalita' di terrorismo anche internazionale;
b) della misura in cui altri settori di cui all'allegato A dipendono dal servizio essenziale fornito dal soggetto critico e della misura in cui tale soggetto critico dipende dai servizi essenziali forniti da parte di terzi in taluni altri settori, eventualmente anche in altri Stati membri e nei Paesi terzi vicini.
4. I soggetti critici possono adempiere gli obblighi di cui ai commi 1, 2 e 3 utilizzando documenti gia' predisposti ai sensi di disposizioni giuridiche pertinenti, diverse da quelle di cui al presente decreto, a condizione che tali documenti tengano conto dei rischi di cui al comma 3, lettera a), e della misura di dipendenza di cui al comma 3, lettera b).
5. Nell'esercizio delle funzioni di vigilanza di cui all'articolo 20, le ASC dichiarano se con i documenti gia' adottati di cui al comma 4 i soggetti critici hanno, in tutto o in parte, adempiuto agli obblighi di cui ai commi 1, 2 e 3.

Art. 14

Misure di resilienza dei soggetti critici

1. I soggetti critici, tenuto conto delle proprie infrastrutture critiche, individuate in base all'articolo 13, comma 2, adottano e applicano misure tecniche, di sicurezza e di organizzazione, adeguate e proporzionate, per garantire la propria resilienza, sulla base delle informazioni pertinenti fornite in merito alla valutazione del rischio dello Stato, messe a disposizione dal PCU ai sensi dell'articolo 7, comma 6, nonche' sulla base dei risultati della valutazione del rischio dei soggetti critici.
2. Le misure di cui al comma 1 includono quelle necessarie per:
a) evitare il verificarsi di incidenti, anche considerando l'adozione di misure di riduzione del rischio di catastrofi e di misure di adattamento ai cambiamenti climatici;
b) realizzare un'adeguata protezione fisica dei propri siti e delle infrastrutture critiche, anche considerando, a mero titolo esemplificativo, recinzioni, barriere, strumenti e routine di controllo del perimetro, impianti di rilevamento e controllo degli accessi;
c) contrastare e resistere alle conseguenze degli incidenti, nonche' mitigarle, anche considerando procedure e protocolli di gestione dei rischi e delle crisi, nonche' pratiche di allerta;
d) ripristinare le proprie capacita' operative in caso di incidenti, anche considerando l'adozione di misure per la continuita' operativa e per l'individuazione di catene di approvvigionamento alternative, al fine di ripristinare la fornitura del servizio essenziale;
e) garantire un'adeguata gestione della sicurezza del personale, inclusi:
1) l'individuazione di categorie di personale che svolgono funzioni critiche, ivi compreso il personale dei fornitori esterni di servizi;
2) il rilascio di autorizzazioni per l'accesso ai siti, alle infrastrutture critiche e alle informazioni sensibili;
3) le procedure per il controllo dei precedenti personali e la designazione di categorie di persone tenute a sottoporsi a tale controllo ai sensi dell'articolo 15;
4) adeguati requisiti di formazione e adeguate qualifiche;
f) informare il personale in merito ai rischi e alle misure adottate ai sensi delle lettere da a) ad e), anche considerando misure quali la realizzazione di corsi di formazione, di materiale informativo e di esercitazioni.
3. I soggetti critici si dotano di un'adeguata organizzazione interna, e designano un soggetto, da comunicare alle ASC e al PCU, al fine di assicurare l'attuazione degli adempimenti previsti dal presente decreto per i soggetti critici, nonche' il collegamento con le ASC e con il PCU.
Per le finalita' di cui al primo periodo i soggetti critici pubblici provvedono nell'ambito delle risorse umane, strumentali, finanziarie disponibili a legislazione vigente.
4. I soggetti critici predispongono e applicano un piano di resilienza in cui sono descritte le misure adottate ai sensi dei commi 1, 2 e 3. I soggetti critici aggiornano il piano di resilienza quando necessario e, in ogni caso, almeno ogni tre anni. Qualora i soggetti critici abbiano redatto documenti o adottato misure ai sensi di disposizioni giuridiche pertinenti diverse da quelle di cui al presente decreto per le misure stabilite dai commi 1, 2 e 3, essi possono utilizzare tali documenti e misure per soddisfare i requisiti stabiliti dal presente articolo.
5. Nell'esercizio delle loro funzioni di vigilanza, le ASC dichiarano se le misure e i documenti di cui al comma 4 sono conformi, in tutto o in parte, agli obblighi di cui al presente articolo.

Art. 15

Controlli dei precedenti personali

1. Anche al di fuori delle ipotesi gia' previste dal testo unico delle disposizioni legislative e regolamentari in materia di casellario giudiziale, di casellario giudiziale europeo, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, di cui al decreto del Presidente della Repubblica 14 novembre 2002, n. 313, il soggetto critico, tenendo conto della valutazione del rischio dello Stato, puo' richiedere il certificato di cui all'articolo 28-bis del medesimo testo unico di cui al decreto del Presidente della Repubblica n. 313 del 2002, per le persone:
a) che rivestono ruoli sensibili all'interno dello stesso soggetto critico o a vantaggio di quest'ultimo, con particolare riferimento ai ruoli con competenze in materia di resilienza;
b) che sono autorizzate ad accedere, direttamente o a distanza, ai siti o ai suoi sistemi informatici o di controllo;
c) candidate per l'assunzione in ruoli con caratteristiche che rientrano nelle lettere a) o b).
2. Ai fini dell'istanza di cui al comma 1, il soggetto critico trasmette alla ASC una richiesta motivata con specifico riferimento alle condizioni di cui alle lettere a), b) e c) del medesimo comma 1 e ai reati ritenuti rilevanti ai fini del ruolo da ricoprire. La ASC valuta la sussistenza delle condizioni necessarie e della motivazione e verifica che i controlli richiesti siano proporzionati e strettamente limitati a quanto necessario, anche con riferimento alla rilevanza dei reati, nonche' che siano effettuati al solo scopo di valutare un potenziale rischio per la sicurezza del soggetto critico interessato. Nel caso in cui la ASC non fornisca risposta entro dieci giorni dalla data di ricevimento della richiesta di cui al primo periodo, l'autorizzazione alla presentazione dell'istanza di cui al comma 1 si intende negata.
3. Con decreto del Presidente del Consiglio dei ministri, sentito il Garante per la protezione dei dati personali, sono individuate le modalita' ed i tempi di conservazione dei certificati del casellario giudiziale europeo nel rispetto della disciplina nazionale ed europea.
4. L'ufficio centrale di cui agli articoli 2, comma 1, lettera p), e 19 del testo unico di cui al decreto del Presidente della Repubblica n. 313 del 2002, fornisce risposte alle richieste di cui al comma 1 entro dieci giorni lavorativi dalla data di ricevimento della richiesta e tratta tali richieste nel rispetto delle disposizioni del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, del decreto legislativo 18 maggio 2018, n. 51, e del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016.

Note all'art. 15:
Si riporta il testo degli articoli 2, comma 1,
lettera p), 19 e 28-bis del testo unico delle disposizioni
legislative e regolamentari in materia di casellario
giudiziale, di casellario giudiziale europeo, di anagrafe
delle sanzioni amministrative dipendenti da reato e dei
relativi carichi pendenti, di cui al decreto del Presidente
della Repubblica 14 novembre 2002, n. 313, pubblicato nella
Gazzetta Ufficiale n. 36 del 13 febbraio 2003:
«Art. 2 (R) (Definizioni). - 1. Ai fini del presente
testo unico, se non diversamente ed espressamente indicato:
Omissis
p) "ufficio centrale" e' l'ufficio presso la
direzione generale degli affari interni del dipartimento
per gli affari di giustizia del Ministero della giustizia;
Omissis»
«Art. 19 (L-R) (Ufficio centrale) (art. 3 R.D. n.
778/1931). - 1. L'ufficio centrale svolge i seguenti
compiti:
a) raccoglie e conserva i dati immessi nel sistema
del casellario giudiziale e dei carichi pendenti, trattando
separatamente quelli delle iscrizioni relative ai
minorenni;
b) raccoglie e conserva i dati immessi
nell'anagrafe delle sanzioni amministrative dipendenti da
reato e nell'anagrafe dei carichi pendenti delle sanzioni
amministrative dipendenti da reato;
c) conserva i dati suddetti adottando le piu'
idonee modalita' tecniche al fine di consentirne
l'immediato utilizzo per la reintegrazione di quelli
eventualmente andati persi e per la compilazione dei
certificati di emergenza;
d) conserva a fini statistici, in modo anonimo, i
dati eliminati;
e) concorre ad elaborare le modalita' tecniche di
funzionamento del sistema di cui all'articolo 42, relative
all'iscrizione, eliminazione, scambio, trasmissione e
conservazione dei dati nelle procedure degli e tra gli
uffici;
f) vigila sull'attivita' degli uffici, adottando le
misure necessarie per prevenire o rimuovere eventuali
irregolarita';
g) adotta le iniziative necessarie e promuove gli
interventi opportuni per garantire il pieno svolgimento
delle funzioni del casellario giudiziale, del casellario
dei carichi pendenti, dell'anagrafe delle sanzioni
amministrative dipendenti da reato, dell'anagrafe dei
carichi pendenti delle sanzioni amministrative dipendenti
da reato.
2. L'ufficio centrale iscrive nel sistema l'estratto
ed elimina dal sistema le iscrizioni dei provvedimenti
amministrativi di espulsione e dei provvedimenti giudiziari
che decidono il ricorso avverso questi.
2-bis. L'ufficio centrale iscrive nel sistema
l'estratto delle decisioni definitive adottate dalla Corte
europea dei diritti dell'uomo nei confronti dello Stato
italiano, concernenti i provvedimenti giudiziali ed
amministrativi definitivi delle autorita' nazionali gia'
iscritti, di seguito alla preesistente iscrizione cui esse
si riferiscono, su richiesta del Dipartimento per gli
affari di giustizia del Ministero della giustizia.
2-ter. L'iscrizione puo' essere effettuata anche su
istanza del soggetto o dei soggetti interessati. In tale
caso, l'istanza e' presentata direttamente all'ufficio
centrale ovvero, qualora si tratti di decisioni della Corte
europea dei diritti dell'uomo relative a provvedimenti
giudiziari, all'ufficio iscrizione del casellario
giudiziale presso l'autorita' giudiziaria che ha emesso il
provvedimento cui la decisione si riferisce. L'ufficio
iscrizione trasmette senza indugio la richiesta all'ufficio
centrale, che provvede alla successiva iscrizione,
acquisito il parere del Dipartimento per gli affari di
giustizia del Ministero della giustizia.
3. L'ufficio centrale iscrive nel sistema l'estratto
del decreto di grazia.
4. Si applicano i commi 4, 5 e 6 dell'articolo 15.
5. L'ufficio centrale elimina dal sistema le
iscrizioni relative alle persone decorsi quindici anni
dalla morte della persona alla quale si riferiscono e,
comunque, decorsi cento anni dalla sua nascita, nonche' le
iscrizioni dei provvedimenti giudiziari relativi a minori
ai sensi dell'articolo 5, comma 4 (L).
5-bis. L'Ufficio centrale svolge, altresi', i
seguenti compiti:
a) raccoglie e conserva i dati immessi nel sistema
del casellario giudiziale europeo, ricevuti dalle autorita'
centrali degli altri Stati membri di condanna;
b) trasmette le informazioni relative alle condanne
pronunciate nel proprio territorio nei confronti di
cittadini di altro Stato membro dell'Unione europea;
c) rivolge all'autorita' centrale degli altri Stati
membri richiesta di estrazione di informazioni sulle
condanne in ordine a cittadini di tali Stati, a cittadini
di Paesi terzi, a persone di cui non e' nota la
cittadinanza e ad apolidi;
d) riceve dall'autorita' centrale degli altri Stati
membri le risposte alle richieste di estrazione di
informazioni sulle condanne da esso formulate in ordine a
cittadini di tali Stati, a cittadini di Paesi terzi, a
persone di cui non e' nota la cittadinanza e ad apolidi;
e) risponde alle richieste di informazioni sulle
condanne degli organi della giurisdizione penale italiana
relative a cittadini italiani, cittadini di Paesi terzi,
persone di cui non e' nota la cittadinanza e apolidi;
f) risponde alle richieste di informazioni sul
casellario giudiziale europeo formulate da un cittadino
italiano ovvero risponde alla richiesta di informazioni
sulle condanne presentata da un cittadino di altro Stato
membro rivolgendo istanza all'autorita' centrale dello
Stato membro di cittadinanza di quest'ultimo;
f-bis) risponde alle richieste di informazioni sul
casellario giudiziale formulate da un cittadino di Paese
terzo, da una persona di cui non e' nota la cittadinanza e
da un apolide alle condizioni e secondo le modalita'
previste dagli articoli 6 e 7 del decreto legislativo 12
maggio 2016, n. 74;
g) risponde alle richieste di informazioni sulle
condanne formulate dalle autorita' centrali di altri Stati
membri, per fini diversi da un procedimento penale.
6. L'ufficio centrale, infine, svolge le seguenti
attivita' di supporto:
a) fornisce al Ministero della giustizia i dati
relativi all'esecuzione dei provvedimenti giudiziari in
materia penale;
b) fornisce all'autorita' giudiziaria e alla
pubblica amministrazione, in modo anonimo a fini
statistici, dati in ordine all'andamento dei fenomeni
criminali, utilizzando anche le informazioni relative alle
iscrizioni eliminate, fatte salve le norme a tutela del
trattamento dei dati personali;
c) in applicazione di convenzioni internazionali o
per ragioni di reciprocita' e, in quest'ultimo caso, nei
limiti ed alle condizioni di legge, fornisce alle
competenti autorita' straniere i dati relativi a decisioni
riguardanti cittadini stranieri."
«Art. 28-bis (Certificato del casellario giudiziale
europeo richiesto dalla pubblica amministrazione). - 1. Nel
certificato del casellario giudiziale europeo richiesto
dalla pubblica amministrazione sono riportate le iscrizioni
del casellario giudiziale europeo, in ordine a un cittadino
italiano, nella misura in cui il diritto dello Stato membro
di condanna ne preveda la menzione.
1-bis. Il certificato di cui al comma 1 contiene
anche l'attestazione relativa alla sussistenza o non di
iscrizioni nel casellario giudiziale.
2. Nella risposta alla richiesta di informazioni da
parte della pubblica amministrazione in ordine ad un
cittadino di altro Stato membro sono riportate le condanne
pronunciate nello stesso e quelle da esso ricevute e
conservate, nella misura in cui il diritto dello Stato
membro di condanna ne preveda la menzione.
2-bis. Nella risposta alla richiesta di informazioni
da parte della pubblica amministrazione in ordine ad un
cittadino di Paese terzo, ad una persona di cui non e' nota
la cittadinanza e ad un apolide sono riportate le
informazioni sulle condanne acquisite alle condizioni e
secondo le modalita' previste dagli articoli 6 e 7 del
decreto legislativo 12 maggio 2016, n. 74.
3. La pubblica amministrazione di altro Stato membro
dell'Unione europea che rivolge richiesta di informazioni
all'Ufficio centrale nei confronti di un cittadino italiano
acquisisce da esso le informazioni relative alle condanne
iscritte:
a) nel casellario giudiziale;
b) nel casellario giudiziale europeo, nella misura
in cui il diritto dello Stato membro di condanna ne preveda
la menzione.
3-bis. La pubblica amministrazione di altro Stato
membro dell'Unione europea che rivolge richiesta di
informazioni all'Ufficio centrale nei confronti di un
cittadino di Paese terzo, di una persona di cui non e' nota
la cittadinanza e di un apolide cittadino italiano
acquisisce da esso le informazioni relative alle condanne
acquisite alle condizioni e secondo le modalita' previste
dagli articoli 6 e 7 del decreto legislativo 12 maggio
2016, n. 74.».
- Per i riferimenti del decreto legislativo 30 giugno
2003, n. 196 si rinvia alle note alle premesse.
- Il decreto legislativo 18 maggio 2018, n. 51
(Attuazione della direttiva (UE) 2016/680 del Parlamento
europeo e del Consiglio, del 27 aprile 2016, relativa alla
protezione delle persone fisiche con riguardo al
trattamento dei dati personali da parte delle autorita'
competenti a fini di prevenzione, indagine, accertamento e
perseguimento di reati o esecuzione di sanzioni penali,
nonche' alla libera circolazione di tali dati e che abroga
la decisione quadro 2008/977/GAI del Consiglio), e'
pubblicato nella Gazzetta Ufficiale n. 119 del 24 maggio
2018.
- Per i riferimenti del regolamento (UE) 2016/679 del
Parlamento europeo e del Consiglio, del 27 aprile 2016, si
rinvia alle note alle premesse.

Art. 16

Notifica degli incidenti

1. I soggetti critici, senza indebito ritardo, notificano all'autorita' settoriale competente e al PCU gli incidenti rilevanti, che perturbano o possono perturbare in modo significativo la fornitura di servizi essenziali.
2. Salvo che siano operativamente impossibilitati a farlo, i soggetti critici effettuano la notifica di cui al comma 1 entro ventiquattro ore dal momento in cui vengono a conoscenza dell'incidente e, ove opportuno, trasmettono una relazione dettagliata entro i successivi trenta giorni.
3. Per determinare la rilevanza dell'incidente di cui al comma 1 si tiene conto in particolare dei parametri seguenti:
a) numero e percentuale di utenti interessati;
b) durata della perturbazione;
c) area geografica interessata, considerando l'eventuale isolamento geografico di tale area.
4. Con il decreto del Presidente del Consiglio dei ministri di cui all'articolo 9, comma 2, sono individuate, su proposta delle ASC, per il tramite del PCU, soglie quantitative, per ciascuno dei parametri di cui al comma 3, con specifico riferimento ai singoli settori di cui all'allegato A. Con il medesimo decreto sono individuate, altresi', le modalita' con cui effettuare la notifica di cui al comma 2.
5. Gli incidenti che perturbano o possono perturbare in modo significativo la continuita' della fornitura dei servizi essenziali almeno a o in sei Stati membri sono notificati dalle ASC alla Commissione europea, tramite il PCU.
6. Le notifiche di cui al comma 1 includono ogni informazione utile a permettere alle ASC e al PCU di conoscere natura, causa e possibili conseguenze dell'incidente, compresa ogni informazione utile a determinare l'eventuale impatto transfrontaliero degli incidenti, nonche' ogni informazione utile a permettere alle ASC di reagire tempestivamente agli incidenti e non espongono i soggetti critici a una maggiore responsabilita'.
7. Il PCU trasmette agli organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124, gli elementi delle notifiche di cui al comma 6, relative agli incidenti di cui all'articolo 2, comma 1, lettera c), nonche' degli incidenti notificati ai sensi del comma 5.
8. Sulla base delle informazioni fornite dai soggetti critici nelle notifiche di cui al comma 1, le ASC, tramite il PCU, quando gli incidenti notificati hanno o possono avere un impatto rilevante sulla continuita' della fornitura di servizi essenziali a o in altri Stati membri, informano i punti di contatto unici designati o istituiti, ai sensi della direttiva (UE) 2022/2557, da parte di tali Stati membri.
9. Le informazioni fornite e ricevute dal PCU ai sensi del comma 7 sono trattate da quest'ultimo ai sensi delle disposizioni nazionali e del diritto dell'Unione europea, rispettandone la riservatezza e tutelando la sicurezza e gli interessi commerciali dei soggetti critici interessati.
10. Ferme restando le disposizioni a tutela delle indagini nel procedimento penale e a tutela della sicurezza delle informazioni classificate, le ASC che hanno ricevuto una notifica ai sensi del comma 1 forniscono tempestivamente al soggetto critico notificante e al PCU ogni informazione utile in merito al seguito dato alla notifica, compresa ogni informazione utile a permettere al soggetto critico un'efficace risposta all'incidente notificato.
11. Le ASC che hanno ricevuto una notifica ai sensi del comma 1 assicurano, di concerto con il PCU, adeguata pubblicita' ad ogni informazione rilevante per l'interesse pubblico relativa all'incidente notificato e al seguito dato a tale notifica.

Note all'art. 16:
- Per il testo degli articoli 4, 6 e 7 della legge 3
agosto 2007, n. 124 si rinvia alle note all'articolo 1.
- Per i riferimenti della direttiva (UE) 2022/2557, del
Parlamento europeo e del Consiglio, del 14 dicembre 2022,
relativa alla resilienza dei soggetti critici e che abroga
la direttiva 2008/114/CE del Consiglio, si rinvia alle note
alle premesse.

Art. 17

Individuazione dei soggetti critici
di particolare rilevanza europea

1. Sono soggetti critici di particolare rilevanza europea (SCRE) quelli individuati dalla Commissione europea ai sensi dell'articolo 17 della direttiva (UE) 2022/2557 e che hanno ricevuto la notifica ai sensi del paragrafo 3 del medesimo articolo 17.
2. Entro un mese dalla notifica di individuazione di cui all'articolo 8, comma 5, del presente decreto, i soggetti critici che forniscono servizi essenziali almeno a o in sei Stati membri comunicano al PCU e all'autorita' settoriale competente quali servizi essenziali forniscono a quali o in quali Stati membri.
3. Il PCU, ai fini della procedura di individuazione degli SCRE da parte della Commissione europea, notifica a quest'ultima, senza indebito ritardo, l'identita' dei soggetti critici che hanno effettuato la comunicazione di cui al comma 2, nonche' le informazioni in essa contenute.
4. Nel corso della procedura di individuazione degli SCRE di cui al comma 1, i soggetti critici che hanno effettuato la comunicazione di cui al comma 2, le ASC e il PCU, prestano ogni necessaria collaborazione alle attivita' di consultazione avviate dalla Commissione europea. Nel corso delle consultazioni, il PCU comunica alla Commissione europea se i servizi forniti nello Stato da un soggetto individuato come critico in un altro Stato membro siano ritenuti essenziali.
5. Il PCU e' l'autorita' competente a ricevere la comunicazione di cui all'articolo 17, paragrafo 3, della direttiva (UE) 2022/2557, con la quale la Commissione europea individua un soggetto critico di particolare rilevanza europea. Il PCU, senza indebito ritardo, trasmette la comunicazione di cui al primo periodo all'autorita' settoriale competente, per l'immediata notifica al soggetto critico.
6. Il presente capo si applica ai soggetti critici individuati come SCRE a decorrere dalla data di ricevimento della notifica di cui al comma 5.

Note all'art. 17:
- La direttiva (UE) 2022/2557, del Parlamento europeo e
del Consiglio, del 14 dicembre 2022, relativa alla
resilienza dei soggetti critici e che abroga la direttiva
2008/114/CE del Consiglio, e' pubblicata nella Gazzetta
ufficiale dell'Unione europea del 27 dicembre 2022, n. L
333.

Art. 18

Missioni di consulenza

1. Per valutare le misure adottate da parte di un soggetto critico individuato ai sensi dell'articolo 8, comma 4, e individuato altresi' come SCRE, ai sensi dell'articolo 17 della direttiva (UE) 2022/2557, il PCU, sentita l'autorita' settoriale competente ovvero su proposta di quest'ultima, puo' chiedere alla Commissione europea di organizzare una missione di consulenza ai sensi dell'articolo 18 della direttiva (UE) 2022/2557.
2. Il PCU, sentita l'autorita' settoriale competente, puo' accogliere la richiesta della Commissione europea di organizzare una missione di consulenza di cui al comma 1.
3. Su richiesta motivata della Commissione europea o di almeno uno Stato membro a cui o in cui sono forniti servizi essenziali da parte di un soggetto critico di cui al comma 1, il PCU, sentita l'autorita' settoriale competente, fornisce alla Commissione europea, con riferimento a tale soggetto critico:
a) le parti pertinenti della valutazione del rischio del soggetto critico;
b) un elenco delle pertinenti misure adottate dal soggetto critico ai sensi dell'articolo 14;
c) informazioni sui provvedimenti adottati ai sensi degli articoli 13, comma 4, o 14, comma 5, e sulle attivita' svolte e i provvedimenti adottati ai sensi degli articoli 20 e 21.
4. Il PCU e' l'autorita' competente a ricevere la relazione delle missioni di consulenza di cui all'articolo 18, paragrafo 4, primo comma, della direttiva (UE) 2022/2557. Il PCU, senza indebito ritardo, trasmette la relazione di cui al primo periodo all'autorita' settoriale competente.
5. Se la relazione di cui al comma 4 riguarda la valutazione delle misure adottate da un soggetto critico di particolare rilevanza europea, individuato come soggetto critico in un altro stato membro e che fornisce servizi essenziali all'Italia o in Italia, il PCU, anche su proposta delle ASC, puo' trasmettere alla Commissione europea osservazioni in merito alla relazione medesima con riferimento all'adempimento degli obblighi di cui al capo III della direttiva (UE) 2022/2557 da parte di tale soggetto critico e all'eventuale necessita' di misure per rafforzare la resilienza di quest'ultimo.
6. Il PCU e' l'autorita' competente a ricevere il parere della Commissione europea di cui all'articolo 18, paragrafo 4, terzo comma, della direttiva (UE) 2022/2557, in merito all'adempimento degli obblighi di cui al capo III della medesima direttiva (UE) 2022/2557 da parte dello SCRE e in merito alle eventuali misure da adottare per migliorarne la resilienza.
7. Il PCU, senza indebito ritardo, trasmette il parere di cui al comma 6 all'autorita' settoriale competente.
8. Se il parere di cui al comma 6 riguarda un soggetto critico individuato ai sensi dell'articolo 8, comma 4, quest'ultimo si adegua a tale parere e l'autorita' settoriale competente verifica il relativo adempimento.
9. Il PCU, sentiti l'autorita' settoriale competente e il soggetto critico interessato, fornisce alla Commissione europea e agli Stati membri ai quali o nei quali sono forniti i servizi essenziali da parte di tale soggetto informazioni in merito alle misure che sono state adottate sulla base del parere della Commissione.
10. Il PCU, sentite le ASC, propone alla Commissione europea gli esperti nazionali che partecipano alle missioni di consulenza ai sensi dell'articolo 18, paragrafo 5, della direttiva (UE) 2022/2557, in possesso, nei casi in cui sia necessario in ragione delle attivita' da svolgere, di un valido e appropriato nulla osta di sicurezza, rilasciato ai sensi dell'articolo 9 della legge 3 agosto 2007, n. 124. Tale partecipazione non deve comportare nuovi o maggiori oneri a carico della finanza pubblica.
11. Il PCU, sentita l'autorita' settoriale competente e con l'accordo del soggetto critico interessato, puo' richiedere alla Commissione europea di organizzare missioni di consulenza, conformemente alle disposizioni di cui all'articolo 18, paragrafi 6, 8 e 9, della direttiva (UE) 2022/2557, al fine di consigliare il soggetto critico riguardo all'adempimento degli obblighi di cui al capo III del presente decreto.
12. Le missioni di consulenza di cui ai commi 1 e 2, nei limiti di quanto necessario per il proprio svolgimento, hanno accesso alle informazioni, ai sistemi e agli impianti relativi alla fornitura di servizi essenziali da parte dei soggetti critici individuati come SCRE.
13. Le missioni di consulenza di cui ai commi 1 e 2 si svolgono conformemente al diritto nazionale e nel rispetto delle esigenze di sicurezza e di tutela degli interessi nazionali.
14. Il PCU, sentita l'autorita' settoriale competente, informa il gruppo per la resilienza dei soggetti critici di cui all'articolo 19 della direttiva (UE) 2022/2557 in merito ai principali risultati delle missioni di consulenza di cui ai commi 1 e 2 e alle relative conclusioni, al fine di promuovere l'apprendimento reciproco.
15. Agli oneri di missione derivanti dal presente articolo, pari a euro 14.472 per l'anno 2024 e pari a euro 57.888 annui a decorrere dall'anno 2025, si provvede mediante corrispondente riduzione del Fondo per il recepimento della normativa europea di cui all'articolo 41-bis della legge 24 dicembre 2012, n. 234.
16. Con decreto del Presidente del Consiglio dei ministri, di concerto con il Ministro dell'economia e delle finanze, le somme relative alla copertura degli oneri di missione sono ripartite tra il PCU e le ASC in ragione delle funzioni agli stessi attribuite dal presente decreto e tenendo conto, per quanto riguarda le ASC, del numero dei settori, dei sottosettori e delle categorie dei potenziali soggetti critici, nonche' dei relativi elementi di complessita' tecnica.

Note all'art. 18:
- La direttiva (UE) 2022/2557, del Parlamento europeo e
del Consiglio, del 14 dicembre 2022, relativa alla
resilienza dei soggetti critici e che abroga la direttiva
2008/114/CE del Consiglio, e' pubblicata nella Gazzetta
ufficiale dell'Unione europea del 27 dicembre 2022, n. L
333.
- Si riporta l'articolo 9 della legge 3 agosto 2007, n.
124 (Sistema di informazione per la sicurezza della
Repubblica e nuova disciplina del segreto):
«Art. 9 (Tutela amministrativa del segreto e nulla
osta di sicurezza). - 1. E' istituito nell'ambito del DIS,
ai sensi dell'articolo 4, comma 7, l'Ufficio centrale per
la segretezza (UCSe), che svolge funzioni direttive e di
coordinamento, di consulenza e di controllo
sull'applicazione delle norme di legge, dei regolamenti e
di ogni altra disposizione in ordine alla tutela
amministrativa del segreto di Stato e alle classifiche di
segretezza di cui all'articolo 42.
2. Competono all'UCSe:
a) gli adempimenti istruttori relativi
all'esercizio delle funzioni del Presidente del Consiglio
dei ministri quale Autorita' nazionale per la sicurezza, a
tutela del segreto di Stato;
b) lo studio e la predisposizione delle
disposizioni esplicative volte a garantire la sicurezza di
tutto quanto e' coperto dalle classifiche di segretezza di
cui all'articolo 42, con riferimento sia ad atti, documenti
e materiali, sia alla produzione industriale;
c) il rilascio e la revoca dei nulla osta di
sicurezza (NOS), previa acquisizione del parere dei
direttori dei servizi di informazione per la sicurezza e,
ove necessario, del Ministro della difesa e del Ministro
dell'interno;
d) la conservazione e l'aggiornamento di un elenco
completo di tutti i soggetti muniti di NOS.
3. Il NOS ha la durata di cinque anni per la
classifica di segretissimo e di dieci anni per le
classifiche segreto e riservatissimo indicate all'articolo
42, fatte salve diverse disposizioni contenute in trattati
internazionali ratificati dall'Italia. A ciascuna delle tre
classifiche di segretezza citate corrisponde un distinto
livello di NOS.
4. Il rilascio del NOS e' subordinato
all'effettuazione di un preventivo procedimento di
accertamento diretto ad escludere dalla conoscibilita' di
notizie, documenti, atti o cose classificate ogni soggetto
che non dia sicuro affidamento di scrupolosa fedelta' alle
istituzioni della Repubblica, alla Costituzione e ai suoi
valori, nonche' di rigoroso rispetto del segreto.
5. Al fine di consentire l'accertamento di cui al
comma 4, le Forze armate, le Forze di polizia, le pubbliche
amministrazioni e i soggetti erogatori dei servizi di
pubblica utilita' collaborano con l'UCSe per l'acquisizione
di informazioni necessarie al rilascio dei NOS, ai sensi
degli articoli 12 e 13.
6. Prima della scadenza del termine di cui al comma
3, l'UCSe puo' revocare il NOS se, sulla base di
segnalazioni e di accertamenti nuovi, emergono motivi di
inaffidabilita' a carico del soggetto interessato.
7. Il regolamento di cui all'articolo 4, comma 7,
disciplina il procedimento di accertamento preventivo di
cui al comma 4 del presente articolo, finalizzato al
rilascio del NOS, nonche' gli ulteriori possibili
accertamenti di cui al comma 6, in modo tale da
salvaguardare i diritti dei soggetti interessati.
8. I soggetti interessati devono essere informati
della necessita' dell'accertamento nei loro confronti e,
con esclusione del personale per il quale il rilascio
costituisce condizione necessaria per l'espletamento del
servizio istituzionale nel territorio nazionale e
all'estero, possono rifiutarlo, rinunciando al NOS e
all'esercizio delle funzioni per le quali esso e'
richiesto.
9. Agli appalti di lavori e alle forniture di beni e
servizi, per i quali la tutela del segreto sia richiesta da
norme di legge o di regolamento ovvero sia ritenuta di
volta in volta necessaria, si applicano le disposizioni di
cui all'articolo 17, comma 3, del codice dei contratti
pubblici relativi a lavori, servizi e forniture, di cui al
decreto legislativo 12 aprile 2006, n. 163.
10. Il soggetto appaltante i lavori e le forniture di
cui al comma 9, quando lo ritiene necessario, richiede,
tramite l'UCSe, al Presidente del Consiglio dei ministri
l'autorizzazione alla segretazione, indicandone i motivi.
Contestualmente all'autorizzazione, l'UCSe trasmette al
soggetto appaltante l'elenco delle ditte individuali e
delle imprese munite di NOS.
11. Il dirigente preposto all'UCSe e' nominato e
revocato dal Presidente del Consiglio dei ministri, su
proposta dell'Autorita' delegata, ove istituita, sentito il
direttore generale del DIS. Il dirigente presenta
annualmente al direttore generale del DIS, che informa il
Presidente del Consiglio dei ministri, una relazione
sull'attivita' svolta e sui problemi affrontati, nonche'
sulla rispondenza dell'organizzazione e delle procedure
adottate dall'Ufficio ai compiti assegnati e sulle misure
da adottare per garantirne la correttezza e l'efficienza.
La relazione e' portata a conoscenza del CISR.».

Art. 19

Gruppo per la resilienza dei soggetti critici

1. Il PCU partecipa alle attivita' del gruppo per la resilienza dei soggetti critici di cui all'articolo 19 della direttiva (UE) 2022/2557. Il personale del PCU designato a partecipare al gruppo di cui al primo periodo e' in possesso, se necessario, del nulla osta di sicurezza, rilasciato ai sensi dell'articolo 9 della legge 3 agosto 2007, n. 124.

Note all'art. 19:
- Per i riferimenti della direttiva (UE) 2022/2557 del
Parlamento europeo e del Consiglio, del 14 dicembre 2022,
relativa alla resilienza dei soggetti critici e che abroga
la direttiva 2008/114/CE del Consiglio si rinvia alle note
all'articolo 18.

Art. 20

Vigilanza ed esecuzione

1. Fatte salve le attribuzioni e le competenze degli organi preposti alla tutela dell'ordine e della sicurezza pubblica, le ASC vigilano sul rispetto degli obblighi previsti in capo ai soggetti critici dal presente decreto. A tal fine, le ASC, tenendo informato il PCU, esercitano i poteri previsti dal presente decreto, ivi inclusi, di propria iniziativa o su proposta del PCU, i seguenti poteri:
a) effettuare ispezioni dell'infrastruttura critica e dei siti utilizzati dai soggetti critici per fornire i loro servizi essenziali e richiedere informazioni, documenti e ogni altro elemento utile a valutare le misure adottate dai soggetti critici conformemente all'articolo 14;
b) svolgere o disporre controlli nei confronti dei soggetti critici.
2. Le ASC, se necessario per esercitare le competenze ad esse attribuite dal presente decreto, possono chiedere in forma scritta ai soggetti critici individuati ai sensi dell'articolo 8, comma 4, di fornire, entro un termine ragionevole, da indicare nella richiesta:
a) le informazioni necessarie per valutare se le misure adottate da tali soggetti per garantire la loro resilienza soddisfano i requisiti di cui all'articolo 14;
b) la prova dell'effettiva attuazione delle misure di cui alla lettera a), inclusi i risultati di un controllo svolto a spese di tali soggetti critici da parte di un revisore indipendente e qualificato, dagli stessi selezionato.
3. Le richieste di cui al comma 2 indicano il proprio scopo e specificano il tipo di informazioni da fornire.
4. Fatto salvo il potere sanzionatorio di cui all'articolo 21, le ASC, quando a seguito dell'esercizio dei poteri di vigilanza di cui al comma 1 e della valutazione degli elementi richiesti ai sensi del comma 2, accertano la violazione degli obblighi imposti dal presente decreto, diffidano i soggetti critici cui la violazione si riferisce ad adottare, entro un termine ragionevole, da indicare nella diffida, le misure, necessarie e proporzionate, per sanare la violazione, nonche' a fornire le informazioni sulle misure adottate.
5. Le diffide di cui al comma 4 tengono conto della gravita' della violazione.
6. I poteri di cui ai commi 1, 2 e 4 sono esercitati in modo oggettivo, trasparente, proporzionato e tale da tutelare i segreti commerciali e aziendali dei soggetti critici, nonche' i loro diritti e interessi legittimi, inclusi il diritto al contraddittorio, i diritti della difesa, tra cui quello di produrre documenti e di formulare osservazioni, e il diritto a un ricorso effettivo dinanzi a un giudice indipendente.
7. Quando le ASC esercitano i poteri di cui ai commi 1 e 2 nei confronti dei soggetti critici:
a) informano l'Agenzia per la cybersicurezza nazionale e il PCU;
b) possono chiedere all'Agenzia per la cybersicurezza nazionale di esercitare, nei confronti di tali soggetti critici, i poteri di vigilanza e di esecuzione previsti in capo a quest'ultima dalle disposizioni nazionali di attuazione della direttiva (UE) 2022/2555.
8. Al fine di quanto previsto dal comma 7, le ASC, informato il PCU, cooperano e scambiano informazioni con l'Agenzia per la cybersicurezza nazionale.

Note all'art. 20:
- Per i riferimenti della direttiva (UE) 2022/2555 del
Parlamento europeo e del Consiglio, del 14 dicembre 2022,
relativa a misure per un livello comune elevato di
cibersicurezza nell'Unione, recante modifica del
regolamento (UE) n. 910/2014 e della direttiva (UE)
2018/1972 e che abroga la direttiva (UE) 2016/1148
(direttiva NIS 2) si rinvia alle note alle premesse.

Art. 21

Sanzioni

1. Le ASC, per i rispettivi settori e sottosettori di riferimento di cui all'allegato A, sono competenti per l'accertamento delle violazioni delle disposizioni di cui al presente decreto da parte di un soggetto critico e per l'irrogazione delle sanzioni amministrative previste dal presente articolo.
2. Salvo che il fatto costituisca reato, le ASC applicano una sanzione amministrativa pecuniaria, da 25.000 euro a 125.000 euro, nei confronti del soggetto critico che pone in essere una delle seguenti violazioni:
a) non effettua la valutazione del rischio dei soggetti critici di cui all'articolo 13;
b) non adotta le misure ai sensi dell'articolo 14, commi 1 e 2, lettere a), c) e d);
c) non adotta le misure ai sensi dell'articolo 13, comma 2, e dell'articolo 14, comma 2, lettere b), e) e f), e comma 3;
d) non adotta le misure ai sensi dell'articolo 14, comma 4;
e) non notifica alle ASC o al PCU gli incidenti, ai sensi dell'articolo 16;
f) non adotta le misure di cui all'articolo 20, comma 4, entro il termine previsto dalla diffida ivi disciplinata.
3. Salvo che il fatto costituisca reato, le ASC applicano una sanzione amministrativa pecuniaria, da 10.000 euro a 50.000 euro, nei confronti del soggetto critico che, entro trenta giorni dallo scadere del termine di cui all'articolo 20, comma 2, non fornisca le informazioni e le prove richieste e non risponda per esporre le ragioni del ritardo.
4. Si ha reiterazione delle violazioni di cui al presente articolo nei casi regolati dall'articolo 8-bis della legge 24 novembre 1981, n. 689. La reiterazione determina l'aumento fino al triplo della sanzione prevista.
5. Ai fini dell'irrogazione delle sanzioni amministrative pecuniarie di cui ai commi 1 e 2, le ASC, per quanto non previsto dal presente decreto, applicano il capo I, sezioni I e II, della legge n. 689 del 1981.

Note all'art. 21:
- Si riporta l'articolo 8-bis della legge 24 novembre
1981, n. 689 (Modifiche al sistema penale), pubblicato
nella Gazzetta Ufficiale n. 329 del 30 novembre 1981, S.
O.:
«Art. 8-bis (Reiterazione delle violazioni). - Salvo
quanto previsto da speciali disposizioni di legge, si ha
reiterazione quando, nei cinque anni successivi alla
commissione di una violazione amministrativa, accertata con
provvedimento esecutivo, lo stesso soggetto commette
un'altra violazione della stessa indole. Si ha reiterazione
anche quando piu' violazioni della stessa indole commesse
nel quinquennio sono accertate con unico provvedimento
esecutivo.
Si considerano della stessa indole le violazioni
della medesima disposizione e quelle di disposizioni
diverse che, per la natura dei fatti che le costituiscono o
per le modalita' della condotta, presentano una sostanziale
omogeneita' o caratteri fondamentali comuni.
La reiterazione e' specifica se e' violata la
medesima disposizione.
Le violazioni amministrative successive alla prima
non sono valutate, ai fini della reiterazione, quando sono
commesse in tempi ravvicinati e riconducibili ad una
programmazione unitaria.
La reiterazione determina gli effetti che la legge
espressamente stabilisce. Essa non opera nel caso di
pagamento in misura ridotta.
Gli effetti conseguenti alla reiterazione possono
essere sospesi fino a quando il provvedimento che accerta
la violazione precedentemente commessa sia divenuto
definitivo. La sospensione e' disposta dall'autorita'
amministrativa competente, o in caso di opposizione dal
giudice, quando possa derivare grave danno.
Gli effetti della reiterazione cessano di diritto, in
ogni caso, se il provvedimento che accerta la precedente
violazione e' annullato.».

Art. 22

Clausola di invarianza finanziaria

1. Salvo quanto previsto dall'articolo 5, comma 14, e dall'articolo 18, comma 15, dall'attuazione del presente decreto non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Le amministrazioni interessate vi provvedono nell'ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente.

Art. 23

Disposizioni transitorie e abrogazioni

1. Le disposizioni di cui al presente decreto si applicano a decorrere dal 18 ottobre 2024.
2. A decorrere dal 18 ottobre 2024 il decreto legislativo 11 aprile 2011, n. 61 e' abrogato.
Il presente decreto munito del sigillo dello Stato sara' inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.

Dato a Roma, addi' 4 settembre 2024

MATTARELLA

Meloni, Presidente del Consiglio
dei ministri

Fitto, Ministro per gli affari
europei, il Sud, le politiche di
coesione e il PNRR

Calderoli, Ministro per gli affari
regionali e le autonomie

Musumeci, Ministro per la
protezione civile e le politiche
del mare

Tajani, Ministro degli affari
esteri e della cooperazione
internazionale

Piantedosi, Ministro dell'interno

Nordio, Ministro della giustizia

Crosetto, Ministro della difesa

Giorgetti, Ministro dell'economia e
delle finanze

Urso, Ministro delle imprese e del
made in Italy

Pichetto Fratin, Ministro
dell'ambiente e della sicurezza
energetica

Salvini, Ministro delle
infrastrutture e dei trasporti

Schillaci, Ministro della salute

Lollobrigida, Ministro
dell'agricoltura, della sovranita'
alimentare e delle foreste
Visto, Il Guardasigilli: Nordio

Note all'art. 23:
- Per i riferimenti del decreto legislativo 11 aprile
2011, n. 61 si rinvia alle note alle premesse.