Gazzetta n. 223 del 23 settembre 2024 (vai al sommario) |
|
DECRETO LEGISLATIVO 4 settembre 2024, n. 134 |
Attuazione della direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio. |
|
|
IL PRESIDENTE DELLA REPUBBLICA
Visti gli articoli 76 e 87, quinto comma, della Costituzione; Vista la legge 23 agosto 1988, n. 400, recante «Disciplina dell'attivita' di Governo e ordinamento della Presidenza del Consiglio dei ministri» e, in particolare, l'articolo 14; Vista la legge 24 dicembre 2012, n. 234, recante «Norme generali sulla partecipazione dell'Italia alla formazione e all'attuazione della normativa e delle politiche dell'Unione europea» e, in particolare, gli articoli 31 e 32; Vista la legge 21 febbraio 2024, n. 15, recante «Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea - Legge di delegazione europea 2022-2023» e, in particolare, l'articolo 5, che reca principi e criteri direttivi per l'esercizio della delega per il recepimento della direttiva (UE) 2022/2557, relativa alla resilienza dei soggetti critici; Vista la direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio; Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati); Visto il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011; Vista la direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2); Visto il regolamento delegato (UE) 2023/2450 della Commissione, del 25 luglio 2023, che integra la direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio stabilendo un elenco di servizi essenziali; Visto il decreto legislativo 30 giugno 2003, n. 196, recante «Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE»; Visto il decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, recante «Misure urgenti per il contrasto del terrorismo internazionale»; Vista la legge 3 agosto 2007, n. 124, recante «Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto»; Visto il decreto legislativo 11 aprile 2011, n. 61, recante «Attuazione della direttiva 2008/114/CE recante l'individuazione e la designazione delle infrastrutture critiche europee e la valutazione della necessita' di migliorarne la protezione»; Visto il decreto legislativo 23 giugno 2011, n. 118, recante «Disposizioni in materia di armonizzazione dei sistemi contabili e degli schemi di bilancio delle Regioni, degli enti locali e dei loro organismi, a norma degli articoli 1 e 2 della legge 5 maggio 2009, n. 42»; Visto il decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, recante «Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale»; Vista la preliminare deliberazione del Consiglio dei ministri, adottata nella riunione del 10 giugno 2024; Acquisito il parere del Garante per la protezione dei dati personali, reso nella seduta del 18 luglio 2024; Acquisito il parere della Conferenza unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, reso nella seduta dell'11 luglio 2024; Acquisiti i pareri delle competenti Commissioni della Camera dei deputati e del Senato della Repubblica; Vista la deliberazione del Consiglio dei ministri, adottata nella riunione del 7 agosto 2024; Sulla proposta del Presidente del Consiglio dei ministri e del Ministro per gli affari europei, il Sud, le politiche di coesione e il PNRR, di concerto con i Ministri per gli affari regionali e le autonomie, per la protezione civile e le politiche del mare, degli affari esteri e della cooperazione internazionale, dell'interno, della giustizia, della difesa, dell'economia e delle finanze, delle imprese e del made in Italy, dell'ambiente e della sicurezza energetica, delle infrastrutture e dei trasporti, della salute e dell'agricoltura, della sovranita' alimentare e delle foreste;
E m a n a il seguente decreto legislativo:
Art. 1
Oggetto e ambito di applicazione
1. Il presente decreto stabilisce: a) misure volte a garantire che i servizi essenziali per il mantenimento di funzioni vitali della societa', di attivita' economiche, della salute e della sicurezza pubbliche o dell'ambiente, di cui all'articolo 2, comma 1, lettera e), siano forniti senza impedimenti nonche' criteri per l'individuazione dei soggetti critici di cui all'articolo 2, comma 1, lettera a); b) obblighi per i soggetti critici di cui all'articolo 2, comma 1, lettera a), volti a rafforzarne la resilienza, fino al raggiungimento di un livello elevato, e a rafforzarne la capacita' di fornire i servizi essenziali di cui all'articolo 2, comma 1, lettera e), nel mercato interno, al fine di migliorarne il funzionamento; c) misure per il sostegno nell'adempimento degli obblighi imposti dal presente decreto ai soggetti critici di cui all'articolo 2, comma 1, lettera a); d) disposizioni riguardanti la vigilanza e l'irrogazione di sanzioni nei confronti dei soggetti critici di cui all'articolo 2, comma 1, lettera a); e) disposizioni riguardanti l'individuazione dei soggetti critici di particolare rilevanza europea, di cui all'articolo 17, e le missioni di consulenza della Commissione europea finalizzate a valutare le misure predisposte da tali soggetti per adempiere ai propri obblighi, di cui all'articolo 18; f) disposizioni per la predisposizione della strategia nazionale per la resilienza dei soggetti critici, di cui all'articolo 6; g) la disciplina della valutazione del rischio da parte dello Stato, di cui all'articolo 7, e della valutazione del rischio da parte dei soggetti critici, di cui all'articolo 13; h) l'istituzione del Comitato interministeriale per la resilienza, di cui all'articolo 4, nonche' l'individuazione delle autorita' settoriali competenti e del punto di contatto unico, di cui all'articolo 5; i) le modalita' di cooperazione con gli altri Stati membri e con la Commissione europea, inclusa la partecipazione nazionale al gruppo per la resilienza dei soggetti critici di cui all'articolo 19. 2. Fermo restando quanto previsto dall'articolo 10, il presente decreto non si applica alle materie disciplinate dalle disposizioni nazionali di attuazione della direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, le cui misure sulla gestione dei rischi della cibersicurezza sono basate su un approccio multirischio che mira a proteggere anche l'ambiente fisico dei sistemi informatici da eventi che possono avere origini diverse. 3. Qualora gli obblighi previsti per i soggetti critici di adottare misure per rafforzare la loro resilienza siano oggetto di uno specifico atto giuridico dell'Unione europea, si applicano le disposizioni di detto atto giuridico nella misura in cui gli effetti di tali obblighi siano almeno equivalenti a quelli degli obblighi di cui al presente decreto. In tale circostanza non si applicano le disposizioni in materia di vigilanza ed esecuzione di cui al presente decreto. 4. Fatto salvo quanto previsto dall'articolo 346 del Trattato sul funzionamento dell'Unione europea, se l'applicazione del presente decreto comporta la comunicazione di informazioni riservate ai sensi delle disposizioni nazionali o delle disposizioni dell'Unione europea, tale comunicazione e' limitata a quanto strettamente necessario ai fini dell'applicazione medesima e le informazioni scambiate sono esclusivamente quelle pertinenti e commisurate allo scopo. In ogni caso, la comunicazione di cui al primo periodo tutela la riservatezza di tali informazioni, nonche' la sicurezza e gli interessi commerciali dei soggetti critici di cui all'articolo 2, comma 1, lettera a). Gli obblighi stabiliti dal presente decreto non comportano la comunicazione di informazioni la cui divulgazione sarebbe contraria agli interessi essenziali dello Stato in materia di sicurezza nazionale, di difesa o di pubblica sicurezza. 5. Resta impregiudicata la responsabilita' dello Stato di tutelare la sicurezza nazionale, la difesa e le altre funzioni essenziali dello Stato, tra cui la garanzia dell'integrita' territoriale dello Stato e il mantenimento dell'ordine pubblico. 6. Il presente decreto non si applica agli organi e alle articolazioni della pubblica amministrazione, nonche' agli enti di cui all'articolo 2, comma 1, lettera l), che operano nei settori della pubblica sicurezza, della difesa nazionale o dell'attivita' di contrasto, compresi l'indagine, l'accertamento e il perseguimento di reati, nonche' agli organismi di informazione per la sicurezza di cui alla legge 3 agosto 2007, n. 124, all'Agenzia per la cybersicurezza nazionale di cui al decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109. Esso non si applica, altresi', al Parlamento, alla Banca d'Italia, all'Unita' di informazione finanziaria per l'Italia di cui all'articolo 6 del decreto legislativo 21 novembre 2007, n. 231 e agli organi giudiziari. 7. Con uno o piu' decreti del Presidente del Consiglio dei ministri, di concerto, per gli ambiti di rispettiva competenza, con i Ministri della giustizia, dell'interno e della difesa, sentito il Comitato interministeriale per la resilienza di cui all'articolo 4, sono individuati specifici soggetti critici che svolgono attivita' principalmente nei settori della pubblica sicurezza, della protezione civile, della difesa o dell'attivita' di contrasto, accertamento e perseguimento di reati, ovvero che forniscono servizi esclusivamente agli organi, alle articolazioni o agli enti della pubblica amministrazione di cui al comma 6, ai quali, nell'espletamento di tali attivita' o servizi, non si applicano le disposizioni di cui all'articolo 12 e ai capi III, IV e VI del presente decreto. 8. Resta ferma l'applicazione del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196. 9. Con decreto del Presidente del Consiglio dei ministri, da adottare ai sensi dell'articolo 43 della legge 3 agosto 2007, n. 124, sono individuati specifici soggetti critici che svolgono attivita' principalmente o forniscono servizi esclusivamente per gli organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della legge n. 124 del 2007, ai quali, nell'espletamento delle predette attivita' o servizi, non si applicano le disposizioni di cui all'articolo 12 e ai capi III, IV e VI del presente decreto.
N O T E
Avvertenza: Il testo delle note qui pubblicato e' stato redatto dall'amministrazione competente per materia, ai sensi dell'art. 10, commi 2 e 3, del testo unico delle disposizioni sulla promulgazione delle leggi, sull'emanazione dei decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali della Repubblica italiana, approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo fine di facilitare la lettura delle disposizioni di legge modificate o alle quali e' operato il rinvio. Restano invariati il valore e l'efficacia degli atti legislativi qui trascritti. - Per le direttive CEE vengono forniti gli estremi di pubblicazione nella Gazzetta Ufficiale delle Comunita' europee (GUUE).
Note alle premesse: - L'art. 76 della Costituzione stabilisce che l'esercizio della funzione legislativa non puo' essere delegato al Governo se non con determinazione di principi e criteri direttivi e soltanto per tempo limitato e per oggetti definiti. - L'art. 87, quinto comma, della Costituzione conferisce al Presidente della Repubblica il potere di promulgare le leggi ed emanare i decreti aventi valore di legge e i regolamenti. - Si riporta l'articolo 14 della legge 23 agosto 1988, n. 400 (Disciplina dell'attivita' di Governo e ordinamento della Presidenza del Consiglio dei Ministri), pubblicato nella Gazzetta Ufficiale n. 214 del 12 settembre 1988, S.O. n. 86: «Art. 14 (Decreti legislativi). - 1. I decreti legislativi adottati dal Governo ai sensi dell'articolo 76 della Costituzione sono emanati dal Presidente della Repubblica con la denominazione di "decreto legislativo" e con l'indicazione, nel preambolo, della legge di delegazione, della deliberazione del Consiglio dei ministri e degli altri adempimenti del procedimento prescritti dalla legge di delegazione. 2. L'emanazione del decreto legislativo deve avvenire entro il termine fissato dalla legge di delegazione; il testo del decreto legislativo adottato dal Governo e' trasmesso al Presidente della Repubblica, per la emanazione, almeno venti giorni prima della scadenza. 3. Se la delega legislativa si riferisce ad una pluralita' di oggetti distinti suscettibili di separata disciplina, il Governo puo' esercitarla mediante piu' atti successivi per uno o piu' degli oggetti predetti. In relazione al termine finale stabilito dalla legge di delegazione, il Governo informa periodicamente le Camere sui criteri che segue nell'organizzazione dell'esercizio della delega. 4. In ogni caso, qualora il termine previsto per l'esercizio della delega ecceda i due anni, il Governo e' tenuto a richiedere il parere delle Camere sugli schemi dei decreti delegati. Il parere e' espresso dalle Commissioni permanenti delle due Camere competenti per materia entro sessanta giorni, indicando specificamente le eventuali disposizioni non ritenute corrispondenti alle direttive della legge di delegazione. Il Governo, nei trenta giorni successivi, esaminato il parere, ritrasmette, con le sue osservazioni e con eventuali modificazioni, i testi alle Commissioni per il parere definitivo che deve essere espresso entro trenta giorni.». - Si riportano gli articoli 31 e 32 della legge 24 dicembre 2012, n. 234 (Norme generali sulla partecipazione dell'Italia alla formazione e all'attuazione della normativa e delle politiche dell'Unione europea), pubblicata nella Gazzetta Ufficiale n. 3 del 4 gennaio 2013: «Art. 31 (Procedure per l'esercizio delle deleghe legislative conferite al Governo con la legge di delegazione europea). - 1. In relazione alle deleghe legislative conferite con la legge di delegazione europea per il recepimento delle direttive, il Governo adotta i decreti legislativi entro il termine di quattro mesi antecedenti a quello di recepimento indicato in ciascuna delle direttive; per le direttive il cui termine cosi' determinato sia gia' scaduto alla data di entrata in vigore della legge di delegazione europea, ovvero scada nei tre mesi successivi, il Governo adotta i decreti legislativi di recepimento entro tre mesi dalla data di entrata in vigore della medesima legge; per le direttive che non prevedono un termine di recepimento, il Governo adotta i relativi decreti legislativi entro dodici mesi dalla data di entrata in vigore della legge di delegazione europea. 2. I decreti legislativi sono adottati, nel rispetto dell'articolo 14 della legge 23 agosto 1988, n. 400, su proposta del Presidente del Consiglio dei Ministri o del Ministro per gli affari europei e del Ministro con competenza prevalente nella materia, di concerto con i Ministri degli affari esteri, della giustizia, dell'economia e delle finanze e con gli altri Ministri interessati in relazione all'oggetto della direttiva. I decreti legislativi sono accompagnati da una tabella di concordanza tra le disposizioni in essi previste e quelle della direttiva da recepire, predisposta dall'amministrazione con competenza istituzionale prevalente nella materia. 3. La legge di delegazione europea indica le direttive in relazione alle quali sugli schemi dei decreti legislativi di recepimento e' acquisito il parere delle competenti Commissioni parlamentari della Camera dei deputati e del Senato della Repubblica. In tal caso gli schemi dei decreti legislativi sono trasmessi, dopo l'acquisizione degli altri pareri previsti dalla legge, alla Camera dei deputati e al Senato della Repubblica affinche' su di essi sia espresso il parere delle competenti Commissioni parlamentari. Decorsi quaranta giorni dalla data di trasmissione, i decreti sono emanati anche in mancanza del parere. Qualora il termine per l'espressione del parere parlamentare di cui al presente comma ovvero i diversi termini previsti dai commi 4 e 9 scadano nei trenta giorni che precedono la scadenza dei termini di delega previsti ai commi 1 o 5 o successivamente, questi ultimi sono prorogati di tre mesi. 4. Gli schemi dei decreti legislativi recanti recepimento delle direttive che comportino conseguenze finanziarie sono corredati della relazione tecnica di cui all'articolo 17, comma 3, della legge 31 dicembre 2009, n. 196. Su di essi e' richiesto anche il parere delle Commissioni parlamentari competenti per i profili finanziari. Il Governo, ove non intenda conformarsi alle condizioni formulate con riferimento all'esigenza di garantire il rispetto dell'articolo 81, quarto comma, della Costituzione, ritrasmette alle Camere i testi, corredati dei necessari elementi integrativi d'informazione, per i pareri definitivi delle Commissioni parlamentari competenti per i profili finanziari, che devono essere espressi entro venti giorni. 5. Entro ventiquattro mesi dalla data di entrata in vigore di ciascuno dei decreti legislativi di cui al comma 1, nel rispetto dei principi e criteri direttivi fissati dalla legge di delegazione europea, il Governo puo' adottare, con la procedura indicata nei commi 2, 3 e 4, disposizioni integrative e correttive dei decreti legislativi emanati ai sensi del citato comma 1, fatto salvo il diverso termine previsto dal comma 6. 6. Con la procedura di cui ai commi 2, 3 e 4 il Governo puo' adottare disposizioni integrative e correttive di decreti legislativi emanati ai sensi del comma 1, al fine di recepire atti delegati dell'Unione europea di cui all'articolo 290 del Trattato sul funzionamento dell'Unione europea, che modificano o integrano direttive recepite con tali decreti legislativi. Le disposizioni integrative e correttive di cui al primo periodo sono adottate nel termine di cui al comma 5 o nel diverso termine fissato dalla legge di delegazione europea. Resta ferma la disciplina di cui all'articolo 36 per il recepimento degli atti delegati dell'Unione europea che recano meri adeguamenti tecnici. 7. I decreti legislativi di recepimento delle direttive previste dalla legge di delegazione europea, adottati, ai sensi dell'articolo 117, quinto comma, della Costituzione, nelle materie di competenza legislativa delle regioni e delle province autonome, si applicano alle condizioni e secondo le procedure di cui all'articolo 41, comma 1. 8. I decreti legislativi adottati ai sensi dell'articolo 33 e attinenti a materie di competenza legislativa delle regioni e delle province autonome sono emanati alle condizioni e secondo le procedure di cui all'articolo 41, comma 1. 9. Il Governo, quando non intende conformarsi ai pareri parlamentari di cui al comma 3, relativi a sanzioni penali contenute negli schemi di decreti legislativi recanti attuazione delle direttive, ritrasmette i testi, con le sue osservazioni e con eventuali modificazioni, alla Camera dei deputati e al Senato della Repubblica. Decorsi venti giorni dalla data di ritrasmissione, i decreti sono emanati anche in mancanza di nuovo parere.» «Art. 32 (Principi e criteri direttivi generali di delega per l'attuazione del diritto dell'Unione europea). - 1. Salvi gli specifici principi e criteri direttivi stabiliti dalla legge di delegazione europea e in aggiunta a quelli contenuti nelle direttive da attuare, i decreti legislativi di cui all'articolo 31 sono informati ai seguenti principi e criteri direttivi generali: a) le amministrazioni direttamente interessate provvedono all'attuazione dei decreti legislativi con le ordinarie strutture amministrative, secondo il principio della massima semplificazione dei procedimenti e delle modalita' di organizzazione e di esercizio delle funzioni e dei servizi; b) ai fini di un migliore coordinamento con le discipline vigenti per i singoli settori interessati dalla normativa da attuare, sono introdotte le occorrenti modificazioni alle discipline stesse, anche attraverso il riassetto e la semplificazione normativi con l'indicazione esplicita delle norme abrogate, fatti salvi i procedimenti oggetto di semplificazione amministrativa ovvero le materie oggetto di delegificazione; c) gli atti di recepimento di direttive dell'Unione europea non possono prevedere l'introduzione o il mantenimento di livelli di regolazione superiori a quelli minimi richiesti dalle direttive stesse, ai sensi dell'articolo 14, commi 24-bis, 24-ter e 24-quater, della legge 28 novembre 2005, n. 246 ; d) al di fuori dei casi previsti dalle norme penali vigenti, ove necessario per assicurare l'osservanza delle disposizioni contenute nei decreti legislativi, sono previste sanzioni amministrative e penali per le infrazioni alle disposizioni dei decreti stessi. Le sanzioni penali, nei limiti, rispettivamente, dell'ammenda fino a 150.000 euro e dell'arresto fino a tre anni, sono previste, in via alternativa o congiunta, solo nei casi in cui le infrazioni ledano o espongano a pericolo interessi costituzionalmente protetti. In tali casi sono previste: la pena dell'ammenda alternativa all'arresto per le infrazioni che espongano a pericolo o danneggino l'interesse protetto; la pena dell'arresto congiunta a quella dell'ammenda per le infrazioni che rechino un danno di particolare gravita'. Nelle predette ipotesi, in luogo dell'arresto e dell'ammenda, possono essere previste anche le sanzioni alternative di cui agli articoli 53 e seguenti del decreto legislativo 28 agosto 2000, n. 274, e la relativa competenza del giudice di pace. La sanzione amministrativa del pagamento di una somma non inferiore a 150 euro e non superiore a 150.000 euro e' prevista per le infrazioni che ledono o espongono a pericolo interessi diversi da quelli indicati dalla presente lettera. Nell'ambito dei limiti minimi e massimi previsti, le sanzioni indicate dalla presente lettera sono determinate nella loro entita', tenendo conto della diversa potenzialita' lesiva dell'interesse protetto che ciascuna infrazione presenta in astratto, di specifiche qualita' personali del colpevole, comprese quelle che impongono particolari doveri di prevenzione, controllo o vigilanza, nonche' del vantaggio patrimoniale che l'infrazione puo' recare al colpevole ovvero alla persona o all'ente nel cui interesse egli agisce. Ove necessario per assicurare l'osservanza delle disposizioni contenute nei decreti legislativi, sono previste inoltre le sanzioni amministrative accessorie della sospensione fino a sei mesi e, nei casi piu' gravi, della privazione definitiva di facolta' e diritti derivanti da provvedimenti dell'amministrazione, nonche' sanzioni penali accessorie nei limiti stabiliti dal codice penale. Al medesimo fine e' prevista la confisca obbligatoria delle cose che servirono o furono destinate a commettere l'illecito amministrativo o il reato previsti dai medesimi decreti legislativi, nel rispetto dei limiti stabiliti dall'articolo 240, terzo e quarto comma, del codice penale e dall'articolo 20 della legge 24 novembre 1981, n. 689, e successive modificazioni. Entro i limiti di pena indicati nella presente lettera sono previste sanzioni anche accessorie identiche a quelle eventualmente gia' comminate dalle leggi vigenti per violazioni omogenee e di pari offensivita' rispetto alle infrazioni alle disposizioni dei decreti legislativi. Nelle materie di cui all'articolo 117, quarto comma, della Costituzione, le sanzioni amministrative sono determinate dalle regioni; e) al recepimento di direttive o all'attuazione di altri atti dell'Unione europea che modificano precedenti direttive o atti gia' attuati con legge o con decreto legislativo si procede, se la modificazione non comporta ampliamento della materia regolata, apportando le corrispondenti modificazioni alla legge o al decreto legislativo di attuazione della direttiva o di altro atto modificato; f) nella redazione dei decreti legislativi di cui all'articolo 31 si tiene conto delle eventuali modificazioni delle direttive dell'Unione europea comunque intervenute fino al momento dell'esercizio della delega; g) quando si verifichino sovrapposizioni di competenze tra amministrazioni diverse o comunque siano coinvolte le competenze di piu' amministrazioni statali, i decreti legislativi individuano, attraverso le piu' opportune forme di coordinamento, rispettando i principi di sussidiarieta', differenziazione, adeguatezza e leale collaborazione e le competenze delle regioni e degli altri enti territoriali, le procedure per salvaguardare l'unitarieta' dei processi decisionali, la trasparenza, la celerita', l'efficacia e l'economicita' nell'azione amministrativa e la chiara individuazione dei soggetti responsabili; h) qualora non siano di ostacolo i diversi termini di recepimento, vengono attuate con un unico decreto legislativo le direttive che riguardano le stesse materie o che comunque comportano modifiche degli stessi atti normativi; i) e' assicurata la parita' di trattamento dei cittadini italiani rispetto ai cittadini degli altri Stati membri dell'Unione europea e non puo' essere previsto in ogni caso un trattamento sfavorevole dei cittadini italiani.». - Si riporta l'articolo 5 della legge 21 febbraio 2024, n. 15 (Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea - Legge di delegazione europea 2022-2023), pubblicata nella Gazzetta Ufficiale 24 febbraio, n. 15: «Art. 5. (Principi e criteri direttivi per l'esercizio della delega per il recepimento della direttiva (UE) 2022/2557, relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio). - 1. Nell'esercizio della delega per il recepimento della direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, il Governo osserva, oltre ai principi e criteri direttivi di cui all'articolo 32 della legge 24 dicembre 2012, n. 234, anche i seguenti principi e criteri direttivi specifici: a) escludere dall'ambito di applicazione delle disposizioni di recepimento della direttiva (UE) 2022/2557 gli enti della pubblica amministrazione operanti nei settori di cui all'articolo 1, paragrafo 6, della direttiva medesima, compresi gli organismi di informazione per la sicurezza ai quali si applicano le disposizioni della legge 3 agosto 2007, n. 124; b) avvalersi della facolta' di cui all'articolo 1, paragrafo 7, della direttiva (UE) 2022/2557 , prevedendo che con uno o piu' decreti del Presidente del Consiglio dei ministri, su proposta delle competenti amministrazioni di settore, siano individuati gli specifici soggetti critici la cui attivita' principale ricade nei settori ivi indicati o che forniscono servizi esclusivamente agli enti della pubblica amministrazione di cui all'articolo 1, paragrafo 6, della medesima direttiva, ai quali non si applicano, in tutto o in parte, le disposizioni di attuazione dell'articolo 11 e dei capi III, IV e VI della medesima direttiva; c) istituire o designare, ai sensi dell'articolo 9 della direttiva (UE) 2022/2557, una o piu' autorita' competenti, con riferimento ai settori di cui all'allegato alla medesima direttiva; in caso di istituzione o designazione di un'unica autorita' competente, istituire o designare presso quest'ultima un punto di contatto unico, ai sensi dell'articolo 9, paragrafo 2, della direttiva (UE) 2022/2557; d) istituire o designare, ai sensi dell'articolo 9, paragrafo 2, della direttiva (UE) 2022/2557 , un punto di contatto unico, cui sono attribuite anche le funzioni di assicurare il collegamento con la Commissione europea e la cooperazione con i Paesi terzi, di coordinare le attivita' di sostegno di cui all'articolo 10 della citata direttiva (UE) 2022/2557 , di ricevere da parte dei soggetti critici, contestualmente alle autorita' competenti di cui alla lettera c) del presente comma, le notifiche degli incidenti ai sensi dell'articolo 15 della medesima direttiva (UE) 2022/2557 , di promuovere le attivita' di ricerca e formazione in materia di resilienza delle infrastrutture critiche, nonche' di coordinare l'attivita' delle autorita' competenti di cui alla citata lettera c); e) avvalersi della facolta', ai sensi dell'articolo 7, paragrafo 2, lettera a), della direttiva (UE) 2022/2557, di individuare servizi essenziali aggiuntivi rispetto all'elenco contenuto nell'atto delegato di cui all'articolo 5, paragrafo 1, della medesima direttiva; f) prevedere che, ai sensi dell'articolo 7, paragrafo 2, secondo comma, della direttiva (UE) 2022/2557, le soglie ivi previste possano essere presentate come tali o in forma aggregata; g) prevedere, ai sensi dell'articolo 8 della direttiva (UE) 2022/2557, ove necessario, misure atte a conseguire un livello di resilienza piu' elevato per i soggetti critici del settore bancario, del settore delle infrastrutture dei mercati finanziari e del settore delle infrastrutture digitali; h) introdurre, ai sensi dell'articolo 22 della direttiva (UE) 2022/2557, sanzioni penali e amministrative efficaci, proporzionate e dissuasive, anche, ove necessario, in deroga a quanto previsto dall'articolo 32, comma 1, lettera d), della legge 24 dicembre 2012, n. 234, e dalla legge 24 novembre 1981, n. 689, nonche' introdurre strumenti deflativi del contenzioso, quali, in particolare, la diffida ad adempiere; i) prevedere che le autorita' di cui alla lettera c) possano irrogare sanzioni amministrative ai sensi dell'articolo 22 della direttiva (UE) 2022/2557; l) prevedere la facolta', anche per le autorita' di cui alla lettera c), nell'ambito delle rispettive competenze, di adottare una disciplina secondaria, secondo quanto previsto dalle disposizioni attuative del presente articolo; m) assicurare, in attuazione degli articoli 1 , 4 , 6 , 8 , 9 , 19 e 21 della direttiva (UE) 2022/2557 , il coordinamento tra le disposizioni adottate per il recepimento della medesima direttiva, le disposizioni di recepimento della direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022 , nonche' le disposizioni del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, ivi comprese le disposizioni nazionali di adeguamento a quest'ultimo; n) curare il coordinamento delle disposizioni vigenti, operando le necessarie modifiche o abrogazioni espresse e, in particolare, modificando o abrogando l'articolo 211-bis del decreto-legge 19 maggio 2020, n. 34, convertito, con modificazioni, dalla legge 17 luglio 2020, n. 77, nonche', ai sensi dell'articolo 27 della direttiva (UE) 2022/2557, il decreto legislativo 11 aprile 2011, n. 61; o) nell'attuazione del presente articolo, tenere ferme le vigenti attribuzioni dell'autorita' giudiziaria relativamente alla ricezione delle notizie di reato, del Ministero dell'interno in materia di tutela dell'ordine e della sicurezza pubblica e di difesa civile, del Ministero della difesa in materia di difesa e sicurezza dello Stato, del Dipartimento della protezione civile della Presidenza del Consiglio dei ministri in materia di previsione, prevenzione e mitigazione dei rischi, del Ministero delle imprese e del made in Italy in materia di resilienza fisica delle reti di comunicazione elettronica nonche' dell'Agenzia per la cybersicurezza nazionale in materia di cybersicurezza e resilienza nazionale nello spazio cibernetico, istituendo un tavolo di coordinamento tra il punto di contatto unico di cui alle lettere c) e d) e la Commissione interministeriale tecnica di difesa civile in relazione alla formulazione e attuazione degli obiettivi di resilienza nazionale. Restano ferme le attribuzioni degli organismi preposti alla tutela della sicurezza nazionale ai sensi della legge 3 agosto 2007, n. 124; p) favorire la piu' ampia tutela dei lavoratori nello svolgimento delle attivita' ritenute critiche o sensibili, anche prevedendo disposizioni speciali, in raccordo con la normativa dell'Unione europea.». - La direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio e' pubblicata nella Gazzetta ufficiale dell'Unione europea del 27 dicembre 2022, n. L 333. - Il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) e' pubblicato nella Gazzetta ufficiale dell'Unione europea del 4 maggio 2026, n. L 119. - Il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 e' pubblicato nella Gazzetta ufficiale dell'Unione europea del 27 dicembre 2022, n. L 333. - La direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) e' pubblicata nella Gazzetta ufficiale dell'Unione europea del 27 dicembre 2022, n. L 333. - Il regolamento delegato (UE) 2023/2450 della Commissione, del 25 luglio 2023, che integra la direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio stabilendo un elenco di servizi essenziali, e' pubblicato nella Gazzetta ufficiale dell'Unione europea del 30 ottobre 2023, serie L. - Il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE) e' pubblicato nella Gazzetta Ufficiale n. 174 del 29 luglio 2003, S.O. n. 123. - Il decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155 (Misure urgenti per il contrasto del terrorismo internazionale) e' pubblicato nella Gazzetta Ufficiale n. 173 del 27 luglio 2005. - La legge 3 agosto 2007, n. 124 (Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto) e' pubblicata nella Gazzetta Ufficiale n. 187 del 13 agosto 2007. - Il decreto legislativo 11 aprile 2011, n. 61 (Attuazione della direttiva 2008/114/CE recante l'individuazione e la designazione delle infrastrutture critiche europee e la valutazione della necessita' di migliorarne la protezione), abrogato dal presente decreto, a partire dal 18 ottobre 2024, e' pubblicato nella Gazzetta Ufficiale n. 102 del 4 maggio 2011. - Il decreto legislativo 23 giugno 2011, n. 118 (Disposizioni in materia di armonizzazione dei sistemi contabili e degli schemi di bilancio delle Regioni, degli enti locali e dei loro organismi, a norma degli articoli 1 e 2 della legge 5 maggio 2009, n. 42) e' pubblicato nella Gazzetta Ufficiale n. 172 del 26 luglio 2011. - Il decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109 (Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale) e' pubblicato nella Gazzetta Ufficiale n. 140 del 14 giugno 2021.
Note all'art. 1: - Per la direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) si rinvia alle note alle premesse. - Il Trattato sul funzionamento dell'Unione europea e' pubblicato nella Gazzetta ufficiale dell'Unione europea del 7 giugno 2016, n. C 202. - Per la legge 3 agosto 2007, n. 124 (Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto) si rinvia alle note alle premesse. - Per il decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109 (Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale) si rinvia alle note alle premesse. - Si riporta l'articolo 6 del decreto legislativo 21 novembre 2007, n. 231 (Attuazione della direttiva 2005/60/CE concernente la prevenzione dell'utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attivita' criminose e di finanziamento del terrorismo nonche' della direttiva 2006/70/CE che ne reca misure di esecuzione), pubblicato nella Gazzetta Ufficiale n. 290 del 14 dicembre 2007, S.O.: «Art. 6. (Unita' d'informazione finanziaria). - 1. L'Unita' di informazione finanziaria per l'Italia (UIF), istituita presso la Banca d'Italia, e' autonoma e operativamente indipendente. In attuazione di tale principio, la Banca d'Italia ne disciplina con regolamento l'organizzazione e il funzionamento, ivi compresa la riservatezza delle informazioni acquisite, attribuendole i mezzi finanziari e le risorse idonei ad assicurare l'efficace perseguimento dei suoi fini istituzionali. Alla UIF e al personale addetto si applica l'articolo 24, comma 6-bis, della legge 28 dicembre 2005, n. 262. 2. Il Direttore della UIF, al quale compete in autonomia la responsabilita' della gestione, e' nominato con provvedimento del Direttorio della Banca d'Italia, su proposta del Governatore della Banca d'Italia, tra persone dotate di adeguati requisiti di onorabilita', professionalita' e conoscenza del sistema finanziario. Il mandato ha la durata di cinque anni ed e' rinnovabile una sola volta. 3. Per l'efficace svolgimento dei compiti fissati dalla legge e dagli obblighi internazionali, presso la UIF e' costituito un Comitato di esperti, del quale fanno parte il Direttore e quattro membri, dotati di adeguati requisiti di onorabilita' e professionalita'. I componenti del Comitato sono nominati, nel rispetto del principio dell'equilibrio di genere, con decreto del Ministro dell'economia e delle finanze, sentito il Governatore della Banca d'Italia, e restano in carica tre anni, rinnovabili per altri tre. La partecipazione al Comitato non da' luogo a compensi. Il Comitato e' convocato dal Direttore della UIF con cadenza almeno semestrale e svolge funzioni di consulenza e ausilio a supporto dell'azione della UIF. Il Comitato cura, altresi', la redazione di un parere sull'azione dell'UIF, che forma parte integrante della documentazione trasmessa al Parlamento ai sensi del comma 8. 4. La UIF esercita le seguenti funzioni: a) riceve le segnalazioni di operazioni sospette e ne effettua l'analisi finanziaria; b) analizza i flussi finanziari, al fine di individuare e prevenire fenomeni di riciclaggio di denaro e di finanziamento del terrorismo; c) puo' sospendere, per un massimo di cinque giorni lavorativi, operazioni sospette, anche su richiesta del Nucleo speciale di polizia valutaria della Guardia di finanza, della Direzione investigativa antimafia e dell'autorita' giudiziaria ovvero su richiesta di un'altra FIU, ove non ne derivi pregiudizio per il corso delle indagini. La UIF provvede a dare immediata notizia della sospensione all'autorita' che ne ha fatto richiesta; d) avuto riguardo alle caratteristiche dei soggetti obbligati, emana istruzioni, pubblicate nella Gazzetta Ufficiale della Repubblica italiana, sui dati e le informazioni che devono essere contenuti nelle segnalazioni di operazioni sospette e nelle comunicazioni oggettive, sulla relativa tempistica nonche' sulle modalita' di tutela della riservatezza dell'identita' del segnalante; e) al fine di agevolare l'individuazione delle operazioni sospette, emana e aggiorna periodicamente, previa presentazione al Comitato di sicurezza finanziaria, indicatori di anomalia, pubblicati nella Gazzetta Ufficiale della Repubblica italiana e in apposita sezione del proprio sito istituzionale; f) effettua, anche attraverso ispezioni, verifiche al fine di accertare il rispetto delle disposizioni in materia di prevenzione e contrasto del riciclaggio e del finanziamento del terrorismo, con riguardo alle segnalazioni di operazioni sospette e ai casi di omessa segnalazione di operazioni sospette, nonche' con riguardo alle comunicazioni alla UIF previste dal presente decreto e ai casi di omissione delle medesime, anche avvalendosi della collaborazione del Nucleo speciale di polizia valutaria della Guardia di finanza; g) in relazione ai propri compiti, accerta e contesta ovvero trasmette alle autorita' di vigilanza di settore le violazioni degli obblighi di cui al presente decreto di cui viene a conoscenza nell'esercizio delle proprie funzioni istituzionali; h) assicura la tempestiva trasmissione alla Direzione nazionale antimafia e antiterrorismo dei dati, delle informazioni e delle analisi, secondo quanto stabilito dall'articolo 8, comma 1, lettera a). Assicura, altresi', l'effettuazione delle analisi richieste dalla Direzione nazionale antimafia e antiterrorismo ai sensi dell'articolo 8, comma 1, lettera d). 5. Per lo svolgimento delle proprie funzioni istituzionali, la UIF: a) acquisisce, anche attraverso ispezioni, dati e informazioni presso i soggetti destinatari degli obblighi di cui al presente decreto; b) riceve la comunicazione dei dati statistici aggregati da parte dei soggetti obbligati tenuti a effettuarla e le comunicazioni cui sono tenute le Pubbliche amministrazioni, ai sensi dell'articolo 10. 6. Per l'esercizio delle funzioni di cui ai commi 4 e 5, la UIF: a) si avvale dei dati contenuti nell'anagrafe dei conti e dei depositi di cui all'articolo 20, comma 4, della legge 30 dicembre 1991, n. 413, e nell'anagrafe tributaria di cui all'articolo 37 del decreto-legge 4 luglio 2006, n. 223, convertito, con modificazioni, dalla legge 4 agosto 2006, n. 248; b) ha accesso ai dati e alle informazioni contenute nell'anagrafe immobiliare integrata di cui all'articolo 19 del decreto-legge 31 maggio 2010, n. 78, convertito, con modificazioni dalla legge 30 luglio 2010, n. 122; c) ha accesso alle informazioni sul titolare effettivo di persone giuridiche e trust espressi, contenute in apposita sezione del Registro delle imprese, ai sensi dell'articolo 21 del presente decreto. 7. Avvalendosi delle informazioni raccolte nello svolgimento delle proprie funzioni, la UIF: a) svolge analisi e studi su singole anomalie, riferibili a ipotesi di riciclaggio e di finanziamento del terrorismo su specifici settori dell'economia ritenuti a rischio, su categorie di strumenti di pagamento e su specifiche realta' economiche territoriali, anche sulla base dell'analisi nazionale dei rischi elaborata dal Comitato di sicurezza finanziaria; b) elabora e diffonde modelli e schemi rappresentativi di comportamenti anomali sul piano economico e finanziario riferibili a possibili attivita' di riciclaggio e di finanziamento del terrorismo. 8. Ai fini della presentazione al Parlamento della relazione sullo stato dell'azione di prevenzione del riciclaggio e del finanziamento del terrorismo, il Direttore della UIF, entro il 30 maggio di ogni anno, trasmette al Ministro dell'economia e delle finanze, per il tramite del Comitato di sicurezza finanziaria, gli allegati alla medesima relazione, di cui all'articolo 4, comma 2, del presente decreto.». - Per il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE) si rinvia alle note alle premesse. - Si riportano gli articoli 4, 6, 7 e 43 della legge 3 agosto 2007, n. 124 (Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto), pubblicata nella Gazzetta Ufficiale n. 187 del 13 agosto 2007: «Art. 4. (Dipartimento delle informazioni per la sicurezza). - 1. Per lo svolgimento dei compiti di cui al comma 3 e' istituito, presso la Presidenza del Consiglio dei ministri, il Dipartimento delle informazioni per la sicurezza (DIS). 2. Il Presidente del Consiglio dei ministri e l'Autorita' delegata, ove istituita, si avvalgono del DIS per l'esercizio delle loro competenze, al fine di assicurare piena unitarieta' nella programmazione della ricerca informativa del Sistema di informazione per la sicurezza, nonche' nelle analisi e nelle attivita' operative dei servizi di informazione per la sicurezza. 3. Il DIS svolge i seguenti compiti: a) coordina l'intera attivita' di informazione per la sicurezza, verificando altresi' i risultati delle attivita' svolte dall'AISE e dall'AISI, ferma restando la competenza dei predetti servizi relativamente alle attivita' di ricerca informativa e di collaborazione con i servizi di sicurezza degli Stati esteri; b) e' costantemente informato delle operazioni di competenza dei servizi di informazione per la sicurezza e trasmette al Presidente del Consiglio dei ministri le informative e le analisi prodotte dal Sistema di informazione per la sicurezza; c) raccoglie le informazioni, le analisi e i rapporti provenienti dai servizi di informazione per la sicurezza, dalle Forze armate e di polizia, dalle amministrazioni dello Stato e da enti di ricerca anche privati; ferma l'esclusiva competenza dell'AISE e dell'AISI per l'elaborazione dei rispettivi piani di ricerca operativa, elabora analisi strategiche o relative a particolari situazioni; formula valutazioni e previsioni, sulla scorta dei contributi analitici settoriali dell'AISE e dell'AISI; d) elabora, anche sulla base delle informazioni e dei rapporti di cui alla lettera c), analisi globali da sottoporre al CISR, nonche' progetti di ricerca informativa, sui quali decide il Presidente del Consiglio dei ministri, dopo avere acquisito il parere del CISR; d-bis) sulla base delle direttive di cui all'articolo 1, comma 3-bis, nonche' delle informazioni e dei rapporti di cui alla lettera c) del presente comma, coordina le attivita' di ricerca informativa finalizzate a rafforzare la protezione cibernetica e la sicurezza informatica nazionali; e) promuove e garantisce, anche attraverso riunioni periodiche, lo scambio informativo tra l'AISE, l'AISI e le Forze di polizia; comunica al Presidente del Consiglio dei ministri le acquisizioni provenienti dallo scambio informativo e i risultati delle riunioni periodiche; f) trasmette, su disposizione del Presidente del Consiglio dei ministri, sentito il CISR, informazioni e analisi ad amministrazioni pubbliche o enti, anche ad ordinamento autonomo, interessati all'acquisizione di informazioni per la sicurezza; g) elabora, d'intesa con l'AISE e l'AISI, il piano di acquisizione delle risorse umane e materiali e di ogni altra risorsa comunque strumentale all'attivita' dei servizi di informazione per la sicurezza, da sottoporre all'approvazione del Presidente del Consiglio dei ministri; h) sentite l'AISE e l'AISI, elabora e sottopone all'approvazione del Presidente del Consiglio dei ministri lo schema del regolamento di cui all'articolo 21, comma 1; i) esercita il controllo sull'AISE e sull'AISI, verificando la conformita' delle attivita' di informazione per la sicurezza alle leggi e ai regolamenti, nonche' alle direttive e alle disposizioni del Presidente del Consiglio dei ministri. Per tale finalita', presso il DIS e' istituito un ufficio ispettivo le cui modalita' di organizzazione e di funzionamento sono definite con il regolamento di cui al comma 7. Con le modalita' previste da tale regolamento e' approvato annualmente, previo parere del Comitato parlamentare di cui all'articolo 30, il piano annuale delle attivita' dell'ufficio ispettivo. L'ufficio ispettivo, nell'ambito delle competenze definite con il predetto regolamento, puo' svolgere, anche a richiesta del direttore generale del DIS, autorizzato dal Presidente del Consiglio dei ministri, inchieste interne su specifici episodi e comportamenti verificatisi nell'ambito dei servizi di informazione per la sicurezza; l) assicura l'attuazione delle disposizioni impartite dal Presidente del Consiglio dei Ministri con apposito regolamento adottato ai sensi dell'articolo 1, comma 2, ai fini della tutela amministrativa del segreto di Stato e delle classifiche di segretezza, vigilando altresi' sulla loro corretta applicazione;7 m) cura le attivita' di promozione e diffusione della cultura della sicurezza e la comunicazione istituzionale; n) impartisce gli indirizzi per la gestione unitaria del personale di cui all'articolo 21, secondo le modalita' definite dal regolamento di cui al comma 1 del medesimo articolo; n-bis) gestisce unitariamente, ferme restando le competenze operative dell'AISE e dell'AISI, gli approvvigionamenti e i servizi logistici comuni. 4. Fermo restando quanto previsto dall'articolo 118-bis del codice di procedura penale, introdotto dall'articolo 14 della presente legge, qualora le informazioni richieste alle Forze di polizia, ai sensi delle lettere c) ed e) del comma 3 del presente articolo, siano relative a indagini di polizia giudiziaria, le stesse, se coperte dal segreto di cui all'articolo 329 del codice di procedura penale, possono essere acquisite solo previo nulla osta della autorita' giudiziaria competente. L'autorita' giudiziaria puo' trasmettere gli atti e le informazioni anche di propria iniziativa. 5. La direzione generale del DIS e' affidata ad un dirigente di prima fascia o equiparato dell'amministrazione dello Stato, la cui nomina e revoca spettano in via esclusiva al Presidente del Consiglio dei ministri, sentito il CISR. L'incarico ha la durata massima di otto anni ed e' conferibile, senza soluzione di continuita', anche con provvedimenti successivi, ciascuno dei quali di durata non superiore al quadriennio. Per quanto previsto dalla presente legge, il direttore del DIS e' il diretto referente del Presidente del Consiglio dei ministri e dell'Autorita' delegata, ove istituita, salvo quanto previsto dall'articolo 6, comma 5, e dall'articolo 7, comma 5, ed e' gerarchicamente e funzionalmente sovraordinato al personale del DIS e degli uffici istituiti nell'ambito del medesimo Dipartimento. 6. Il Presidente del Consiglio dei ministri, sentito il direttore generale del DIS, nomina uno o piu' vice direttori generali; il direttore generale affida gli altri incarichi nell'ambito del Dipartimento, ad eccezione degli incarichi il cui conferimento spetta al Presidente del Consiglio dei ministri. 7. L'ordinamento e l'organizzazione del DIS e degli uffici istituiti nell'ambito del medesimo Dipartimento sono disciplinati con apposito regolamento. 8. Il regolamento previsto dal comma 7 definisce le modalita' di organizzazione e di funzionamento dell'ufficio ispettivo di cui al comma 3, lettera i), secondo i seguenti criteri: a) agli ispettori e' garantita piena autonomia e indipendenza di giudizio nell'esercizio delle funzioni di controllo; b) salva specifica autorizzazione del Presidente del Consiglio dei ministri o dell'Autorita' delegata, ove istituita, i controlli non devono interferire con le operazioni in corso; c) sono previste per gli ispettori specifiche prove selettive e un'adeguata formazione; d) non e' consentito il passaggio di personale dall'ufficio ispettivo ai servizi di informazione per la sicurezza; e) gli ispettori, previa autorizzazione del Presidente del Consiglio dei ministri o dell'Autorita' delegata, ove istituita, possono accedere a tutti gli atti conservati presso i servizi di informazione per la sicurezza e presso il DIS; possono altresi' acquisire, tramite il direttore generale del DIS, altre informazioni da enti pubblici e privati.» «Art. 6. (Agenzia informazioni e sicurezza esterna). - 1. E' istituita l'Agenzia informazioni e sicurezza esterna (AISE), alla quale e' affidato il compito di ricercare ed elaborare nei settori di competenza tutte le informazioni utili alla difesa dell'indipendenza, dell'integrita' e della sicurezza della Repubblica, anche in attuazione di accordi internazionali, dalle minacce provenienti dall'estero. 2. Spettano all'AISE inoltre le attivita' in materia di controproliferazione concernenti i materiali strategici, nonche' le attivita' di informazione per la sicurezza, che si svolgono al di fuori del territorio nazionale, a protezione degli interessi politici, militari, economici, scientifici e industriali dell'Italia. 3. E', altresi', compito dell'AISE individuare e contrastare al di fuori del territorio nazionale le attivita' di spionaggio dirette contro l'Italia e le attivita' volte a danneggiare gli interessi nazionali. 4. L'AISE puo' svolgere operazioni sul territorio nazionale soltanto in collaborazione con l'AISI, quando tali operazioni siano strettamente connesse ad attivita' che la stessa AISE svolge all'estero. A tal fine il direttore generale del DIS provvede ad assicurare le necessarie forme di coordinamento e di raccordo informativo, anche al fine di evitare sovrapposizioni funzionali o territoriali. 5. L'AISE risponde al Presidente del Consiglio dei ministri. 6. L'AISE informa tempestivamente e con continuita' il Ministro della difesa, il Ministro degli affari esteri e il Ministro dell'interno per i profili di rispettiva competenza. 7. Il Presidente del Consiglio dei ministri, con proprio decreto, nomina e revoca il direttore dell'AISE, scelto tra dirigenti di prima fascia o equiparati dell'amministrazione dello Stato, sentito il CISR. L'incarico ha la durata massima di otto anni ed e' conferibile, senza soluzione di continuita', anche con provvedimenti successivi, ciascuno dei quali di durata non superiore al quadriennio.15 8. Il direttore dell'AISE riferisce costantemente sull'attivita' svolta al Presidente del Consiglio dei ministri o all'Autorita' delegata, ove istituita, per il tramite del direttore generale del DIS. Riferisce direttamente al Presidente del Consiglio dei ministri in caso di urgenza o quando altre particolari circostanze lo richiedano, informandone senza ritardo il direttore generale del DIS; presenta al CISR, per il tramite del direttore generale del DIS, un rapporto annuale sul funzionamento e sull'organizzazione dell'Agenzia. 9. Il Presidente del Consiglio dei ministri nomina e revoca, sentito il direttore dell'AISE, uno o piu' vice direttori. Il direttore dell'AISE affida gli altri incarichi nell'ambito dell'Agenzia. 10. L'organizzazione e il funzionamento dell'AISE sono disciplinati con apposito regolamento.» «Art. 7. (Agenzia informazioni e sicurezza interna). - 1. E' istituita l'Agenzia informazioni e sicurezza interna (AISI), alla quale e' affidato il compito di ricercare ed elaborare nei settori di competenza tutte le informazioni utili a difendere, anche in attuazione di accordi internazionali, la sicurezza interna della Repubblica e le istituzioni democratiche poste dalla Costituzione a suo fondamento da ogni minaccia, da ogni attivita' eversiva e da ogni forma di aggressione criminale o terroristica. 2. Spettano all'AISI le attivita' di informazione per la sicurezza, che si svolgono all'interno del territorio nazionale, a protezione degli interessi politici, militari, economici, scientifici e industriali dell'Italia. 3. E', altresi', compito dell'AISI individuare e contrastare all'interno del territorio nazionale le attivita' di spionaggio dirette contro l'Italia e le attivita' volte a danneggiare gli interessi nazionali. 4. L'AISI puo' svolgere operazioni all'estero soltanto in collaborazione con l'AISE, quando tali operazioni siano strettamente connesse ad attivita' che la stessa AISI svolge all'interno del territorio nazionale. A tal fine il direttore generale del DIS provvede ad assicurare le necessarie forme di coordinamento e di raccordo informativo, anche al fine di evitare sovrapposizioni funzionali o territoriali. 5. L'AISI risponde al Presidente del Consiglio dei ministri. 6. L'AISI informa tempestivamente e con continuita' il Ministro dell'interno, il Ministro degli affari esteri e il Ministro della difesa per i profili di rispettiva competenza. 7. Il Presidente del Consiglio dei ministri nomina e revoca, con proprio decreto, il direttore dell'AISI, scelto tra i dirigenti di prima fascia o equiparati dell'amministrazione dello Stato, sentito il CISR. L'incarico ha la durata massima di otto anni ed e' conferibile, senza soluzione di continuita', anche con provvedimenti successivi, ciascuno dei quali di durata non superiore al quadriennio. 8. Il direttore dell'AISI riferisce costantemente sull'attivita' svolta al Presidente del Consiglio dei ministri o all'Autorita' delegata, ove istituita, per il tramite del direttore generale del DIS. Riferisce direttamente al Presidente del Consiglio dei ministri in caso di urgenza o quando altre particolari circostanze lo richiedano, informandone senza ritardo il direttore generale del DIS; presenta al CISR, per il tramite del direttore generale del DIS, un rapporto annuale sul funzionamento e sull'organizzazione dell'Agenzia. 9. Il Presidente del Consiglio dei ministri nomina e revoca, sentito il direttore dell'AISI, uno o piu' vice direttori. Il direttore dell'AISI affida gli altri incarichi nell'ambito dell'Agenzia. 10. L'organizzazione e il funzionamento dell'AISI sono disciplinati con apposito regolamento.» «Art. 43. (Procedura per l'adozione dei regolamenti). - 1. Salvo che non sia diversamente stabilito, le disposizioni regolamentari previste dalla presente legge sono emanate entro centottanta giorni dalla data della sua entrata in vigore, con uno o piu' decreti del Presidente del Consiglio dei ministri adottati anche in deroga all'articolo 17 della legge 23 agosto 1988, n. 400, e successive modificazioni, previo parere del Comitato parlamentare di cui all'articolo 30 e sentito il CISR. 2. I suddetti decreti stabiliscono il regime della loro pubblicita', anche in deroga alle norme vigenti.». |
|
===================================================================== | Allegato A | | (articolo 2)| +===================+=======================+=======================+ |Settori |Sottosettori |Categorie di soggetti | +===================+=======================+=======================+ | | |Imprese elettriche di | | | |cui all'articolo 2, | | | |comma 25-terdecies, del| | | |decreto legislativo 16 | |1. Energia |a) Energia elettrica |marzo 1999, n. 79 | | | +-----------------------+ | | |Gestori del sistema di | | | |trasmissione di | | | |elettricita' di cui | | | |all'articolo 2, comma | | | |25-bis, del decreto | | | |legislativo 16 marzo | | | |1999, n. 79 | | | +-----------------------+ | | |Gestori del sistema di | | | |distribuzione di | | | |elettricita' di cui | | | |all'articolo 2, comma | | | |25-ter, del decreto | | | |legislativo 16 marzo | | | |1999, n. 79 | | | +-----------------------+ | | |Produttori di cui | | | |all'articolo 2, comma | | | |18, del decreto | | | |legislativo 16 marzo | | | |1999, n. 79 | | | +-----------------------+ | | |Gestori del mercato | | | |elettrico designati | | | |quali definiti | | | |all'articolo 2, punto | | | |8), del regolamento | | | |(UE) 2019/943 del | | | |Parlamento europeo e | | | |del Consiglio | | | +-----------------------+ | | |Partecipanti al mercato| | | |quali definiti | | | |all'articolo 2, punto | | | |25), del regolamento | | | |(UE) 2019/943 che | | | |forniscono servizi di | | | |aggregazione, gestione | | | |della domanda o | | | |stoccaggio di energia | | | |quali definiti | | | |all'articolo 3, commi | | | |9, 8 e 6, del decreto | | | |legislativo 8 novembre | | | |2021, n. 210 | | +-----------------------+-----------------------+ | | |Gestori di | | | |teleriscaldamento o | | | |teleraffrescamento di | | | |cui all'articolo 2, | | | |comma 1, del decreto | | |b) Teleriscaldamento e |legislativo 3 marzo | | |teleraffrescamento |2011, n. 28 | | +-----------------------+-----------------------+ | |c) Petrolio |Gestori di oleodotti | | | +-----------------------+ | | |Gestori di impianti di | | | |produzione, | | | |raffinazione, | | | |trattamento, deposito e| | | |trasporto di petrolio | | | +-----------------------+ | | |Organismo centrale di | | | |stoccaggio italiano | | +-----------------------+-----------------------+ | | |Imprese fornitrici di | | | |gas di cui all'articolo| | | |2, comma 1, lettera | | | |kk-septies), del | | | |decreto legislativo 23 | | |d) Gas |maggio 2000, n. 164 | | | +-----------------------+ | | |Gestori del sistema di | | | |distribuzione del gas | | | |di cui all'articolo 2, | | | |comma 1, lettera | | | |kk-sexies), del decreto| | | |legislativo 23 maggio | | | |2000, n. 164 | | | +-----------------------+ | | |Gestori del sistema di | | | |trasporto del gas di | | | |cui all'articolo 2, | | | |comma 1, lettera | | | |kk-quater), del decreto| | | |legislativo 23 maggio | | | |2000, n. 164 | | | +-----------------------+ | | |Gestori degli impianti | | | |di stoccaggio del gas | | | |di cui all'articolo 2, | | | |comma 1, lettera | | | |kk-nonies), del decreto| | | |legislativo 23 maggio | | | |2000, n. 164 | | | +-----------------------+ | | |Gestori del sistema GNL| | | |di cui all'articolo 2, | | | |comma 1, lettera | | | |kk-decies), del decreto| | | |legislativo 23 maggio | | | |2000, n. 164 | | | +-----------------------+ | | |Imprese di gas naturale| | | |di cui all'articolo 2, | | | |comma 1, lettera t), | | | |del decreto legislativo| | | |23 maggio 2000, n. 164 | | | +-----------------------+ | | |Gestori di impianti di | | | |raffinazione e | | | |trattamento di gas | | | |naturale | | +-----------------------+-----------------------+ | | |Gestori di impianti di | | | |produzione, stoccaggio | | |e) Idrogeno |e trasporto di idrogeno| +-------------------+-----------------------+-----------------------+ | | |Vettori aerei di cui | | | |all'articolo 3, comma | | | |4, del regolamento (CE)| | | |n. 300/2008 del | | | |Parlamento europeo e | |2. Trasporti |a) Trasporto aereo |del Consiglio | | | +-----------------------+ | | |- Gestori aeroportuali | | | |di cui all'articolo 72,| | | |comma 1, lettera b, del| | | |decreto legge 24 | | | |gennaio 2012, n. 1, | | | |convertito, con | | | |modificazioni, dalla | | | |Legge 24 marzo 2012 n. | | | |27 | | | | | | | |- Aeroporti di cui | | | |all'articolo 72, comma | | | |1, lettera a, del | | | |decreto legge 24 | | | |gennaio 2012, n. 1, | | | |convertito, con | | | |modificazioni, dalla | | | |Legge 24 marzo 2012 n. | | | |27, compresi gli | | | |aeroporti centrali di | | | |cui all'allegato II, | | | |punto 2), del | | | |regolamento (UE) n. | | | |1315/2013 del | | | |Parlamento europeo e | | | |del Consiglio | | | | | | | |- Soggetti che | | | |gestiscono impianti | | | |annessi situati in | | | |aeroporti | | | +-----------------------+ | | |Operatori attivi nel | | | |controllo della | | | |gestione del traffico | | | |che forniscono servizi | | | |di controllo del | | | |traffico aereo di cui | | | |all'articolo 2, primo | | | |paragrafo n. 1, del | | | |regolamento (UE) n. | | | |549/2004 del Parlamento| | | |europeo e del Consiglio| | +-----------------------+-----------------------+ | | |Gestori | | | |dell'infrastruttura | | | |ferroviaria di cui | | | |all'articolo 3, comma | | | |1, lettera b, del | | |b) Trasporto |decreto legislativo 15 | | |ferroviario |luglio 2015, n. 112 | | | +-----------------------+ | | |Imprese ferroviarie di | | | |cui all'articolo 3, | | | |comma 1, lettera a, del| | | |decreto legislativo | | | |112/2015 compresi gli | | | |operatori degli | | | |impianti di servizio di| | | |cui all'articolo 3, | | | |comma 1, lettera n, del| | | |decreto legislativo 15 | | | |luglio 2015, n. 112 | | +-----------------------+-----------------------+ | | |Compagnie di | | | |navigazione per il | | | |trasporto per vie | | | |d'acqua interne, | | | |marittimo e costiero di| | | |passeggeri e merci | | | |quali definite | | | |all'allegato I del | | | |regolamento (CE) n. | | | |725/2004 del Parlamento| | | |europeo e del | | | |Consiglio, escluse le | | |c) Trasporto per vie |singole navi gestite da| | |d'acqua |tali compagnie | | | +-----------------------+ | | |Organi di gestione dei | | | |porti quali definiti | | | |all'articolo 2, comma | | | |1, lettera a, del | | | |decreto legislativo 6 | | | |novembre 2007, n. 203, | | | |compresi i relativi | | | |impianti portuali quali| | | |definiti all'articolo | | | |2, primo paragrafo, | | | |numero 11), del | | | |regolamento (CE) n. | | | |725/2004, e soggetti | | | |che gestiscono opere e | | | |attrezzature | | | |all'interno di porti | | | +-----------------------+ | | |Gestori di servizi di | | | |assistenza al traffico | | | |marittimo quale | | | |definito dall'articolo | | | |2 comma 1, lettera p, | | | |del decreto legislativo| | | |19 agosto 2005, n. 196,| | | |individuati | | | |dall'Autorita' | | | |settoriale competente. | | +-----------------------+-----------------------+ | | |Autorita' stradali di | | | |cui all'articolo 2, | | | |punto 12), del | | | |regolamento delegato | | | |(UE) 2015/962 della | | | |Commissione | | | |responsabili del | | | |controllo della | | |d) Trasporto su strada |gestione del traffico | | | +-----------------------+ | | |Gestori di sistemi di | | | |trasporto intelligenti | | | |quali definiti dal | | | |Decreto MIT 1° febbraio| | | |2013, articolo 1, comma| | | |1, lettera a | | +-----------------------+-----------------------+ | | |Operatori di servizio | | | |pubblico quali definiti| | | |all'articolo 2, lettera| | | |d), del regolamento | | | |(CE) n. 1370/2007 del | | | |Parlamento europeo e | | |e) Trasporto pubblico |del Consiglio | +-------------------+-----------------------+-----------------------+ | | |Enti creditizi quali | | | |definiti all'articolo | | | |4, punto 1), del | | | |regolamento (UE) n. | |3. Settore bancario| |575/2013 | +-------------------+-----------------------+-----------------------+ | | |Gestori di sedi di | | | |negoziazione quali | | | |definiti all'articolo | | | |1, comma 5-octies, | |4. Infrastrutture | |lettera c) del decreto | |dei mercati | |legislativo 24 febbraio| |finanziari | |1998, n. 58 | | | +-----------------------+ | | |Controparti centrali | | | |(CCP) quali definite | | | |all'articolo 2, punto | | | |1), del regolamento | | | |(UE) n. 648/2012 | +-------------------+-----------------------+-----------------------+ | | |Prestatori di | | | |assistenza sanitaria | | | |quali definiti | | | |all'articolo 3, comma | | | |1, lettera h), del | | | |decreto legislativo 4 | |5. Salute | |marzo 2014, n. 38 | | | +-----------------------+ | | |Laboratori di | | | |riferimento dell'UE di | | | |cui all'articolo 15 del| | | |regolamento (UE) | | | |2022/2371 del | | | |Parlamento europeo e | | | |del Consiglio | | | +-----------------------+ | | |Soggetti che svolgono | | | |attivita' di ricerca e | | | |sviluppo relative ai | | | |medicinali quali | | | |definiti all'articolo | | | |1, lettera a), del | | | |decreto legislativo 24 | | | |aprile 2006, n. 219 | | | +-----------------------+ | | |Soggetti che fabbricano| | | |prodotti farmaceutici | | | |di base e preparati | | | |farmaceutici di cui | | | |alla sezione C, | | | |divisione 21, della | | | |classificazione | | | |statistica comune delle| | | |attivita' economiche | | | |nella Comunita' europea| | | |(NACE Rev. 2) di cui | | | |all'allegato 1 del | | | |regolamento (CE) n. | | | |1893/2006 del | | | |Parlamento europeo e | | | |del Consiglio, del 20 | | | |dicembre 2006 | | | +-----------------------+ | | |Soggetti che fabbricano| | | |dispositivi medici | | | |considerati critici | | | |durante un'emergenza di| | | |sanita' pubblica | | | |(«elenco dei | | | |dispositivi critici per| | | |l'emergenza di sanita' | | | |pubblica») ai sensi | | | |dell'articolo 22 del | | | |regolamento (UE) | | | |2022/123 del Parlamento| | | |europeo e del Consiglio| | | +-----------------------+ | | |Soggetti titolari di | | | |un'autorizzazione di | | | |distribuzione di cui | | | |all'articolo 101 del | | | |decreto legislativo 24 | | | |aprile 2006, n. 219 | +-------------------+-----------------------+-----------------------+ | | |Fornitori e | | | |distributori di acque | | | |destinate al consumo | | | |umano, di cui | | | |all'articolo 2, comma1,| | | |lettera a) del decreto | | | |legislativo 23 febbraio| | | |2023, n. 18, ma esclusi| | | |i distributori per i | | | |quali la distribuzione | | | |di acque destinate al | | | |consumo umano e' solo | | | |una parte | | | |dell'attivita' generale| | | |di distribuzione di | | | |altri prodotti e beni | | | |che non sono | | | |considerati servizi | |6. Acqua potabile | |essenziali o importanti| +-------------------+-----------------------+-----------------------+ | | |Imprese che raccolgono,| | | |smaltiscono o trattano | | | |acque reflue urbane, | | | |acque reflue domestiche| | | |o acque reflue | | | |industriali quali | | | |definite articolo 74, | | | |comma 1, lettere i), | | | |g), h), del decreto | | | |legislativo 3 aprile | | | |2006, n. 152, escluse | | | |le imprese per cui la | | | |raccolta, lo | | | |smaltimento o il | | | |trattamento di acque | | | |reflue urbane, acque | | | |reflue domestiche e | | | |acque reflue | | | |industriali e' una | | | |parte non essenziale | | | |della loro attivita' | |7. Acque reflue | |generale | +-------------------+-----------------------+-----------------------+ | | |Fornitori di punti di | | | |interscambio Internet | | | |di cui alle | | | |disposizioni nazionali | | | |di attuazione della | |8. Infrastrutture | |direttiva (UE) | |digitali | |2022/2555 | | | +-----------------------+ | | |Fornitori di servizi | | | |DNS di cui alle | | | |disposizioni nazionali | | | |di attuazione della | | | |direttiva (UE) | | | |2022/2555 | | | +-----------------------+ | | |Registri dei nomi di | | | |dominio di primo | | | |livello (TLD) di cui | | | |alle disposizioni | | | |nazionali di attuazione| | | |della direttiva (UE) | | | |2022/2555 | | | +-----------------------+ | | |Fornitori di servizi di| | | |cloud computing di cui | | | |alle disposizioni | | | |nazionali di attuazione| | | |della direttiva (UE) | | | |2022/2555 | | | +-----------------------+ | | |Fornitori di servizi di| | | |data center di cui alle| | | |disposizioni nazionali | | | |di attuazione della | | | |direttiva (UE) | | | |2022/2555 | | | +-----------------------+ | | |Fornitori di reti di | | | |distribuzione dei | | | |contenuti (content | | | |delivery network) di | | | |cui alle disposizioni | | | |nazionali di attuazione| | | |della direttiva (UE) | | | |2022/2555 | | | +-----------------------+ | | |Prestatori di servizi | | | |fiduciari di cui | | | |all'articolo 3, punto | | | |19), del regolamento | | | |(UE) n. 910/2014 | | | +-----------------------+ | | |Fornitori di reti | | | |pubbliche di | | | |comunicazione | | | |elettronica quali | | | |definite all'articolo | | | |2, comma 1, lettera | | | |tt), del decreto | | | |legislativo 1° agosto | | | |2003, n. 259 | | | +-----------------------+ | | |Fornitori di servizi di| | | |comunicazione | | | |elettronica quali | | | |definiti all'articolo | | | |2, comma 1, lettera | | | |fff), del decreto | | | |legislativo 1° agosto | | | |2003, n. 259 nella | | | |misura in cui tali | | | |servizi siano | | | |accessibili al pubblico| +-------------------+-----------------------+-----------------------+ | | |Soggetti delle | | | |amministrazioni | |9. Enti della | |centrali quali definiti| |pubblica | |dall'art. 2, comma 1, | |amministrazione | |lettera l) | +-------------------+-----------------------+-----------------------+ | | |Operatori di | | | |infrastrutture | | | |terrestri possedute, | | | |gestite e operate dallo| | | |Stato o da privati, che| | | |sostengono la fornitura| | | |di servizi spaziali, | | | |esclusi i fornitori di | | | |reti pubbliche di | | | |comunicazione | | | |elettronica quali | | | |definite all'articolo | | | |2, comma 1, lettera | | | |tt), del decreto | | | |legislativo 1° agosto | |10. Spazio | |2003, n. 259 | +-------------------+-----------------------+-----------------------+ | | |Imprese alimentari | | | |quali definite | | | |all'articolo 3, punto | | | |2), del regolamento | | | |(CE) n. 178/2002 del | | | |Parlamento europeo e | | | |del Consiglio impegnate| | | |esclusivamente nella | | | |logistica e nella | | | |distribuzione | | | |all'ingrosso nonche' | |11. Produzione, | |nella produzione e | |trasformazione e | |trasformazione | |distribuzione di | |industriale su larga | |alimenti | |scala | +-------------------+-----------------------+-----------------------+ | | |Gestori di concessioni | | | |di derivazione di cui | | | |all'articolo 21 del | | | |R.D. n.1775/33ad uso | |12. Acque irrigue | |irriguo | +-------------------+-----------------------+-----------------------+
|
| Art. 2
Definizioni
1. Ai fini del presente decreto si intende per: a) «soggetto critico»: un soggetto pubblico o privato individuato, ai sensi dell'articolo 8, nell'ambito delle categorie di soggetti che operano nei settori e sottosettori di cui all'allegato A, che costituisce parte integrante del presente decreto; b) «resilienza»: la capacita' di un soggetto critico di prevenire, attenuare, assorbire un incidente di cui alla lettera c), di proteggersi da esso, di rispondervi, di resistervi, di adattarvisi e di ripristinare le proprie capacita' operative; c) «incidente»: un evento di carattere fisico che puo' perturbare in modo significativo, o che perturba, la fornitura di un servizio essenziale di cui alla lettera e); d) «infrastruttura critica»: un elemento, un impianto, un'attrezzatura, una rete o un sistema o una parte di essi necessari per la fornitura di un servizio essenziale di cui alla lettera e); e) «servizio essenziale»: un servizio fondamentale per il mantenimento di funzioni vitali della societa', di attivita' economiche, della salute e della sicurezza pubbliche o dell'ambiente, individuato ai sensi dell'articolo 7, commi 1 e 2; f) «rischio»: la potenziale perdita o perturbazione causata da un incidente; il rischio e' espresso come combinazione dell'entita' di tale perdita o perturbazione e della probabilita' che si verifichi l'incidente; g) «valutazione del rischio»: l'intero processo per la determinazione della natura e della portata di un rischio, mediante l'individuazione e l'analisi delle potenziali minacce, vulnerabilita' e pericoli che potrebbero causare un incidente, nonche' mediante la valutazione della potenziale perdita o perturbazione della fornitura di un servizio essenziale che potrebbero essere causate da tale incidente; h) «norma»: una norma ai sensi dell'articolo 2, punto 1), del regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio, del 25 ottobre 2012; i) «specifica tecnica»: una specifica tecnica ai sensi dell'articolo 2, punto 4), del regolamento (UE) n. 1025/2012; l) «enti della pubblica amministrazione»: ai fini del presente decreto, un soggetto che, anche se opera in settori diversi da quelli di cui ai numeri 1, 2, 3, 4, 5, 6, 7, 8, 10 e 11, dell'allegato A al presente decreto, soddisfa i seguenti criteri: 1) e' istituito allo scopo di soddisfare esigenze di interesse generale e non ha carattere industriale o commerciale; 2) e' dotato di personalita' giuridica o autorizzato per legge ad agire per conto di un altro soggetto dotato di personalita' giuridica; 3) e' finanziato in modo maggioritario da autorita' statali o da altri organismi di diritto pubblico a livello centrale, la sua gestione e' soggetta alla vigilanza di tali autorita' o organismi, oppure e' dotato di un organo di amministrazione, di direzione o di vigilanza in cui piu' della meta' dei membri e' designata da autorita' statali o da altri organismi di diritto pubblico a livello centrale; 4) ha il potere di adottare, nei confronti di persone fisiche o giuridiche, decisioni amministrative o regolatorie che incidono sui loro diritti relativi alla circolazione transfrontaliera delle persone, delle merci, dei servizi o dei capitali.
Note all'art. 2: - Il regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio, del 25 ottobre 2012, pubblicato nella Gazzetta Ufficiale dell'Unione europea del 14 novembre 2012, n. L 316. |
| Art. 3
Competenze del Presidente del Consiglio dei ministri
1. Al Presidente del Consiglio dei ministri sono attribuite in via esclusiva le seguenti competenze: a) l'alta direzione e la responsabilita' generale delle politiche per la resilienza dei soggetti critici; b) l'adozione della strategia nazionale per la resilienza dei soggetti critici di cui all'articolo 6, sentito il Comitato interministeriale per la resilienza di cui all'articolo 4. 2. Nell'ambito delle competenze di cui al comma 1, lettera a), e dell'attuazione della strategia di cui all'articolo 6, il Presidente del Consiglio dei ministri impartisce le direttive per la resilienza dei soggetti critici, sentito il Comitato interministeriale per la resilienza di cui all'articolo 4. 3. Il Presidente del Consiglio dei ministri puo' delegare a un Ministro senza portafoglio, ovvero a un Sottosegretario di Stato alla Presidenza del Consiglio dei ministri, le competenze in materia di resilienza dei soggetti critici ad esso attribuite, ad eccezione di quelle di cui al comma 1. 4. Il Ministro o il Sottosegretario di Stato alla Presidenza del Consiglio dei ministri con delega alla resilienza dei soggetti critici aggiorna il Presidente del Consiglio dei ministri sull'esercizio delle competenze delegate ai sensi del comma 3. |
| Art. 4
Comitato interministeriale per la resilienza
1. Presso la Presidenza del Consiglio dei ministri e' istituito il Comitato interministeriale per la resilienza (CIR). 2. Il CIR: a) propone al Presidente del Consiglio dei ministri gli indirizzi generali per le politiche di resilienza dei soggetti critici; b) esercita l'alta sorveglianza sull'attuazione della strategia nazionale per la resilienza dei soggetti critici di cui all'articolo 6; c) promuove l'adozione di misure volte a rafforzare la resilienza dei soggetti critici e di buone pratiche, nonche' promuove iniziative per favorire, a livello nazionale e internazionale, l'efficace collaborazione e la condivisione delle informazioni e delle buone pratiche tra i soggetti istituzionali e i soggetti critici. 3. Il CIR e' presieduto dal Presidente del Consiglio dei ministri ovvero dal Ministro senza portafoglio o dal Sottosegretario di Stato alla Presidenza del Consiglio dei ministri con delega alla resilienza dei soggetti critici ed e' composto dal Ministro degli affari esteri e della cooperazione internazionale, dal Ministro dell'interno, dal Ministro della giustizia, dal Ministro della difesa, dal Ministro dell'economia e delle finanze, dal Ministro delle imprese e del made in Italy, dal Ministro dell'agricoltura, della sovranita' alimentare e delle foreste, dal Ministro dell'ambiente e della sicurezza energetica, dal Ministro delle infrastrutture e dei trasporti, dal Ministro della salute, dal Ministro per la protezione civile e le politiche del mare, dall'Autorita' delegata di cui all'articolo 3, comma 1, della legge 3 agosto 2007, n. 124, e dall'Autorita' delegata alle politiche spaziali e aerospaziali. 4. Il responsabile del punto di contatto unico di cui all'articolo 5, comma 5, svolge le funzioni di segretario del CIR. 5. Alle sedute del CIR partecipano, senza diritto di voto, il direttore generale dell'Agenzia per la cybersicurezza nazionale e, a seguito di invito del Presidente del Consiglio dei ministri, anche su loro richiesta, Ministri diversi da quelli di cui al comma 3, il capo del Dipartimento della protezione civile della Presidenza del Consiglio dei ministri e altre autorita' civili e autorita' militari la cui presenza e' necessaria in relazione all'ordine del giorno delle sedute.
Note all'art. 4: - Si riporta l'articolo 3 della legge 3 agosto 2007, n. 124 (Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto), pubblicata nella Gazzetta Ufficiale n. 187 del 13 agosto 2007: «Art. 3. (Autorita' delegata). - 1. Il Presidente del Consiglio dei ministri, ove lo ritenga opportuno, puo' delegare le funzioni che non sono ad esso attribuite in via esclusiva soltanto ad un Ministro senza portafoglio o ad un Sottosegretario di Stato, di seguito denominati «Autorita' delegata». 1-bis. L'Autorita' delegata non puo' esercitare funzioni di governo ulteriori rispetto a quelle ad essa delegate dal Presidente del Consiglio dei Ministri a norma della presente legge e in materia di cybersicurezza, ad eccezione delle funzioni attribuite al Sottosegretario di Stato alla Presidenza del Consiglio dei ministri, con funzioni di Segretario del Consiglio medesimo. 2 3. Il Presidente del Consiglio dei ministri e' costantemente informato dall'Autorita' delegata sulle modalita' di esercizio delle funzioni delegate e, fermo restando il potere di direttiva, puo' in qualsiasi momento avocare l'esercizio di tutte o di alcune di esse. 4. In deroga a quanto previsto dal comma 1 dell'articolo 9 della legge 23 agosto 1988, n. 400, e successive modificazioni, non e' richiesto il parere del Consiglio dei ministri per il conferimento delle deleghe di cui al presente articolo al Ministro senza portafoglio.» |
| Art. 5
Autorita' settoriali competenti e punto di contatto unico
1. Sono designate le seguenti autorita' settoriali competenti (ASC), responsabili della corretta applicazione e dell'esecuzione delle disposizioni del presente decreto: a) il Ministero dell'ambiente e della sicurezza energetica, per il settore dell'energia di cui al numero 1 dell'allegato A, sottosettori dell'energia elettrica, del teleriscaldamento e del teleraffrescamento, del petrolio, del gas e dell'idrogeno; b) il Ministero delle infrastrutture e dei trasporti, per il settore dei trasporti di cui al numero 2 dell'allegato A, sottosettori del trasporto aereo, del trasporto ferroviario, del trasporto per vie d'acqua, del trasporto su strada e del trasporto pubblico, nonche' per il settore delle acque irrigue di cui al numero 12 dell'allegato A; c) il Ministero dell'economia e delle finanze, per il settore bancario di cui al numero 3 dell'allegato A e per il settore delle infrastrutture dei mercati finanziari di cui al numero 4 dell'allegato A, in collaborazione con le autorita' di vigilanza di settore, la Banca d'Italia e la Commissione nazionale per la societa' e la borsa (Consob); d) il Ministero della salute, direttamente o per il tramite delle proprie autorita' territoriali, e, per gli ambiti di propria competenza, l'Agenzia italiana del farmaco (AIFA), per il settore della salute di cui al numero 5 dell'allegato A; e) il Ministero dell'ambiente e della sicurezza energetica, direttamente o per il tramite delle proprie autorita' territoriali, per il settore dell'acqua potabile di cui al numero 6 dell'allegato A, e per il settore delle acque reflue di cui al numero 7 dell'allegato A; f) l'Agenzia per la cybersicurezza nazionale, per il settore delle infrastrutture digitali di cui al numero 8 dell'allegato A, in collaborazione con il Ministero delle imprese e del made in Italy, per le attivita' di cui agli articoli 7 e 8 del presente decreto; g) la Presidenza del Consiglio dei ministri, per il settore dello spazio di cui al numero 10 dell'allegato A; h) il Ministero dell'agricoltura, della sovranita' alimentare e delle foreste, per il settore della produzione, trasformazione e distribuzione di alimenti di cui al numero 11 dell'allegato A; i) per il settore degli enti della pubblica amministrazione, di cui al numero 9 dell'allegato A, sono designate ASC le amministrazioni indicate alle lettere da a) a h) relativamente ai settori di rispettiva competenza e la Presidenza del Consiglio dei ministri per gli enti individuati con apposito decreto del Presidente del Consiglio dei ministri da adottare entro il 17 gennaio 2026. 2. Con accordo definito entro il 30 ottobre 2024 in sede di Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano, sono definite modalita' di collaborazione tra le ASC, le regioni e le province autonome interessate, quando il soggetto critico ha carattere regionale ovvero opera esclusivamente sul territorio di una regione o provincia autonoma nei settori di cui alle lettere a), b), d), e) ed h). Con il medesimo accordo, nei casi di cui al primo periodo, sono definiti altresi' criteri uniformi in ambito nazionale per lo svolgimento delle attivita' di ispezione e di verifica, per le misure previste dagli articoli 13, 14 e 16 e 20. 3. Le ASC esercitano le competenze loro attribuite dal presente decreto nel rispetto delle attribuzioni: a) dell'autorita' giudiziaria, relativamente alle notizie di reato; b) del Ministero dell'interno, in materia di tutela dell'ordine pubblico e della sicurezza pubblica e di difesa civile; c) del Ministero della difesa, in materia di difesa e sicurezza dello Stato; d) del Dipartimento della protezione civile della Presidenza del Consiglio dei ministri, in materia di previsione, prevenzione e mitigazione dei rischi e di gestione e superamento delle emergenze; e) del Ministero delle imprese e del made in Italy, in materia di resilienza fisica delle reti di comunicazione elettronica; f) dell'Agenzia per la cybersicurezza nazionale, in materia di cybersicurezza e resilienza di cui all'articolo 1, comma 1, lettere a) e b), del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109; g) degli organismi preposti alla tutela della sicurezza nazionale ai sensi della legge 3 agosto 2007, n. 124. 4. Quando opportuno, le ASC, senza imposizioni o discriminazioni a favore dell'uso di un particolare tipo di tecnologia, incoraggiano l'uso di norme e specifiche tecniche europee e internazionali per le misure sulla sicurezza e sulla resilienza applicabili ai soggetti critici. 5. E' istituito nell'ambito della Presidenza del Consiglio dei ministri il punto di contatto unico in materia di resilienza dei soggetti critici (PCU). Con decreto del Presidente del Consiglio dei ministri, da adottare ai sensi dell'articolo 7 del decreto legislativo 30 luglio 1999, n. 303, e' definita l'organizzazione del PCU tenuto anche conto di quanto previsto dal comma 1, lettera g), e lettera i). Il punto di contatto e le ASC presso la Presidenza del Consiglio dei ministri sono complessivamente composti da cinque unita' di livello dirigenziale, di cui massimo una di livello dirigenziale generale, e ventisette unita' di personale non dirigenziale, con corrispondente incremento della dotazione organica. Per le finalita' cui al presente comma e' autorizzata la spesa di euro 893.205 per l'anno 2024 e di euro 3.572.820 annui a decorrere dall'anno 2025. 6. Il PCU esercita le competenze ad esso attribuite dal presente decreto e, in particolare: a) assicura il collegamento con la Commissione europea e la cooperazione con i Paesi terzi, sentito il Ministero degli affari esteri e della cooperazione internazionale; b) assicura il collegamento con i punti di contatto unici designati o istituiti, ai sensi della direttiva (UE) 2022/2557, da parte degli altri Stati membri; c) assicura il collegamento tra le ASC e le autorita' competenti designate o istituite, ai sensi della direttiva (UE) 2022/2557, da parte degli altri Stati membri; d) assicura il collegamento con il gruppo per la resilienza dei soggetti critici di cui all'articolo 19; e) si coordina, istituendo un apposito tavolo, con la Commissione interministeriale tecnica di difesa civile di cui al decreto del Ministro dell'interno 10 gennaio 2013, con il Dipartimento della protezione civile della Presidenza del Consiglio dei ministri e con gli altri organismi nazionali competenti in materia di resilienza nazionale; f) coordina le attivita' di sostegno di cui all'articolo 11; g) riceve le notifiche degli incidenti ai sensi dell'articolo 16; h) promuove le attivita' di ricerca e formazione in materia di resilienza delle infrastrutture critiche; i) svolge funzioni di autorita' settoriale competente per il settore di cui al comma 1, lettera i), per quanto di competenza della Presidenza del Consiglio dei ministri; l) svolge i compiti di segreteria a supporto del CIR. 7. Entro il 17 luglio 2028 e, successivamente, ogni due anni, il PCU trasmette alla Commissione europea e al gruppo per la resilienza dei soggetti critici di cui all'articolo 19 una relazione di sintesi in merito alle notifiche ricevute ai sensi dell'articolo 16, comma 1, compresi il numero di notifiche e la natura degli incidenti notificati, e alle azioni intraprese dalle ASC ai sensi dell'articolo 16, comma 6. Per la redazione di tale relazione, il PCU puo' utilizzare il modello di cui all'articolo 9, paragrafo 3, secondo comma, della direttiva (UE) 2022/2557. 8. Il PCU elabora annualmente un documento di sintesi sullo stato della resilienza dei soggetti critici e lo trasmette al Presidente del Consiglio dei ministri ovvero al Ministro o al Sottosegretario di Stato alla Presidenza del Consiglio dei ministri con delega alla resilienza dei soggetti critici per la comunicazione al CIR. 9. Il PCU e le ASC cooperano tra loro e possono cooperare con il Dipartimento della protezione civile della Presidenza del Consiglio dei ministri, il Ministero dell'interno, il Garante per la protezione dei dati personali, i soggetti critici e le parti interessate. 10. Il PCU e le ASC cooperano e scambiano informazioni con l'Agenzia nazionale per la cybersicurezza sui rischi di cybersicurezza, sulle minacce e sugli incidenti informatici e sui rischi, sulle minacce e sugli incidenti non informatici che hanno ripercussioni sui soggetti critici, anche per quanto riguarda le pertinenti misure adottate dai medesimi PCU, ASC o Agenzia nazionale per la cybersicurezza nazionale. 11. Il PCU, le ASC e l'Agenzia per la cybersicurezza nazionale cooperano e trasmettono informazioni agli organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124, su rischi, minacce e incidenti, anche di natura informatica, che hanno ripercussioni sui soggetti critici, nonche' sulle relative misure adottate dai medesimi PCU, ASC e Agenzia per la cybersicurezza nazionale. 12. Entro tre mesi dall'istituzione del PCU e dalla designazione delle ASC, la Presidenza del Consiglio dei ministri notifica alla Commissione europea l'identita' del PCU e delle ASC, i dati di contatto, le competenze e le responsabilita' previste dal presente decreto e, successivamente, notifica tempestivamente alla Commissione europea ogni modifica delle informazioni notificate in precedenza. La Presidenza del Consiglio dei ministri assicura adeguata e tempestiva pubblicita' all'identita' del PCU e delle ASC e ad ogni modifica di tale identita'. 13. Ciascuna ASC, per l'esercizio delle competenze attribuite dal presente decreto, individua, tra quelli esistenti, un ufficio dirigenziale di livello non generale, o istituisce un apposito ufficio dirigenziale non generale, composto da un dirigente di seconda fascia e da sei unita' di personale appartenente all'area funzionari del vigente contratto collettivo nazionale - Comparto funzioni centrali, o categorie equivalenti, posto alle dirette dipendenze del segretario generale o del soggetto individuato secondo i rispettivi ordinamenti, con corrispondente incremento della dotazione organica, adottando il relativo provvedimento di organizzazione con decorrenza non anteriore al 1° ottobre 2024 e dandone comunicazione al Ministero dell'economia e delle finanze - Dipartimento della Ragioneria generale dello Stato. Resta fermo per la Presidenza del Consiglio dei ministri quanto previsto dal comma 5. Il PCU e ciascuna ASC sono autorizzati a reclutare, con contratto di lavoro subordinato a tempo indeterminato, i dirigenti di cui al comma 5 e di cui al primo periodo del presente comma anche mediante i concorsi unici di cui all'articolo 19, del decreto del Presidente della Repubblica 9 maggio 1994, n. 487, o attraverso lo scorrimento di vigenti graduatorie di concorsi pubblici. Il PCU e ciascuna ASC sono autorizzati a reclutare con contratto di lavoro subordinato a tempo indeterminato il contingente di personale non dirigenziale di cui al comma 5 e di cui al primo periodo del presente comma, mediante procedure di passaggio diretto di personale tra amministrazioni pubbliche ai sensi dell'articolo 30 del decreto legislativo 30 marzo 2001, n. 165, scorrimento di vigenti graduatorie di concorsi pubblici o attraverso i concorsi unici di cui all'articolo 19, del decreto del Presidente della Repubblica 9 maggio 1994, n. 487, nonche' ad avvalersi di personale non dirigenziale posto in posizione di comando, ai sensi dell'articolo 17, comma 14, della legge 15 maggio 1997, n. 127, di aspettativa, distacco o fuori ruolo ovvero altro analogo istituto previsto dai rispettivi ordinamenti, ad esclusione del personale docente, educativo, amministrativo, tecnico e ausiliario delle istituzioni scolastiche. All'atto del collocamento fuori ruolo e' reso indisponibile, nella dotazione organica dell'amministrazione di provenienza, per tutta la durata del collocamento fuori ruolo, un numero di posti equivalente dal punto di vista finanziario. Ai fini dello svolgimento delle attivita' di collaborazione di cui al comma 1, lettera f) del presente articolo, il Ministero delle imprese e del made in Italy e' autorizzato ad assumere con contratto di lavoro subordinato a tempo indeterminato, con corrispondente incremento della dotazione organica, 2 unita' di personale appartenente all'area dei funzionari del vigente contratto collettivo nazionale - Comparto funzioni centrali, con le medesime modalita' di reclutamento previste dal presente comma. Per le finalita' di cui al presente comma e' autorizzata la spesa 1.088.968 per l'anno 2024 e di euro 3.155.871 annui a decorrere dall'anno 2025. 14. Agli oneri derivanti dai commi 5, e 13 del presente articolo, pari a euro 1.982.173 per l'anno 2024 e pari a euro 6.728.691 annui a decorrere dall'anno 2025, si provvede mediante corrispondente riduzione del Fondo per il recepimento della normativa europea di cui all'articolo 41-bis della legge 24 dicembre 2012, n. 234. 15. L'Agenzia per la Cybersicurezza Nazionale e l'Agenzia Italiana del Farmaco provvedono all'attuazione del presente articolo con le risorse umane strumentali e finanziarie disponibili a legislazione vigente. 16. Con decreto del Presidente del Consiglio dei ministri, di concerto con il Ministro dell'economia e delle finanze, le somme relative alla copertura degli oneri di funzionamento sono ripartite tra le ASC in ragione del numero dei settori, dei sottosettori e delle categorie dei potenziali soggetti critici, nonche' dei relativi elementi di complessita' tecnica.
Note all'art. 5: - Si riporta l'articolo 1 del decreto-legge 14 giugno 2021, n. 82 (Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale), convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, pubblicato nella Gazzetta Ufficiale n. 140 del 14 giugno 2021: «Art. 1. (Definizioni). - 1. Ai fini del presente decreto si intende per: a) cybersicurezza, l'insieme delle attivita', fermi restando le attribuzioni di cui alla legge 3 agosto 2007, n. 124, e gli obblighi derivanti da trattati internazionali, necessarie per proteggere dalle minacce informatiche reti, sistemi informativi, servizi informatici e comunicazioni elettroniche, assicurandone la disponibilita', la confidenzialita' e l'integrita' e garantendone la resilienza, anche ai fini della tutela della sicurezza nazionale e dell'interesse nazionale nello spazio cibernetico; b) resilienza nazionale nello spazio cibernetico, le attivita' volte a prevenire un pregiudizio per la sicurezza nazionale come definito dall' articolo 1, comma 1, lettera f), del regolamento di cui al decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131; c) decreto-legge perimetro, il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica; d) decreto legislativo NIS, il decreto legislativo 18 maggio 2018, n. 65, di attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione; e) strategia nazionale di cybersicurezza, la strategia di cui all' articolo 6 del decreto legislativo NIS.» - Per la legge 3 agosto 2007, n. 124 (Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto) si rinvia alle note alle premesse. - Si riporta l'articolo 7 del decreto legislativo 30 luglio 1999, n. 303 (Ordinamento della Presidenza del Consiglio dei Ministri, a norma dell'articolo 11 della L. 15 marzo 1997, n. 59), pubblicato nella Gazz. Uff. 1 settembre 1999, n. 205, S.O.: «Art. 7. (Autonomia organizzativa). - 1. Per lo svolgimento delle funzioni istituzionali di cui all'articolo 2, e per i compiti di organizzazione e gestione delle occorrenti risorse umane e strumentali, il Presidente individua con propri decreti le aree funzionali omogenee da affidare alle strutture in cui si articola il Segretariato generale. 2. Con propri decreti, il Presidente determina le strutture della cui attivita' si avvalgono i Ministri o Sottosegretari da lui delegati. 3. I decreti di cui ai commi 1 e 2 indicano il numero massimo degli uffici in cui si articola ogni Dipartimento e dei servizi in cui si articola ciascun ufficio. Alla organizzazione interna delle strutture medesime provvedono, nell'ambito delle rispettive competenze, il Segretario generale ovvero il Ministro o Sottosegretario delegato. 4. Per lo svolgimento di particolari compiti per il raggiungimento di risultati determinati o per la realizzazione di specifici programmi, il Presidente istituisce, con proprio decreto, apposite strutture di missione, la cui durata temporanea, comunque non superiore a quella del Governo che le ha istituite, e' specificata dall'atto istitutivo. Entro trenta giorni dalla data di entrata in vigore della presente disposizione, il Presidente puo' ridefinire le finalita' delle strutture di missione gia' operanti: in tale caso si applica l'articolo 18, comma 3, della legge 23 agosto 1988, n. 400, e successive modificazioni. Sentiti il Comitato nazionale per la bioetica e gli altri organi collegiali che operano presso la Presidenza, il Presidente, con propri decreti, ne disciplina le strutture di supporto. 4-bis. Per le attribuzioni che implicano l'azione unitaria di piu' dipartimenti o uffici a questi equiparabili, il Presidente puo' istituire con proprio decreto apposite unita' di coordinamento interdipartimentale, il cui responsabile e' nominato ai sensi dell'articolo 18, comma 3, della legge 23 agosto 1988, n. 400. Dall'attuazione del presente comma non devono in ogni caso derivare nuovi o maggiori oneri per il bilancio dello Stato. 5. Il Segretario generale e' responsabile del funzionamento del Segretariato generale e della gestione delle risorse umane e strumentali della Presidenza. Il Segretario generale puo' essere coadiuvato da uno o piu' Vicesegretari generali. Per le strutture affidate a Ministri o Sottosegretari, le responsabilita' di gestione competono ai funzionari preposti alle strutture medesime, ovvero, nelle more della preposizione, a dirigenti temporaneamente delegati dal Segretario generale, su indicazione del Ministro o Sottosegretario competente. 6. Le disposizioni che disciplinano i poteri e le responsabilita' dirigenziali nelle pubbliche amministrazioni, con particolare riferimento alla valutazione dei risultati, si applicano alla Presidenza nei limiti e con le modalita' da definirsi con decreto del Presidente, sentite le organizzazioni sindacali, tenuto conto della peculiarita' dei compiti della Presidenza. Il Segretario generale e, per le strutture ad essi affidate, i Ministri o Sottosegretari delegati, indicano i parametri organizzativi e funzionali, nonche' gli obiettivi di gestione e di risultato cui sono tenuti i dirigenti generali preposti alle strutture individuate dal Presidente. 7. Il Presidente, con propri decreti, individua gli uffici di diretta collaborazione propri e, sulla base delle relative proposte, quelli dei Ministri senza portafoglio o sottosegretari della Presidenza, e ne determina la composizione. 8. La razionalita' dell'ordinamento e dell'organizzazione della Presidenza e' sottoposta a periodica verifica triennale, anche mediante ricorso a strutture specializzate pubbliche o private. Il Presidente informa le Camere dei risultati della verifica. In sede di prima applicazione del presente decreto, la verifica e' effettuata dopo due anni.» - La direttiva (UE) 2022/2557, del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio, e' pubblicata nella Gazzetta ufficiale dell'Unione europea del 27 dicembre 2022, n. L 333. - Per il testo degli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124 si rinvia alle note all'articolo 1. - Si riporta l'articolo 19 del decreto del Presidente della Repubblica 9 maggio 1994, n. 487, (Regolamento recante norme sull'accesso agli impieghi nelle pubbliche amministrazioni e le modalita' di svolgimento dei concorsi, dei concorsi unici e delle altre forme di assunzione nei pubblici impieghi), pubblicato nella Gazzetta Ufficiale n. 185 del 9 agosto 1994, S.O. n. 113: «Art. 19 (Concorsi unici per il reclutamento dei dirigenti e delle figure professionali comuni a tutte le amministrazioni pubbliche). - 1. Il reclutamento dei dirigenti e delle figure professionali comuni a tutte le amministrazioni pubbliche di cui all'articolo 35, comma 4, secondo periodo, del decreto legislativo 30 marzo 2001, n. 165, si svolge mediante concorsi pubblici unici, nonche' ai sensi di quanto previsto agli articoli 28 e 28-bis del medesimo decreto legislativo, nel rispetto dei principi di imparzialita', trasparenza e buon andamento, nonche' dei principi selettivi, delle finalita' e delle modalita', in quanto compatibili, di cui al capo I. 2. Con le modalita' di cui all'articolo 35, comma 4, secondo periodo, del decreto legislativo 30 marzo 2001, n. 165, o previste dalla normativa vigente, le amministrazioni e gli enti ivi indicati possono essere autorizzati dal Dipartimento della funzione pubblica della Presidenza del Consiglio dei ministri a svolgere direttamente i concorsi pubblici per specifiche professionalita'. 3. Le regioni e gli enti locali, le istituzioni universitarie e gli enti pubblici di ricerca possono aderire alla ricognizione dei fabbisogni per l'indizione dei concorsi unici di cui all'articolo 21, comma 1, e, in caso di adesione, si obbligano ad attingere alle relative graduatorie in caso di fabbisogno, nel rispetto dei vincoli finanziari loro applicabili in materia di assunzioni. 4. Al fine di assicurare la massima trasparenza delle procedure, il Dipartimento della funzione pubblica della Presidenza del Consiglio dei ministri garantisce, mediante il Portale, la diffusione di ogni informazione utile sullo stato della procedura di reclutamento e selezione. 5. Per l'applicazione software dedicata allo svolgimento delle prove concorsuali e le connesse procedure, ivi compreso lo scioglimento dell'anonimato anche con modalita' digitali, il Dipartimento della funzione pubblica della Presidenza del Consiglio dei ministri, anche per il tramite di FormezPA, puo' avvalersi di CINECA Consorzio Interuniversitario, con oneri a carico delle amministrazioni interessate alle procedure concorsuali nei limiti delle risorse disponibili a legislazione vigente. 6. La commissione esaminatrice e le sottocommissioni possono svolgere i propri lavori in modalita' telematica, garantendo comunque la sicurezza e la tracciabilita' delle comunicazioni. 7. Per le procedure di cui al presente articolo, i termini previsti dall'articolo 34-bis, commi 2 e 4, del decreto legislativo 30 marzo 2001, n. 165, sono stabiliti, rispettivamente, in otto e venti giorni. 8. Per lo svolgimento delle procedure dei concorsi unici il bando di concorso puo' fissare un contributo di ammissione per ciascun candidato non superiore a 10 euro per i concorsi per il personale non dirigenziale e di importo compreso tra i 10 e i 15 euro per i concorsi per il personale dirigenziale.» - Si riporta l'articolo 30 del decreto legislativo 30 marzo 2001, n. 165 (Norme generali sull'ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche), pubblicato nella Gazzetta Ufficiale n. 106 del 9 maggio 2001, S.O. n. 112: «Art. 30 (Passaggio diretto di personale tra amministrazioni diverse). - 1. Le amministrazioni possono ricoprire posti vacanti in organico mediante passaggio diretto di dipendenti di cui all'articolo 2, comma 2, appartenenti a una qualifica corrispondente e in servizio presso altre amministrazioni, che facciano domanda di trasferimento. E' richiesto il previo assenso dell'amministrazione di appartenenza nel caso in cui si tratti di posizioni dichiarate motivatamente infungibili dall'amministrazione cedente o di personale assunto da meno di tre anni o qualora la mobilita' determini una carenza di organico superiore al 20 per cento nella qualifica corrispondente a quella del richiedente. E' fatta salva la possibilita' di differire, per motivate esigenze organizzative, il passaggio diretto del dipendente fino ad un massimo di sessanta giorni dalla ricezione dell'istanza di passaggio diretto ad altra amministrazione. Le disposizioni di cui ai periodi secondo e terzo non si applicano al personale delle aziende e degli enti del servizio sanitario nazionale e degli enti locali con un numero di dipendenti a tempo indeterminato non superiore a 100, per i quali e' comunque richiesto il previo assenso dell'amministrazione di appartenenza. Al personale della scuola continuano ad applicarsi le disposizioni vigenti in materia. Le amministrazioni, fissando preventivamente i requisiti e le competenze professionali richieste, pubblicano sul proprio sito istituzionale, per un periodo pari almeno a trenta giorni, un bando in cui sono indicati i posti che intendono ricoprire attraverso passaggio diretto di personale di altre amministrazioni, con indicazione dei requisiti da possedere. In via sperimentale e fino all'introduzione di nuove procedure per la determinazione dei fabbisogni standard di personale delle amministrazioni pubbliche, per il trasferimento tra le sedi centrali di differenti ministeri, agenzie ed enti pubblici non economici nazionali non e' richiesto l'assenso dell'amministrazione di appartenenza, la quale dispone il trasferimento entro due mesi dalla richiesta dell'amministrazione di destinazione, fatti salvi i termini per il preavviso e a condizione che l'amministrazione di destinazione abbia una percentuale di posti vacanti superiore all'amministrazione di appartenenza. 1.1. Per gli enti locali con un numero di dipendenti compreso tra 101 e 250, la percentuale di cui al comma 1 e' stabilita al 5 per cento; per gli enti locali con un numero di dipendenti non superiore a 500, la predetta percentuale e' fissata al 10 per cento. La percentuale di cui al comma 1 e' da considerare all'esito della mobilita' e riferita alla dotazione organica dell'ente. 1-bis. L'amministrazione di destinazione provvede alla riqualificazione dei dipendenti la cui domanda di trasferimento e' accolta, eventualmente avvalendosi, ove sia necessario predisporre percorsi specifici o settoriali di formazione, della Scuola nazionale dell'amministrazione. All'attuazione del presente comma si provvede utilizzando le risorse umane, strumentali e finanziarie disponibili a legislazione vigente e, comunque, senza nuovi o maggiori oneri per la finanza pubblica. 1-ter. La dipendente vittima di violenza di genere inserita in specifici percorsi di protezione, debitamente certificati dai servizi sociali del comune di residenza, puo' presentare domanda di trasferimento ad altra amministrazione pubblica ubicata in un comune diverso da quello di residenza, previa comunicazione all'amministrazione di appartenenza. Entro quindici giorni dalla suddetta comunicazione l'amministrazione di appartenenza dispone il trasferimento presso l'amministrazione indicata dalla dipendente, ove vi siano posti vacanti corrispondenti alla sua qualifica professionale. 1-quater. A decorrere dal 1° luglio 2022, ai fini di cui al comma 1 e in ogni caso di avvio di procedure di mobilita', le amministrazioni provvedono a pubblicare il relativo avviso in una apposita sezione del Portale unico del reclutamento di cui all'articolo 35-ter. Il personale interessato a partecipare alle predette procedure invia la propria candidatura, per qualsiasi posizione disponibile, previa registrazione nel Portale corredata del proprio curriculum vitae esclusivamente in formato digitale. Dalla presente disposizione non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. 1-quinquies. Per il personale non dirigenziale delle amministrazioni di cui all'articolo 1, comma 2, delle autorita' amministrative indipendenti e dei soggetti di cui all'articolo 70, comma 4, i comandi o distacchi sono consentiti esclusivamente nel limite del 25 per cento dei posti non coperti all'esito delle procedure di mobilita' di cui al presente articolo. La disposizione di cui al primo periodo non si applica ai comandi o distacchi obbligatori, previsti da disposizioni di legge, ivi inclusi quelli relativi agli uffici di diretta collaborazione, nonche' a quelli relativi alla partecipazione ad organi, comunque denominati, istituiti da disposizioni legislative o regolamentari che prevedono la partecipazione di personale di amministrazioni diverse, nonche' ai comandi presso le sedi territoriali dei ministeri, o presso le Unioni di comuni per i Comuni che ne fanno parte. 2. Nell'ambito dei rapporti di lavoro di cui all'articolo 2, comma 2, i dipendenti possono essere trasferiti all'interno della stessa amministrazione o, previo accordo tra le amministrazioni interessate, in altra amministrazione, in sedi collocate nel territorio dello stesso comune ovvero a distanza non superiore a cinquanta chilometri dalla sede cui sono adibiti. Ai fini del presente comma non si applica il terzo periodo del primo comma dell'articolo 2103 del codice civile. Con decreto del Ministro per la semplificazione e la pubblica amministrazione, previa consultazione con le confederazioni sindacali rappresentative e previa intesa, ove necessario, in sede di conferenza unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, possono essere fissati criteri per realizzare i processi di cui al presente comma, anche con passaggi diretti di personale tra amministrazioni senza preventivo accordo, per garantire l'esercizio delle funzioni istituzionali da parte delle amministrazioni che presentano carenze di organico. Le disposizioni di cui al presente comma si applicano ai dipendenti con figli di eta' inferiore a tre anni, che hanno diritto al congedo parentale, e ai soggetti di cui all'articolo 33, comma 3, della legge 5 febbraio 1992, n. 104, e successive modificazioni, con il consenso degli stessi alla prestazione della propria attivita' lavorativa in un'altra sede. 2.1. Nei casi di cui ai commi 1 e 2 per i quali sia necessario un trasferimento di risorse, si applica il comma 2.3. 2.2 I contratti collettivi nazionali possono integrare le procedure e i criteri generali per l'attuazione di quanto previsto dai commi 1 e 2. Sono nulli gli accordi, gli atti o le clausole dei contratti collettivi in contrasto con le disposizioni di cui ai commi 1 e 2. 2.3 Al fine di favorire i processi di cui ai commi 1 e 2, e' istituito, nello stato di previsione del Ministero dell'economia e delle finanze, un fondo destinato al miglioramento dell'allocazione del personale presso le pubbliche amministrazioni, con una dotazione di 15 milioni di euro per l'anno 2014 e di 30 milioni di euro a decorrere dall'anno 2015, da attribuire alle amministrazioni destinatarie dei predetti processi. Al fondo confluiscono, altresi', le risorse corrispondenti al cinquanta per cento del trattamento economico spettante al personale trasferito mediante versamento all'entrata dello Stato da parte dell'amministrazione cedente e corrispondente riassegnazione al fondo ovvero mediante contestuale riduzione dei trasferimenti statali all'amministrazione cedente. I criteri di utilizzo e le modalita' di gestione delle risorse del fondo sono stabiliti con decreto del Presidente del Consiglio dei Ministri, di concerto con il Ministro dell'economia e delle finanze. In sede di prima applicazione, nell'assegnazione delle risorse vengono prioritariamente valutate le richieste finalizzate all'ottimale funzionamento degli uffici giudiziari che presentino rilevanti carenze di personale e conseguentemente alla piena applicazione della riforma delle province di cui alla legge 7 aprile 2014, n. 56. Le risorse sono assegnate alle amministrazioni di destinazione sino al momento di effettiva permanenza in servizio del personale oggetto delle procedure di cui ai commi 1 e 2. 2.4 Agli oneri derivanti dall'attuazione del comma 2.3, pari a 15 milioni di euro per l'anno 2014 e a 30 milioni di euro a decorrere dall'anno 2015, si provvede, quanto a 6 milioni di euro per l'anno 2014 e a 9 milioni di euro a decorrere dal 2015 mediante corrispondente riduzione dell'autorizzazione di spesa di cui all'articolo 3, comma 97, della legge 24 dicembre 2007, n. 244, quanto a 9 milioni di euro a decorrere dal 2014 mediante corrispondente riduzione dell'autorizzazione di spesa di cui all'articolo 1, comma 14, del decreto-legge del 3 ottobre 2006, n. 262 convertito con modificazioni, dalla legge 24 novembre 2006, n. 286 e quanto a 12 milioni di euro a decorrere dal 2015 mediante corrispondente riduzione dell'autorizzazione di spesa di cui all'articolo 1, comma 527, della legge 27 dicembre 2006, n. 296. A decorrere dall'anno 2015, il fondo di cui al comma 2.3 puo' essere rideterminato ai sensi dell'articolo 11, comma 3, lettera d), della legge 31 dicembre 2009, n. 196. Il Ministro dell'economia e delle finanze e' autorizzato ad apportare con propri decreti le occorrenti variazioni di bilancio per l'attuazione del presente articolo. 2-bis. Le amministrazioni, prima di procedere all'espletamento di procedure concorsuali, finalizzate alla copertura di posti vacanti in organico, devono attivare le procedure di mobilita' di cui al comma 1, provvedendo, in via prioritaria, all'immissione in ruolo dei dipendenti, provenienti da altre amministrazioni, in posizione di comando o di fuori ruolo, appartenenti alla stessa area funzionale, che facciano domanda di trasferimento nei ruoli delle amministrazioni in cui prestano servizio. Il trasferimento e' disposto, nei limiti dei posti vacanti, con inquadramento nell'area funzionale e posizione economica corrispondente a quella posseduta presso le amministrazioni di provenienza; il trasferimento puo' essere disposto anche se la vacanza sia presente in area diversa da quella di inquadramento assicurando la necessaria neutralita' finanziaria. 2-ter. L'immissione in ruolo di cui al comma 2-bis, limitatamente alla Presidenza del Consiglio dei ministri e al Ministero degli affari esteri, in ragione della specifica professionalita' richiesta ai propri dipendenti, avviene previa valutazione comparativa dei titoli di servizio e di studio, posseduti dai dipendenti comandati o fuori ruolo al momento della presentazione della domanda di trasferimento, nei limiti dei posti effettivamente disponibili. 2-quater. La Presidenza del Consiglio dei ministri, per fronteggiare le situazioni di emergenza in atto, in ragione della specifica professionalita' richiesta ai propri dipendenti puo' procedere alla riserva di posti da destinare al personale assunto con ordinanza per le esigenze della Protezione civile e del servizio civile, nell'ambito delle procedure concorsuali di cui all'articolo 3, comma 59, della legge 24 dicembre 2003, n. 350, e all'articolo 1, comma 95, della legge 30 dicembre 2004, n. 311".218 2-quinquies. Salvo diversa previsione, a seguito dell'iscrizione nel ruolo dell'amministrazione di destinazione, al dipendente trasferito per mobilita' si applica esclusivamente il trattamento giuridico ed economico, compreso quello accessorio, previsto nei contratti collettivi vigenti nel comparto della stessa amministrazione. 2-sexies. Le pubbliche amministrazioni, per motivate esigenze organizzative, risultanti dai documenti di programmazione previsti all'articolo 6, possono utilizzare in assegnazione temporanea, con le modalita' previste dai rispettivi ordinamenti, personale di altre amministrazioni per un periodo non superiore a tre anni, fermo restando quanto gia' previsto da norme speciali sulla materia, nonche' il regime di spesa eventualmente previsto da tali norme e dal presente decreto». - Si riporta il comma 14 dell'articolo 17 della legge 15 maggio 1997, n. 127 (Misure urgenti per lo snellimento dell'attivita' amministrativa e dei procedimenti di decisione e di controllo), pubblicata nella Gazzetta Ufficiale n. 127 del 17 maggio 1997, S.O. n. 113: «14. Nel caso in cui disposizioni di legge o regolamentari dispongano l'utilizzazione presso le amministrazioni pubbliche di un contingente di personale in posizione di fuori ruolo o di comando, le amministrazioni di appartenenza sono tenute ad adottare il provvedimento di fuori ruolo o di comando entro quindici giorni dalla richiesta.» |
| Art. 6
Strategia per la resilienza dei soggetti critici
1. Il Presidente del Consiglio dei ministri, a seguito di una consultazione aperta ai portatori di interesse, sentito il CIR e tenuto conto della strategia nazionale per la cybersicurezza, adotta la strategia nazionale per la resilienza dei soggetti critici, di seguito «strategia», entro il 17 luglio 2025 e, successivamente, la aggiorna almeno ogni quattro anni. 2. La strategia mira al conseguimento e al mantenimento di un livello elevato di resilienza da parte dei soggetti critici e contiene almeno: a) gli obiettivi strategici e le priorita' per conseguire e mantenere un livello elevato di resilienza dei soggetti critici, tenendo conto delle dipendenze e interdipendenze transfrontaliere e intersettoriali; b) l'indicazione delle autorita' coinvolte nell'attuazione della strategia, la descrizione delle competenze, del ruolo e delle responsabilita' di tali autorita', dei soggetti critici e degli altri soggetti coinvolti nella strategia; c) la descrizione delle misure necessarie per conseguire e mantenere un livello elevato di resilienza dei soggetti critici, che comprende una descrizione della valutazione del rischio di cui all'articolo 7; d) la descrizione del procedimento di individuazione dei soggetti critici; e) la descrizione delle misure per sostenere i soggetti critici ai sensi dell'articolo 11, comprese quelle per rafforzare la cooperazione tra le autorita' e gli altri soggetti coinvolti nell'attuazione della strategia; f) un elenco delle principali autorita' e dei pertinenti portatori di interessi, diversi dai soggetti critici, coinvolti nell'attuazione della strategia; g) un quadro strategico per il coordinamento tra le ASC e il PCU, da un lato, e l'Agenzia per la cybersicurezza nazionale di cui al decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, dall'altro, ai fini della condivisione delle informazioni sui rischi, le minacce e gli incidenti, informatici e non, nonche' ai fini dell'esercizio delle rispettive competenze; h) la descrizione delle misure gia' in vigore, volte ad agevolare il rispetto degli obblighi di cui al capo III del presente decreto da parte delle piccole e medie imprese ai sensi della normativa di adeguamento alla raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese, individuate come soggetti critici. 3. Il PCU notifica alla Commissione europea la strategia e i suoi aggiornamenti sostanziali entro tre mesi dalla loro adozione.
Note all'art. 6: - Per i riferimenti del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109 (Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale) si rinvia alle note alle premesse. - La raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese, individuate come soggetti critici, e' pubblicata nella Gazzetta Ufficiale dell'Unione europea 20 maggio 2003, n. L 124. |
| Art. 7
Valutazione del rischio da parte dello Stato
1. Il PCU, entro il 17 luglio 2025 e, successivamente, quando necessario e, in ogni caso, almeno ogni quattro anni, acquisite le valutazioni del rischio da parte delle ASC per i settori di competenza, con riferimento ai servizi essenziali individuati con regolamento delegato (UE) 2023/2450 della Commissione, del 25 luglio 2023, e con il decreto di cui al comma 2, redige la valutazione del rischio dello Stato. 2. Con decreto del Presidente del Consiglio dei ministri, su proposta del CIR, possono essere individuati eventuali servizi essenziali aggiuntivi rispetto a quelli contenuti nell'elenco di cui al regolamento delegato (UE) 2023/2450, sulla base dei seguenti criteri: a) i servizi essenziali aggiuntivi si riferiscono ai settori e ai sottosettori di cui all'allegato A; b) nell'individuazione di un servizio essenziale aggiuntivo si tiene conto delle interdipendenze con gli altri servizi essenziali e dei conseguenti rischi associati a un incidente; c) nell'individuazione dei servizi essenziali aggiuntivi e' assicurato un livello di dettaglio sufficiente a determinare in modo chiaro e univoco i corrispondenti soggetti critici; d) nell'individuazione dei servizi essenziali aggiuntivi sono evitate sovrapposizioni e ridondanze con l'elenco di cui al regolamento delegato (UE) 2023/2450. 3. Ai fini della valutazione del rischio dello Stato, le ASC e il PCU possono consultare i soggetti di cui all'articolo 5, comma 3, lettere da a) a f), i fornitori di servizi essenziali, nonche' esperti anche appartenenti a universita' o enti e istituti di ricerca. 4. La valutazione del rischio dello Stato tiene conto dei rischi rilevanti, naturali e di origine umana, ivi compresi i rischi di natura intersettoriale o transfrontaliera, gli incidenti anche diversi da quelli di cui all'articolo 16, le catastrofi naturali, le emergenze di sanita' pubblica, le minacce ibride e altre minacce antagoniste, inclusi i reati con finalita' di terrorismo anche internazionale. Ai fini dell'individuazione dei rischi di natura intersettoriale o transfrontaliera, il PCU e le ASC, sentito il Ministero degli affari esteri e della cooperazione internazionale, cooperano con le autorita' competenti designate o istituite, ai sensi della direttiva (UE) 2022/2557, da parte degli altri Stati membri e con le autorita' competenti dei Paesi terzi. 5. Ai fini della valutazione del rischio dello Stato, sono presi in considerazione almeno: a) la valutazione generale del rischio effettuata ai sensi dell'articolo 6 della decisione n. 1313/2013/UE, del Parlamento europeo e del Consiglio, del 17 dicembre 2013; b) altre valutazioni del rischio rilevanti, svolte ai sensi di disposizioni nazionali, diverse da quelle previste nel presente decreto, o dell'Unione europea, quali le disposizioni di cui ai decreti legislativi 23 febbraio 2010, n. 49, e 26 giugno 2015, n. 105, e ai regolamenti (UE) 2017/1938 del Parlamento europeo e del Consiglio, del 25 ottobre 2017, e (UE) 2019/941 del Parlamento europeo e del Consiglio, del 5 giugno 2019; c) i rischi pertinenti derivanti dalla misura in cui i settori di cui all'allegato A dipendono l'uno dall'altro, e anche dalla misura in cui essi dipendono da soggetti situati in altri Stati membri dell'Unione europea e in Paesi terzi, nonche' l'impatto che una perturbazione significativa in un settore puo' avere su altri settori, compresi gli eventuali rischi significativi per i cittadini e il mercato interno; d) le informazioni sugli incidenti notificati ai sensi dell'articolo 16. 6. Il PCU mette a disposizione dei soggetti critici gli elementi rilevanti della valutazione del rischio dello Stato. Il PCU garantisce che le informazioni fornite ai soggetti critici siano funzionali affinche' essi effettuino la propria valutazione del rischio ai sensi dell'articolo 13 e adottino le misure per garantire la propria resilienza ai sensi dell'articolo 14. 7. Il PCU trasmette alla Commissione europea le informazioni pertinenti sui tipi di rischi individuati e sui risultati della valutazione del rischio dello Stato, per settore e sottosettore di cui all'allegato A, entro tre mesi dalla sua effettuazione.
Note all'art. 7: - Per i riferimenti del regolamento delegato (UE) 2023/2450 della Commissione, del 25 luglio 2023, si rinvia alle note alle premesse. - Per i riferimenti della direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio si rinvia alle note alle premesse. - La decisione n. 1313/2013/UE, del Parlamento europeo e del Consiglio, del 17 dicembre 2013, su un meccanismo unionale di protezione civile, e' pubblicata nella Gazzetta Ufficiale dell'Unione europea 20 maggio 2003, n. L 124. - Il decreto legislativo 23 febbraio 2010, n. 49, e' pubblicato nella Gazzetta Ufficiale n. 77 del 2 aprile 2010. - Il decreto legislativo 26 giugno 2015, n. 105 (Attuazione della direttiva 2012/18/UE relativa al controllo del pericolo di incidenti rilevanti connessi con sostanze pericolose), e' pubblicato nella Gazzetta Ufficiale n.161 del 14 luglio 2015, S. O. n. 38. - Il regolamento (UE) 2017/1938 del Parlamento europeo e del Consiglio, del 25 ottobre 2017, concernente misure volte a garantire la sicurezza dell'approvvigionamento di gas e che abroga il regolamento (UE) n. 994/2010, e' pubblicato nella Gazzetta Ufficiale dell'Unione europea 28 ottobre 2017, n. L 280. - Il regolamento (UE) 2019/941 del Parlamento europeo e del Consiglio, del 5 giugno 2019 sulla preparazione ai rischi nel settore dell'energia elettrica e che abroga la direttiva 2005/89/CE, e' pubblicato nella Gazzetta Ufficiale dell'Unione europea 14 giugno 2019, n. L 158. |
| Art. 8
Individuazione dei soggetti critici
1. Le ASC, con il procedimento di cui all'articolo 6, comma 2, lettera d), individuano per ciascun settore e sottosettore di cui all'allegato A i soggetti ritenuti critici entro il 17 gennaio 2026 e li comunicano al PCU. 2. In sede di individuazione dei soggetti ritenuti critici, le ASC tengono conto dei risultati della valutazione del rischio dello Stato e della strategia e applicano tutti i seguenti criteri: a) il soggetto fornisce uno o piu' servizi essenziali; b) il soggetto opera, e la sua infrastruttura critica e' situata, in tutto o in parte sul territorio dello Stato; c) un incidente avrebbe effetti negativi rilevanti, ai sensi dell'articolo 9, sulla fornitura da parte del soggetto di uno o piu' servizi essenziali ovvero sulla fornitura di altri servizi essenziali che dipendono da tale o tali servizi essenziali. 3. Il PCU, tenuto conto delle comunicazioni pervenute ai sensi del comma 1, coordina le attivita' delle ASC, avviando, ove necessario, apposite interlocuzioni per garantire l'omogeneita' dei criteri applicati, nel rispetto di quanto previsto dal decreto del Presidente del Consiglio dei ministri di cui all'articolo 9, comma 2, e forma un elenco dei soggetti critici. 4. Con decreto del Presidente del Consiglio dei ministri, sentito il CIR, entro il 17 luglio 2026, e' adottato l'elenco dei soggetti critici individuati ai sensi del comma 3. Il decreto di cui al primo periodo non e' soggetto a pubblicazione ed e' escluso dall'accesso. 5. Entro trenta giorni dall'adozione dell'elenco di cui al comma 4, il PCU notifica ai soggetti che vi compaiono che i medesimi sono stati individuati come soggetti critici. Con la notifica di cui al primo periodo, il PCU informa tali soggetti critici degli obblighi di cui ai capi III e IV e del fatto che gli stessi obblighi si applicano dopo la scadenza del termine di dieci mesi dalla medesima notifica, fatto salvo quanto previsto dall'articolo 13, comma 1, e dall'articolo 17, comma 2. Il PCU informa, altresi', i soggetti critici dei settori bancario, delle infrastrutture dei mercati finanziari e delle infrastrutture digitali, di cui all'articolo 10, che essi non sono soggetti agli obblighi di cui all'articolo 12 e ai capi III e IV. La medesima notifica contiene l'indicazione dell'ASC di riferimento. 6. Il PCU, entro trenta giorni dall'adozione dell'elenco di cui al comma 4, notifica all'Agenzia per la cybersicurezza nazionale l'identita' dei soggetti critici. Tale notifica indica anche a quali soggetti critici non si applicano, ai sensi dell'articolo 10, l'articolo 12 e i capi III, IV e VI. 7. L'elenco di cui al comma 4 e' trasmesso anche agli organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124, con l'indicazione dei soggetti di cui al secondo periodo del comma 6. 8. A seguito dell'individuazione dei soggetti critici e, successivamente, quando necessario e, in ogni caso, almeno ogni quattro anni, il PCU notifica senza indebito ritardo alla Commissione europea le seguenti informazioni: a) l'elenco dei servizi essenziali individuati con il decreto del Presidente del Consiglio dei ministri di cui all'articolo 7, comma 2; b) il numero di soggetti critici per ciascun settore e sottosettore di cui all'allegato A e per ciascun servizio essenziale; c) le soglie di cui all'articolo 9, comma 2, presentate come tali o in forma aggregata. 9. L'elenco dei soggetti critici di cui al comma 4 e' riesaminato e, se del caso, aggiornato, quando necessario e, in ogni caso, almeno ogni quattro anni, con le medesime modalita' di cui ai commi 1, 2, 3 e 4. Qualora tali aggiornamenti portino all'individuazione di soggetti critici ulteriori, si applicano i commi 5 e 6. Ai soggetti critici che in sede di aggiornamento non sono confermati, il PCU notifica tempestivamente tale decisione, anche informandoli che, a decorrere dalla data di ricevimento della notifica, non sono soggetti agli obblighi previsti dal presente decreto. 10. I soggetti di carattere regionale ritenuti critici sono individuati con decreto del Ministro dell'ambiente e della sicurezza energetica nel settore dell'energia di cui al numero 1 dell'allegato A, con decreto del Ministro delle infrastrutture e dei trasporti nel settore dei trasporti di cui al numero 2 dell'allegato A, con decreto del Ministro della salute nel settore della salute di cui al numero 5 dell'allegato A, con decreto del Ministro dell'ambiente e della sicurezza energetica nel settore dell'acqua potabile di cui al numero 6 dell'allegato A e nel settore delle acque reflue di cui al numero 7 dell'allegato A, con decreto del Ministro dell'agricoltura, della sovranita' alimentare e delle foreste nel settore della produzione, trasformazione e distribuzione di alimenti di cui al numero 11 dell'allegato A. I decreti di cui al primo periodo sono adottati previa intesa in sede di Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano, ai sensi dell'articolo 3 del decreto legislativo 28 agosto 1997, n. 281.
Note all'art. 8: - Per il testo degli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124 si rinvia alle note all'articolo 1. - Si riporta l'articolo 3 del decreto legislativo 28 agosto 1997, n. 281 (Definizione ed ampliamento delle attribuzioni della Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e Bolzano ed unificazione, per le materie ed i compiti di interesse comune delle regioni, delle province e dei comuni, con la Conferenza Stato-citta' ed autonomie locali): «Art. 3. (Intese.). - 1. Le disposizioni del presente articolo si applicano a tutti i procedimenti in cui la legislazione vigente prevede un'intesa nella Conferenza Stato-regioni. 2. Le intese si perfezionano con l'espressione dell'assenso del Governo e dei presidenti delle regioni e delle province autonome di Trento e di Bolzano. 3. Quando un'intesa espressamente prevista dalla legge non e' raggiunta entro trenta giorni dalla prima seduta della Conferenza Stato-regioni in cui l'oggetto e' posto all'ordine del giorno, il Consiglio dei Ministri provvede con deliberazione motivata. 4. In caso di motivata urgenza il Consiglio dei Ministri puo' provvedere senza l'osservanza delle disposizioni del presente articolo. I provvedimenti adottati sono sottoposti all'esame della Conferenza Stato-regioni nei successivi quindici giorni. Il Consiglio dei Ministri e' tenuto ad esaminare le osservazioni della Conferenza Stato-regioni ai fini di eventuali deliberazioni successive.». |
| Art. 9
Effetti negativi rilevanti
1. Nella determinazione della rilevanza degli effetti negativi di cui all'articolo 8, comma 2, lettera c), le ASC e il PCU tengono conto dei seguenti criteri: a) il numero di utenti che dipendono dal servizio essenziale fornito dal soggetto; b) la misura in cui altri settori e sottosettori di cui all'allegato A dipendono dal servizio essenziale in questione; c) l'impatto che gli incidenti potrebbero avere, in termini di entita' e di durata, sulle attivita' economiche o sociali, sull'ambiente, sulla pubblica sicurezza, sull'incolumita' pubblica o sulla salute pubblica; d) la quota di mercato del soggetto nel mercato del servizio essenziale fornito; e) l'area geografica, anche transfrontaliera, che potrebbe essere interessata da un incidente, tenendo conto della vulnerabilita' associata al grado di isolamento di alcuni tipi di aree geografiche, quali quelle insulari, remote o montane; f) l'importanza del soggetto nel mantenimento di un livello sufficiente del servizio essenziale, tenendo conto della disponibilita' di strumenti alternativi per la fornitura di tale servizio essenziale. 2. Entro il 17 luglio 2025, con decreto del Presidente del Consiglio dei ministri, adottato su proposta del CIR, sono definite le soglie per l'applicazione di uno o piu' criteri di cui al comma 1, anche differenziate in ragione del settore di appartenenza. 3. Lo schema di decreto di cui al comma 2 e' trasmesso alla Camera dei deputati e al Senato della Repubblica per l'espressione del parere delle Commissioni parlamentari competenti per materia, che si pronunciano nel termine di trenta giorni, decorso il quale il decreto puo' essere comunque adottato. |
| Art. 10 Soggetti critici del settore bancario, delle infrastrutture dei mercati finanziari e delle infrastrutture digitali
1. Le disposizioni di cui all'articolo 12 e ai capi III, IV e VI non si applicano ai soggetti critici dei settori di cui ai numeri 3, 4 e 8 dell'allegato A, ai quali si applica la specifica disciplina settoriale. |
| Art. 11
Sostegno ai soggetti critici
1. Ferme restando le disposizioni in materia di aiuti di Stato, il PCU e le ASC, anche sulla base della valutazione del rischio dello Stato, sostengono i soggetti critici nel rafforzamento della loro resilienza, attraverso attivita' di scambio con essi di buone prassi, elaborazione di modelli, linee guida e metodologie di analisi, supporto nell'organizzazione di esercitazioni volte a testare la loro resilienza, nonche' nella realizzazione di corsi di formazione per il loro personale e, ove possibile, attraverso attivita' di consulenza. 2. Il PCU e le ASC agevolano la condivisione volontaria di informazioni fra i soggetti critici in relazione alle materie disciplinate dal presente decreto, nel rispetto delle disposizioni nazionali e del diritto dell'Unione europea relative alle informazioni classificate e sensibili, alla concorrenza e alla protezione dei dati personali. 3. Il PCU convoca e coordina, con cadenza periodica almeno annuale, anche su richiesta dei componenti, una conferenza per la resilienza dei soggetti critici (CRSC) composta da un rappresentante per ciascuna delle ASC, un rappresentante del Ministero dell'interno, uno del Ministero della difesa, uno del Dipartimento della protezione civile della Presidenza del Consiglio dei ministri e uno dell'Agenzia per la cybersicurezza nazionale. 4. Alla conferenza di cui al comma 3 possono partecipare i soggetti critici appartenenti ai settori di volta in volta oggetto della medesima conferenza, rappresentati dai membri del proprio personale di cui all'articolo 14, comma 3, nonche' soggetti pubblici e privati invitati dal PCU in base all'oggetto della conferenza. 5. La CRSC tratta questioni attinenti alla resilienza dei soggetti critici, agevola la condivisione, tra i componenti, di informazioni e delle migliori prassi e formula proposte in materia di rafforzamento della resilienza dei soggetti critici. 6. Ai componenti della CRSC non spettano compensi, gettoni di presenza, rimborsi di spese o altri emolumenti comunque denominati. 7. Alle attivita' di cui al comma 1, si provvede nei limiti delle risorse destinate al funzionamento di cui all'articolo 5, comma 16, del presente decreto. |
| Art. 12
Cooperazione con gli Stati membri dell'Unione europea
1. Quando opportuno, il PCU e, per il tramite di quest'ultimo, le ASC consultano i punti di contatto unici ovvero le autorita' competenti designati o istituiti da parte degli altri Stati membri, ai sensi della direttiva (UE) 2022/2557, al fine di un'applicazione coerente della medesima direttiva, in merito ai soggetti critici che: a) utilizzano infrastrutture critiche che collegano fisicamente l'Italia e uno o piu' Stati membri; b) fanno parte di strutture societarie collegate o associate a soggetti individuati, ai sensi della direttiva (UE) 2022/2557, come soggetti critici da parte degli altri Stati membri; c) forniscono servizi essenziali a o in altri Stati membri. 2. Il PCU riceve le richieste di consultazione da parte degli altri Stati membri e le comunica senza ritardo alle autorita' competenti interessate. 3. Le consultazioni di cui ai commi 1 e 2 sono intese a rafforzare la resilienza dei soggetti critici e, ove possibile, a ridurre gli oneri amministrativi a loro carico. 4. All'attuazione del presente articolo le amministrazioni interessate provvedono con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente.
Note all'art. 12: - Per i riferimenti della direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio si rinvia alle note alle premesse. |
| Art. 13
Valutazione del rischio da parte dei soggetti critici
1. Fermo restando il termine di dieci mesi di cui all'articolo 8, comma 5, i soggetti critici, al fine di valutare tutti i rischi rilevanti che potrebbero perturbare la fornitura dei loro servizi essenziali, effettuano una valutazione del rischio entro nove mesi dal ricevimento della notifica di cui al medesimo articolo 8, comma 5, e, successivamente, quando necessario e, in ogni caso, almeno ogni quattro anni, basandosi sulla valutazione del rischio dello Stato e su altre fonti di informazioni rilevanti. 2. Ai fini della valutazione del rischio di cui al comma 1, i soggetti critici individuano le proprie infrastrutture critiche ai sensi dell'articolo 2, comma 1, lettera d). 3. La valutazione del rischio dei soggetti critici tiene conto: a) dei rischi rilevanti naturali e di origine umana che potrebbero causare un incidente, ivi compresi i rischi di natura intersettoriale o transfrontaliera, gli incidenti, le catastrofi naturali, le emergenze di sanita' pubblica, le minacce ibride e altre minacce antagoniste, inclusi i reati con finalita' di terrorismo anche internazionale; b) della misura in cui altri settori di cui all'allegato A dipendono dal servizio essenziale fornito dal soggetto critico e della misura in cui tale soggetto critico dipende dai servizi essenziali forniti da parte di terzi in taluni altri settori, eventualmente anche in altri Stati membri e nei Paesi terzi vicini. 4. I soggetti critici possono adempiere gli obblighi di cui ai commi 1, 2 e 3 utilizzando documenti gia' predisposti ai sensi di disposizioni giuridiche pertinenti, diverse da quelle di cui al presente decreto, a condizione che tali documenti tengano conto dei rischi di cui al comma 3, lettera a), e della misura di dipendenza di cui al comma 3, lettera b). 5. Nell'esercizio delle funzioni di vigilanza di cui all'articolo 20, le ASC dichiarano se con i documenti gia' adottati di cui al comma 4 i soggetti critici hanno, in tutto o in parte, adempiuto agli obblighi di cui ai commi 1, 2 e 3. |
| Art. 14
Misure di resilienza dei soggetti critici
1. I soggetti critici, tenuto conto delle proprie infrastrutture critiche, individuate in base all'articolo 13, comma 2, adottano e applicano misure tecniche, di sicurezza e di organizzazione, adeguate e proporzionate, per garantire la propria resilienza, sulla base delle informazioni pertinenti fornite in merito alla valutazione del rischio dello Stato, messe a disposizione dal PCU ai sensi dell'articolo 7, comma 6, nonche' sulla base dei risultati della valutazione del rischio dei soggetti critici. 2. Le misure di cui al comma 1 includono quelle necessarie per: a) evitare il verificarsi di incidenti, anche considerando l'adozione di misure di riduzione del rischio di catastrofi e di misure di adattamento ai cambiamenti climatici; b) realizzare un'adeguata protezione fisica dei propri siti e delle infrastrutture critiche, anche considerando, a mero titolo esemplificativo, recinzioni, barriere, strumenti e routine di controllo del perimetro, impianti di rilevamento e controllo degli accessi; c) contrastare e resistere alle conseguenze degli incidenti, nonche' mitigarle, anche considerando procedure e protocolli di gestione dei rischi e delle crisi, nonche' pratiche di allerta; d) ripristinare le proprie capacita' operative in caso di incidenti, anche considerando l'adozione di misure per la continuita' operativa e per l'individuazione di catene di approvvigionamento alternative, al fine di ripristinare la fornitura del servizio essenziale; e) garantire un'adeguata gestione della sicurezza del personale, inclusi: 1) l'individuazione di categorie di personale che svolgono funzioni critiche, ivi compreso il personale dei fornitori esterni di servizi; 2) il rilascio di autorizzazioni per l'accesso ai siti, alle infrastrutture critiche e alle informazioni sensibili; 3) le procedure per il controllo dei precedenti personali e la designazione di categorie di persone tenute a sottoporsi a tale controllo ai sensi dell'articolo 15; 4) adeguati requisiti di formazione e adeguate qualifiche; f) informare il personale in merito ai rischi e alle misure adottate ai sensi delle lettere da a) ad e), anche considerando misure quali la realizzazione di corsi di formazione, di materiale informativo e di esercitazioni. 3. I soggetti critici si dotano di un'adeguata organizzazione interna, e designano un soggetto, da comunicare alle ASC e al PCU, al fine di assicurare l'attuazione degli adempimenti previsti dal presente decreto per i soggetti critici, nonche' il collegamento con le ASC e con il PCU. Per le finalita' di cui al primo periodo i soggetti critici pubblici provvedono nell'ambito delle risorse umane, strumentali, finanziarie disponibili a legislazione vigente. 4. I soggetti critici predispongono e applicano un piano di resilienza in cui sono descritte le misure adottate ai sensi dei commi 1, 2 e 3. I soggetti critici aggiornano il piano di resilienza quando necessario e, in ogni caso, almeno ogni tre anni. Qualora i soggetti critici abbiano redatto documenti o adottato misure ai sensi di disposizioni giuridiche pertinenti diverse da quelle di cui al presente decreto per le misure stabilite dai commi 1, 2 e 3, essi possono utilizzare tali documenti e misure per soddisfare i requisiti stabiliti dal presente articolo. 5. Nell'esercizio delle loro funzioni di vigilanza, le ASC dichiarano se le misure e i documenti di cui al comma 4 sono conformi, in tutto o in parte, agli obblighi di cui al presente articolo. |
| Art. 15
Controlli dei precedenti personali
1. Anche al di fuori delle ipotesi gia' previste dal testo unico delle disposizioni legislative e regolamentari in materia di casellario giudiziale, di casellario giudiziale europeo, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, di cui al decreto del Presidente della Repubblica 14 novembre 2002, n. 313, il soggetto critico, tenendo conto della valutazione del rischio dello Stato, puo' richiedere il certificato di cui all'articolo 28-bis del medesimo testo unico di cui al decreto del Presidente della Repubblica n. 313 del 2002, per le persone: a) che rivestono ruoli sensibili all'interno dello stesso soggetto critico o a vantaggio di quest'ultimo, con particolare riferimento ai ruoli con competenze in materia di resilienza; b) che sono autorizzate ad accedere, direttamente o a distanza, ai siti o ai suoi sistemi informatici o di controllo; c) candidate per l'assunzione in ruoli con caratteristiche che rientrano nelle lettere a) o b). 2. Ai fini dell'istanza di cui al comma 1, il soggetto critico trasmette alla ASC una richiesta motivata con specifico riferimento alle condizioni di cui alle lettere a), b) e c) del medesimo comma 1 e ai reati ritenuti rilevanti ai fini del ruolo da ricoprire. La ASC valuta la sussistenza delle condizioni necessarie e della motivazione e verifica che i controlli richiesti siano proporzionati e strettamente limitati a quanto necessario, anche con riferimento alla rilevanza dei reati, nonche' che siano effettuati al solo scopo di valutare un potenziale rischio per la sicurezza del soggetto critico interessato. Nel caso in cui la ASC non fornisca risposta entro dieci giorni dalla data di ricevimento della richiesta di cui al primo periodo, l'autorizzazione alla presentazione dell'istanza di cui al comma 1 si intende negata. 3. Con decreto del Presidente del Consiglio dei ministri, sentito il Garante per la protezione dei dati personali, sono individuate le modalita' ed i tempi di conservazione dei certificati del casellario giudiziale europeo nel rispetto della disciplina nazionale ed europea. 4. L'ufficio centrale di cui agli articoli 2, comma 1, lettera p), e 19 del testo unico di cui al decreto del Presidente della Repubblica n. 313 del 2002, fornisce risposte alle richieste di cui al comma 1 entro dieci giorni lavorativi dalla data di ricevimento della richiesta e tratta tali richieste nel rispetto delle disposizioni del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, del decreto legislativo 18 maggio 2018, n. 51, e del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016.
Note all'art. 15: Si riporta il testo degli articoli 2, comma 1, lettera p), 19 e 28-bis del testo unico delle disposizioni legislative e regolamentari in materia di casellario giudiziale, di casellario giudiziale europeo, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, di cui al decreto del Presidente della Repubblica 14 novembre 2002, n. 313, pubblicato nella Gazzetta Ufficiale n. 36 del 13 febbraio 2003: «Art. 2 (R) (Definizioni). - 1. Ai fini del presente testo unico, se non diversamente ed espressamente indicato: Omissis p) "ufficio centrale" e' l'ufficio presso la direzione generale degli affari interni del dipartimento per gli affari di giustizia del Ministero della giustizia; Omissis» «Art. 19 (L-R) (Ufficio centrale) (art. 3 R.D. n. 778/1931). - 1. L'ufficio centrale svolge i seguenti compiti: a) raccoglie e conserva i dati immessi nel sistema del casellario giudiziale e dei carichi pendenti, trattando separatamente quelli delle iscrizioni relative ai minorenni; b) raccoglie e conserva i dati immessi nell'anagrafe delle sanzioni amministrative dipendenti da reato e nell'anagrafe dei carichi pendenti delle sanzioni amministrative dipendenti da reato; c) conserva i dati suddetti adottando le piu' idonee modalita' tecniche al fine di consentirne l'immediato utilizzo per la reintegrazione di quelli eventualmente andati persi e per la compilazione dei certificati di emergenza; d) conserva a fini statistici, in modo anonimo, i dati eliminati; e) concorre ad elaborare le modalita' tecniche di funzionamento del sistema di cui all'articolo 42, relative all'iscrizione, eliminazione, scambio, trasmissione e conservazione dei dati nelle procedure degli e tra gli uffici; f) vigila sull'attivita' degli uffici, adottando le misure necessarie per prevenire o rimuovere eventuali irregolarita'; g) adotta le iniziative necessarie e promuove gli interventi opportuni per garantire il pieno svolgimento delle funzioni del casellario giudiziale, del casellario dei carichi pendenti, dell'anagrafe delle sanzioni amministrative dipendenti da reato, dell'anagrafe dei carichi pendenti delle sanzioni amministrative dipendenti da reato. 2. L'ufficio centrale iscrive nel sistema l'estratto ed elimina dal sistema le iscrizioni dei provvedimenti amministrativi di espulsione e dei provvedimenti giudiziari che decidono il ricorso avverso questi. 2-bis. L'ufficio centrale iscrive nel sistema l'estratto delle decisioni definitive adottate dalla Corte europea dei diritti dell'uomo nei confronti dello Stato italiano, concernenti i provvedimenti giudiziali ed amministrativi definitivi delle autorita' nazionali gia' iscritti, di seguito alla preesistente iscrizione cui esse si riferiscono, su richiesta del Dipartimento per gli affari di giustizia del Ministero della giustizia. 2-ter. L'iscrizione puo' essere effettuata anche su istanza del soggetto o dei soggetti interessati. In tale caso, l'istanza e' presentata direttamente all'ufficio centrale ovvero, qualora si tratti di decisioni della Corte europea dei diritti dell'uomo relative a provvedimenti giudiziari, all'ufficio iscrizione del casellario giudiziale presso l'autorita' giudiziaria che ha emesso il provvedimento cui la decisione si riferisce. L'ufficio iscrizione trasmette senza indugio la richiesta all'ufficio centrale, che provvede alla successiva iscrizione, acquisito il parere del Dipartimento per gli affari di giustizia del Ministero della giustizia. 3. L'ufficio centrale iscrive nel sistema l'estratto del decreto di grazia. 4. Si applicano i commi 4, 5 e 6 dell'articolo 15. 5. L'ufficio centrale elimina dal sistema le iscrizioni relative alle persone decorsi quindici anni dalla morte della persona alla quale si riferiscono e, comunque, decorsi cento anni dalla sua nascita, nonche' le iscrizioni dei provvedimenti giudiziari relativi a minori ai sensi dell'articolo 5, comma 4 (L). 5-bis. L'Ufficio centrale svolge, altresi', i seguenti compiti: a) raccoglie e conserva i dati immessi nel sistema del casellario giudiziale europeo, ricevuti dalle autorita' centrali degli altri Stati membri di condanna; b) trasmette le informazioni relative alle condanne pronunciate nel proprio territorio nei confronti di cittadini di altro Stato membro dell'Unione europea; c) rivolge all'autorita' centrale degli altri Stati membri richiesta di estrazione di informazioni sulle condanne in ordine a cittadini di tali Stati, a cittadini di Paesi terzi, a persone di cui non e' nota la cittadinanza e ad apolidi; d) riceve dall'autorita' centrale degli altri Stati membri le risposte alle richieste di estrazione di informazioni sulle condanne da esso formulate in ordine a cittadini di tali Stati, a cittadini di Paesi terzi, a persone di cui non e' nota la cittadinanza e ad apolidi; e) risponde alle richieste di informazioni sulle condanne degli organi della giurisdizione penale italiana relative a cittadini italiani, cittadini di Paesi terzi, persone di cui non e' nota la cittadinanza e apolidi; f) risponde alle richieste di informazioni sul casellario giudiziale europeo formulate da un cittadino italiano ovvero risponde alla richiesta di informazioni sulle condanne presentata da un cittadino di altro Stato membro rivolgendo istanza all'autorita' centrale dello Stato membro di cittadinanza di quest'ultimo; f-bis) risponde alle richieste di informazioni sul casellario giudiziale formulate da un cittadino di Paese terzo, da una persona di cui non e' nota la cittadinanza e da un apolide alle condizioni e secondo le modalita' previste dagli articoli 6 e 7 del decreto legislativo 12 maggio 2016, n. 74; g) risponde alle richieste di informazioni sulle condanne formulate dalle autorita' centrali di altri Stati membri, per fini diversi da un procedimento penale. 6. L'ufficio centrale, infine, svolge le seguenti attivita' di supporto: a) fornisce al Ministero della giustizia i dati relativi all'esecuzione dei provvedimenti giudiziari in materia penale; b) fornisce all'autorita' giudiziaria e alla pubblica amministrazione, in modo anonimo a fini statistici, dati in ordine all'andamento dei fenomeni criminali, utilizzando anche le informazioni relative alle iscrizioni eliminate, fatte salve le norme a tutela del trattamento dei dati personali; c) in applicazione di convenzioni internazionali o per ragioni di reciprocita' e, in quest'ultimo caso, nei limiti ed alle condizioni di legge, fornisce alle competenti autorita' straniere i dati relativi a decisioni riguardanti cittadini stranieri." «Art. 28-bis (Certificato del casellario giudiziale europeo richiesto dalla pubblica amministrazione). - 1. Nel certificato del casellario giudiziale europeo richiesto dalla pubblica amministrazione sono riportate le iscrizioni del casellario giudiziale europeo, in ordine a un cittadino italiano, nella misura in cui il diritto dello Stato membro di condanna ne preveda la menzione. 1-bis. Il certificato di cui al comma 1 contiene anche l'attestazione relativa alla sussistenza o non di iscrizioni nel casellario giudiziale. 2. Nella risposta alla richiesta di informazioni da parte della pubblica amministrazione in ordine ad un cittadino di altro Stato membro sono riportate le condanne pronunciate nello stesso e quelle da esso ricevute e conservate, nella misura in cui il diritto dello Stato membro di condanna ne preveda la menzione. 2-bis. Nella risposta alla richiesta di informazioni da parte della pubblica amministrazione in ordine ad un cittadino di Paese terzo, ad una persona di cui non e' nota la cittadinanza e ad un apolide sono riportate le informazioni sulle condanne acquisite alle condizioni e secondo le modalita' previste dagli articoli 6 e 7 del decreto legislativo 12 maggio 2016, n. 74. 3. La pubblica amministrazione di altro Stato membro dell'Unione europea che rivolge richiesta di informazioni all'Ufficio centrale nei confronti di un cittadino italiano acquisisce da esso le informazioni relative alle condanne iscritte: a) nel casellario giudiziale; b) nel casellario giudiziale europeo, nella misura in cui il diritto dello Stato membro di condanna ne preveda la menzione. 3-bis. La pubblica amministrazione di altro Stato membro dell'Unione europea che rivolge richiesta di informazioni all'Ufficio centrale nei confronti di un cittadino di Paese terzo, di una persona di cui non e' nota la cittadinanza e di un apolide cittadino italiano acquisisce da esso le informazioni relative alle condanne acquisite alle condizioni e secondo le modalita' previste dagli articoli 6 e 7 del decreto legislativo 12 maggio 2016, n. 74.». - Per i riferimenti del decreto legislativo 30 giugno 2003, n. 196 si rinvia alle note alle premesse. - Il decreto legislativo 18 maggio 2018, n. 51 (Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorita' competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonche' alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio), e' pubblicato nella Gazzetta Ufficiale n. 119 del 24 maggio 2018. - Per i riferimenti del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, si rinvia alle note alle premesse. |
| Art. 16
Notifica degli incidenti
1. I soggetti critici, senza indebito ritardo, notificano all'autorita' settoriale competente e al PCU gli incidenti rilevanti, che perturbano o possono perturbare in modo significativo la fornitura di servizi essenziali. 2. Salvo che siano operativamente impossibilitati a farlo, i soggetti critici effettuano la notifica di cui al comma 1 entro ventiquattro ore dal momento in cui vengono a conoscenza dell'incidente e, ove opportuno, trasmettono una relazione dettagliata entro i successivi trenta giorni. 3. Per determinare la rilevanza dell'incidente di cui al comma 1 si tiene conto in particolare dei parametri seguenti: a) numero e percentuale di utenti interessati; b) durata della perturbazione; c) area geografica interessata, considerando l'eventuale isolamento geografico di tale area. 4. Con il decreto del Presidente del Consiglio dei ministri di cui all'articolo 9, comma 2, sono individuate, su proposta delle ASC, per il tramite del PCU, soglie quantitative, per ciascuno dei parametri di cui al comma 3, con specifico riferimento ai singoli settori di cui all'allegato A. Con il medesimo decreto sono individuate, altresi', le modalita' con cui effettuare la notifica di cui al comma 2. 5. Gli incidenti che perturbano o possono perturbare in modo significativo la continuita' della fornitura dei servizi essenziali almeno a o in sei Stati membri sono notificati dalle ASC alla Commissione europea, tramite il PCU. 6. Le notifiche di cui al comma 1 includono ogni informazione utile a permettere alle ASC e al PCU di conoscere natura, causa e possibili conseguenze dell'incidente, compresa ogni informazione utile a determinare l'eventuale impatto transfrontaliero degli incidenti, nonche' ogni informazione utile a permettere alle ASC di reagire tempestivamente agli incidenti e non espongono i soggetti critici a una maggiore responsabilita'. 7. Il PCU trasmette agli organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124, gli elementi delle notifiche di cui al comma 6, relative agli incidenti di cui all'articolo 2, comma 1, lettera c), nonche' degli incidenti notificati ai sensi del comma 5. 8. Sulla base delle informazioni fornite dai soggetti critici nelle notifiche di cui al comma 1, le ASC, tramite il PCU, quando gli incidenti notificati hanno o possono avere un impatto rilevante sulla continuita' della fornitura di servizi essenziali a o in altri Stati membri, informano i punti di contatto unici designati o istituiti, ai sensi della direttiva (UE) 2022/2557, da parte di tali Stati membri. 9. Le informazioni fornite e ricevute dal PCU ai sensi del comma 7 sono trattate da quest'ultimo ai sensi delle disposizioni nazionali e del diritto dell'Unione europea, rispettandone la riservatezza e tutelando la sicurezza e gli interessi commerciali dei soggetti critici interessati. 10. Ferme restando le disposizioni a tutela delle indagini nel procedimento penale e a tutela della sicurezza delle informazioni classificate, le ASC che hanno ricevuto una notifica ai sensi del comma 1 forniscono tempestivamente al soggetto critico notificante e al PCU ogni informazione utile in merito al seguito dato alla notifica, compresa ogni informazione utile a permettere al soggetto critico un'efficace risposta all'incidente notificato. 11. Le ASC che hanno ricevuto una notifica ai sensi del comma 1 assicurano, di concerto con il PCU, adeguata pubblicita' ad ogni informazione rilevante per l'interesse pubblico relativa all'incidente notificato e al seguito dato a tale notifica.
Note all'art. 16: - Per il testo degli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124 si rinvia alle note all'articolo 1. - Per i riferimenti della direttiva (UE) 2022/2557, del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio, si rinvia alle note alle premesse. |
| Art. 17
Individuazione dei soggetti critici di particolare rilevanza europea
1. Sono soggetti critici di particolare rilevanza europea (SCRE) quelli individuati dalla Commissione europea ai sensi dell'articolo 17 della direttiva (UE) 2022/2557 e che hanno ricevuto la notifica ai sensi del paragrafo 3 del medesimo articolo 17. 2. Entro un mese dalla notifica di individuazione di cui all'articolo 8, comma 5, del presente decreto, i soggetti critici che forniscono servizi essenziali almeno a o in sei Stati membri comunicano al PCU e all'autorita' settoriale competente quali servizi essenziali forniscono a quali o in quali Stati membri. 3. Il PCU, ai fini della procedura di individuazione degli SCRE da parte della Commissione europea, notifica a quest'ultima, senza indebito ritardo, l'identita' dei soggetti critici che hanno effettuato la comunicazione di cui al comma 2, nonche' le informazioni in essa contenute. 4. Nel corso della procedura di individuazione degli SCRE di cui al comma 1, i soggetti critici che hanno effettuato la comunicazione di cui al comma 2, le ASC e il PCU, prestano ogni necessaria collaborazione alle attivita' di consultazione avviate dalla Commissione europea. Nel corso delle consultazioni, il PCU comunica alla Commissione europea se i servizi forniti nello Stato da un soggetto individuato come critico in un altro Stato membro siano ritenuti essenziali. 5. Il PCU e' l'autorita' competente a ricevere la comunicazione di cui all'articolo 17, paragrafo 3, della direttiva (UE) 2022/2557, con la quale la Commissione europea individua un soggetto critico di particolare rilevanza europea. Il PCU, senza indebito ritardo, trasmette la comunicazione di cui al primo periodo all'autorita' settoriale competente, per l'immediata notifica al soggetto critico. 6. Il presente capo si applica ai soggetti critici individuati come SCRE a decorrere dalla data di ricevimento della notifica di cui al comma 5.
Note all'art. 17: - La direttiva (UE) 2022/2557, del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio, e' pubblicata nella Gazzetta ufficiale dell'Unione europea del 27 dicembre 2022, n. L 333. |
| Art. 18
Missioni di consulenza
1. Per valutare le misure adottate da parte di un soggetto critico individuato ai sensi dell'articolo 8, comma 4, e individuato altresi' come SCRE, ai sensi dell'articolo 17 della direttiva (UE) 2022/2557, il PCU, sentita l'autorita' settoriale competente ovvero su proposta di quest'ultima, puo' chiedere alla Commissione europea di organizzare una missione di consulenza ai sensi dell'articolo 18 della direttiva (UE) 2022/2557. 2. Il PCU, sentita l'autorita' settoriale competente, puo' accogliere la richiesta della Commissione europea di organizzare una missione di consulenza di cui al comma 1. 3. Su richiesta motivata della Commissione europea o di almeno uno Stato membro a cui o in cui sono forniti servizi essenziali da parte di un soggetto critico di cui al comma 1, il PCU, sentita l'autorita' settoriale competente, fornisce alla Commissione europea, con riferimento a tale soggetto critico: a) le parti pertinenti della valutazione del rischio del soggetto critico; b) un elenco delle pertinenti misure adottate dal soggetto critico ai sensi dell'articolo 14; c) informazioni sui provvedimenti adottati ai sensi degli articoli 13, comma 4, o 14, comma 5, e sulle attivita' svolte e i provvedimenti adottati ai sensi degli articoli 20 e 21. 4. Il PCU e' l'autorita' competente a ricevere la relazione delle missioni di consulenza di cui all'articolo 18, paragrafo 4, primo comma, della direttiva (UE) 2022/2557. Il PCU, senza indebito ritardo, trasmette la relazione di cui al primo periodo all'autorita' settoriale competente. 5. Se la relazione di cui al comma 4 riguarda la valutazione delle misure adottate da un soggetto critico di particolare rilevanza europea, individuato come soggetto critico in un altro stato membro e che fornisce servizi essenziali all'Italia o in Italia, il PCU, anche su proposta delle ASC, puo' trasmettere alla Commissione europea osservazioni in merito alla relazione medesima con riferimento all'adempimento degli obblighi di cui al capo III della direttiva (UE) 2022/2557 da parte di tale soggetto critico e all'eventuale necessita' di misure per rafforzare la resilienza di quest'ultimo. 6. Il PCU e' l'autorita' competente a ricevere il parere della Commissione europea di cui all'articolo 18, paragrafo 4, terzo comma, della direttiva (UE) 2022/2557, in merito all'adempimento degli obblighi di cui al capo III della medesima direttiva (UE) 2022/2557 da parte dello SCRE e in merito alle eventuali misure da adottare per migliorarne la resilienza. 7. Il PCU, senza indebito ritardo, trasmette il parere di cui al comma 6 all'autorita' settoriale competente. 8. Se il parere di cui al comma 6 riguarda un soggetto critico individuato ai sensi dell'articolo 8, comma 4, quest'ultimo si adegua a tale parere e l'autorita' settoriale competente verifica il relativo adempimento. 9. Il PCU, sentiti l'autorita' settoriale competente e il soggetto critico interessato, fornisce alla Commissione europea e agli Stati membri ai quali o nei quali sono forniti i servizi essenziali da parte di tale soggetto informazioni in merito alle misure che sono state adottate sulla base del parere della Commissione. 10. Il PCU, sentite le ASC, propone alla Commissione europea gli esperti nazionali che partecipano alle missioni di consulenza ai sensi dell'articolo 18, paragrafo 5, della direttiva (UE) 2022/2557, in possesso, nei casi in cui sia necessario in ragione delle attivita' da svolgere, di un valido e appropriato nulla osta di sicurezza, rilasciato ai sensi dell'articolo 9 della legge 3 agosto 2007, n. 124. Tale partecipazione non deve comportare nuovi o maggiori oneri a carico della finanza pubblica. 11. Il PCU, sentita l'autorita' settoriale competente e con l'accordo del soggetto critico interessato, puo' richiedere alla Commissione europea di organizzare missioni di consulenza, conformemente alle disposizioni di cui all'articolo 18, paragrafi 6, 8 e 9, della direttiva (UE) 2022/2557, al fine di consigliare il soggetto critico riguardo all'adempimento degli obblighi di cui al capo III del presente decreto. 12. Le missioni di consulenza di cui ai commi 1 e 2, nei limiti di quanto necessario per il proprio svolgimento, hanno accesso alle informazioni, ai sistemi e agli impianti relativi alla fornitura di servizi essenziali da parte dei soggetti critici individuati come SCRE. 13. Le missioni di consulenza di cui ai commi 1 e 2 si svolgono conformemente al diritto nazionale e nel rispetto delle esigenze di sicurezza e di tutela degli interessi nazionali. 14. Il PCU, sentita l'autorita' settoriale competente, informa il gruppo per la resilienza dei soggetti critici di cui all'articolo 19 della direttiva (UE) 2022/2557 in merito ai principali risultati delle missioni di consulenza di cui ai commi 1 e 2 e alle relative conclusioni, al fine di promuovere l'apprendimento reciproco. 15. Agli oneri di missione derivanti dal presente articolo, pari a euro 14.472 per l'anno 2024 e pari a euro 57.888 annui a decorrere dall'anno 2025, si provvede mediante corrispondente riduzione del Fondo per il recepimento della normativa europea di cui all'articolo 41-bis della legge 24 dicembre 2012, n. 234. 16. Con decreto del Presidente del Consiglio dei ministri, di concerto con il Ministro dell'economia e delle finanze, le somme relative alla copertura degli oneri di missione sono ripartite tra il PCU e le ASC in ragione delle funzioni agli stessi attribuite dal presente decreto e tenendo conto, per quanto riguarda le ASC, del numero dei settori, dei sottosettori e delle categorie dei potenziali soggetti critici, nonche' dei relativi elementi di complessita' tecnica.
Note all'art. 18: - La direttiva (UE) 2022/2557, del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio, e' pubblicata nella Gazzetta ufficiale dell'Unione europea del 27 dicembre 2022, n. L 333. - Si riporta l'articolo 9 della legge 3 agosto 2007, n. 124 (Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto): «Art. 9 (Tutela amministrativa del segreto e nulla osta di sicurezza). - 1. E' istituito nell'ambito del DIS, ai sensi dell'articolo 4, comma 7, l'Ufficio centrale per la segretezza (UCSe), che svolge funzioni direttive e di coordinamento, di consulenza e di controllo sull'applicazione delle norme di legge, dei regolamenti e di ogni altra disposizione in ordine alla tutela amministrativa del segreto di Stato e alle classifiche di segretezza di cui all'articolo 42. 2. Competono all'UCSe: a) gli adempimenti istruttori relativi all'esercizio delle funzioni del Presidente del Consiglio dei ministri quale Autorita' nazionale per la sicurezza, a tutela del segreto di Stato; b) lo studio e la predisposizione delle disposizioni esplicative volte a garantire la sicurezza di tutto quanto e' coperto dalle classifiche di segretezza di cui all'articolo 42, con riferimento sia ad atti, documenti e materiali, sia alla produzione industriale; c) il rilascio e la revoca dei nulla osta di sicurezza (NOS), previa acquisizione del parere dei direttori dei servizi di informazione per la sicurezza e, ove necessario, del Ministro della difesa e del Ministro dell'interno; d) la conservazione e l'aggiornamento di un elenco completo di tutti i soggetti muniti di NOS. 3. Il NOS ha la durata di cinque anni per la classifica di segretissimo e di dieci anni per le classifiche segreto e riservatissimo indicate all'articolo 42, fatte salve diverse disposizioni contenute in trattati internazionali ratificati dall'Italia. A ciascuna delle tre classifiche di segretezza citate corrisponde un distinto livello di NOS. 4. Il rilascio del NOS e' subordinato all'effettuazione di un preventivo procedimento di accertamento diretto ad escludere dalla conoscibilita' di notizie, documenti, atti o cose classificate ogni soggetto che non dia sicuro affidamento di scrupolosa fedelta' alle istituzioni della Repubblica, alla Costituzione e ai suoi valori, nonche' di rigoroso rispetto del segreto. 5. Al fine di consentire l'accertamento di cui al comma 4, le Forze armate, le Forze di polizia, le pubbliche amministrazioni e i soggetti erogatori dei servizi di pubblica utilita' collaborano con l'UCSe per l'acquisizione di informazioni necessarie al rilascio dei NOS, ai sensi degli articoli 12 e 13. 6. Prima della scadenza del termine di cui al comma 3, l'UCSe puo' revocare il NOS se, sulla base di segnalazioni e di accertamenti nuovi, emergono motivi di inaffidabilita' a carico del soggetto interessato. 7. Il regolamento di cui all'articolo 4, comma 7, disciplina il procedimento di accertamento preventivo di cui al comma 4 del presente articolo, finalizzato al rilascio del NOS, nonche' gli ulteriori possibili accertamenti di cui al comma 6, in modo tale da salvaguardare i diritti dei soggetti interessati. 8. I soggetti interessati devono essere informati della necessita' dell'accertamento nei loro confronti e, con esclusione del personale per il quale il rilascio costituisce condizione necessaria per l'espletamento del servizio istituzionale nel territorio nazionale e all'estero, possono rifiutarlo, rinunciando al NOS e all'esercizio delle funzioni per le quali esso e' richiesto. 9. Agli appalti di lavori e alle forniture di beni e servizi, per i quali la tutela del segreto sia richiesta da norme di legge o di regolamento ovvero sia ritenuta di volta in volta necessaria, si applicano le disposizioni di cui all'articolo 17, comma 3, del codice dei contratti pubblici relativi a lavori, servizi e forniture, di cui al decreto legislativo 12 aprile 2006, n. 163. 10. Il soggetto appaltante i lavori e le forniture di cui al comma 9, quando lo ritiene necessario, richiede, tramite l'UCSe, al Presidente del Consiglio dei ministri l'autorizzazione alla segretazione, indicandone i motivi. Contestualmente all'autorizzazione, l'UCSe trasmette al soggetto appaltante l'elenco delle ditte individuali e delle imprese munite di NOS. 11. Il dirigente preposto all'UCSe e' nominato e revocato dal Presidente del Consiglio dei ministri, su proposta dell'Autorita' delegata, ove istituita, sentito il direttore generale del DIS. Il dirigente presenta annualmente al direttore generale del DIS, che informa il Presidente del Consiglio dei ministri, una relazione sull'attivita' svolta e sui problemi affrontati, nonche' sulla rispondenza dell'organizzazione e delle procedure adottate dall'Ufficio ai compiti assegnati e sulle misure da adottare per garantirne la correttezza e l'efficienza. La relazione e' portata a conoscenza del CISR.». |
| Art. 19
Gruppo per la resilienza dei soggetti critici
1. Il PCU partecipa alle attivita' del gruppo per la resilienza dei soggetti critici di cui all'articolo 19 della direttiva (UE) 2022/2557. Il personale del PCU designato a partecipare al gruppo di cui al primo periodo e' in possesso, se necessario, del nulla osta di sicurezza, rilasciato ai sensi dell'articolo 9 della legge 3 agosto 2007, n. 124.
Note all'art. 19: - Per i riferimenti della direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio si rinvia alle note all'articolo 18. |
| Art. 20
Vigilanza ed esecuzione
1. Fatte salve le attribuzioni e le competenze degli organi preposti alla tutela dell'ordine e della sicurezza pubblica, le ASC vigilano sul rispetto degli obblighi previsti in capo ai soggetti critici dal presente decreto. A tal fine, le ASC, tenendo informato il PCU, esercitano i poteri previsti dal presente decreto, ivi inclusi, di propria iniziativa o su proposta del PCU, i seguenti poteri: a) effettuare ispezioni dell'infrastruttura critica e dei siti utilizzati dai soggetti critici per fornire i loro servizi essenziali e richiedere informazioni, documenti e ogni altro elemento utile a valutare le misure adottate dai soggetti critici conformemente all'articolo 14; b) svolgere o disporre controlli nei confronti dei soggetti critici. 2. Le ASC, se necessario per esercitare le competenze ad esse attribuite dal presente decreto, possono chiedere in forma scritta ai soggetti critici individuati ai sensi dell'articolo 8, comma 4, di fornire, entro un termine ragionevole, da indicare nella richiesta: a) le informazioni necessarie per valutare se le misure adottate da tali soggetti per garantire la loro resilienza soddisfano i requisiti di cui all'articolo 14; b) la prova dell'effettiva attuazione delle misure di cui alla lettera a), inclusi i risultati di un controllo svolto a spese di tali soggetti critici da parte di un revisore indipendente e qualificato, dagli stessi selezionato. 3. Le richieste di cui al comma 2 indicano il proprio scopo e specificano il tipo di informazioni da fornire. 4. Fatto salvo il potere sanzionatorio di cui all'articolo 21, le ASC, quando a seguito dell'esercizio dei poteri di vigilanza di cui al comma 1 e della valutazione degli elementi richiesti ai sensi del comma 2, accertano la violazione degli obblighi imposti dal presente decreto, diffidano i soggetti critici cui la violazione si riferisce ad adottare, entro un termine ragionevole, da indicare nella diffida, le misure, necessarie e proporzionate, per sanare la violazione, nonche' a fornire le informazioni sulle misure adottate. 5. Le diffide di cui al comma 4 tengono conto della gravita' della violazione. 6. I poteri di cui ai commi 1, 2 e 4 sono esercitati in modo oggettivo, trasparente, proporzionato e tale da tutelare i segreti commerciali e aziendali dei soggetti critici, nonche' i loro diritti e interessi legittimi, inclusi il diritto al contraddittorio, i diritti della difesa, tra cui quello di produrre documenti e di formulare osservazioni, e il diritto a un ricorso effettivo dinanzi a un giudice indipendente. 7. Quando le ASC esercitano i poteri di cui ai commi 1 e 2 nei confronti dei soggetti critici: a) informano l'Agenzia per la cybersicurezza nazionale e il PCU; b) possono chiedere all'Agenzia per la cybersicurezza nazionale di esercitare, nei confronti di tali soggetti critici, i poteri di vigilanza e di esecuzione previsti in capo a quest'ultima dalle disposizioni nazionali di attuazione della direttiva (UE) 2022/2555. 8. Al fine di quanto previsto dal comma 7, le ASC, informato il PCU, cooperano e scambiano informazioni con l'Agenzia per la cybersicurezza nazionale.
Note all'art. 20: - Per i riferimenti della direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) si rinvia alle note alle premesse. |
| Art. 21
Sanzioni
1. Le ASC, per i rispettivi settori e sottosettori di riferimento di cui all'allegato A, sono competenti per l'accertamento delle violazioni delle disposizioni di cui al presente decreto da parte di un soggetto critico e per l'irrogazione delle sanzioni amministrative previste dal presente articolo. 2. Salvo che il fatto costituisca reato, le ASC applicano una sanzione amministrativa pecuniaria, da 25.000 euro a 125.000 euro, nei confronti del soggetto critico che pone in essere una delle seguenti violazioni: a) non effettua la valutazione del rischio dei soggetti critici di cui all'articolo 13; b) non adotta le misure ai sensi dell'articolo 14, commi 1 e 2, lettere a), c) e d); c) non adotta le misure ai sensi dell'articolo 13, comma 2, e dell'articolo 14, comma 2, lettere b), e) e f), e comma 3; d) non adotta le misure ai sensi dell'articolo 14, comma 4; e) non notifica alle ASC o al PCU gli incidenti, ai sensi dell'articolo 16; f) non adotta le misure di cui all'articolo 20, comma 4, entro il termine previsto dalla diffida ivi disciplinata. 3. Salvo che il fatto costituisca reato, le ASC applicano una sanzione amministrativa pecuniaria, da 10.000 euro a 50.000 euro, nei confronti del soggetto critico che, entro trenta giorni dallo scadere del termine di cui all'articolo 20, comma 2, non fornisca le informazioni e le prove richieste e non risponda per esporre le ragioni del ritardo. 4. Si ha reiterazione delle violazioni di cui al presente articolo nei casi regolati dall'articolo 8-bis della legge 24 novembre 1981, n. 689. La reiterazione determina l'aumento fino al triplo della sanzione prevista. 5. Ai fini dell'irrogazione delle sanzioni amministrative pecuniarie di cui ai commi 1 e 2, le ASC, per quanto non previsto dal presente decreto, applicano il capo I, sezioni I e II, della legge n. 689 del 1981.
Note all'art. 21: - Si riporta l'articolo 8-bis della legge 24 novembre 1981, n. 689 (Modifiche al sistema penale), pubblicato nella Gazzetta Ufficiale n. 329 del 30 novembre 1981, S. O.: «Art. 8-bis (Reiterazione delle violazioni). - Salvo quanto previsto da speciali disposizioni di legge, si ha reiterazione quando, nei cinque anni successivi alla commissione di una violazione amministrativa, accertata con provvedimento esecutivo, lo stesso soggetto commette un'altra violazione della stessa indole. Si ha reiterazione anche quando piu' violazioni della stessa indole commesse nel quinquennio sono accertate con unico provvedimento esecutivo. Si considerano della stessa indole le violazioni della medesima disposizione e quelle di disposizioni diverse che, per la natura dei fatti che le costituiscono o per le modalita' della condotta, presentano una sostanziale omogeneita' o caratteri fondamentali comuni. La reiterazione e' specifica se e' violata la medesima disposizione. Le violazioni amministrative successive alla prima non sono valutate, ai fini della reiterazione, quando sono commesse in tempi ravvicinati e riconducibili ad una programmazione unitaria. La reiterazione determina gli effetti che la legge espressamente stabilisce. Essa non opera nel caso di pagamento in misura ridotta. Gli effetti conseguenti alla reiterazione possono essere sospesi fino a quando il provvedimento che accerta la violazione precedentemente commessa sia divenuto definitivo. La sospensione e' disposta dall'autorita' amministrativa competente, o in caso di opposizione dal giudice, quando possa derivare grave danno. Gli effetti della reiterazione cessano di diritto, in ogni caso, se il provvedimento che accerta la precedente violazione e' annullato.». |
| Art. 22
Clausola di invarianza finanziaria
1. Salvo quanto previsto dall'articolo 5, comma 14, e dall'articolo 18, comma 15, dall'attuazione del presente decreto non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Le amministrazioni interessate vi provvedono nell'ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente. |
| Art. 23
Disposizioni transitorie e abrogazioni
1. Le disposizioni di cui al presente decreto si applicano a decorrere dal 18 ottobre 2024. 2. A decorrere dal 18 ottobre 2024 il decreto legislativo 11 aprile 2011, n. 61 e' abrogato. Il presente decreto munito del sigillo dello Stato sara' inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.
Dato a Roma, addi' 4 settembre 2024
MATTARELLA
Meloni, Presidente del Consiglio dei ministri
Fitto, Ministro per gli affari europei, il Sud, le politiche di coesione e il PNRR
Calderoli, Ministro per gli affari regionali e le autonomie
Musumeci, Ministro per la protezione civile e le politiche del mare
Tajani, Ministro degli affari esteri e della cooperazione internazionale
Piantedosi, Ministro dell'interno
Nordio, Ministro della giustizia
Crosetto, Ministro della difesa
Giorgetti, Ministro dell'economia e delle finanze
Urso, Ministro delle imprese e del made in Italy
Pichetto Fratin, Ministro dell'ambiente e della sicurezza energetica
Salvini, Ministro delle infrastrutture e dei trasporti
Schillaci, Ministro della salute
Lollobrigida, Ministro dell'agricoltura, della sovranita' alimentare e delle foreste Visto, Il Guardasigilli: Nordio
Note all'art. 23: - Per i riferimenti del decreto legislativo 11 aprile 2011, n. 61 si rinvia alle note alle premesse. |
|
|
|