SCHEMA DI DISEGNO DI LEGGE IN MATERIA DI PERIMETRO DI SICUREZZA NAZIONALE CIBERNETICA - Aggiornato al 19 luglio 2019

SCHEMA DI DISEGNO DI LEGGE IN MATERIA DI PERIMETRO DI SICUREZZA NAZIONALE CIBERNETICA (aggiornato con il testo entrato in Consiglio dei Ministri il 19 luglio 2019).

Il disegno di legge in esame, composto da tre articoli, istituisce un perimetro di sicurezza nazionale cibernetica e introduce disposizioni finalizzate ad assicurare un elevato livello di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, da cui dipende l’esercizio di una funzione essenziale dello Stato ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato, e dal cui malfunzionamento o interruzione, anche parziali, o utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale.

Il provvedimento, pertanto, ha lo scopo di intervenire per garantire i necessari standard di sicurezza rivolti a minimizzare i rischi consentendo, allo stesso tempo, la fruizione dei più avanzati strumenti offerti dalle tecnologie dell’informazione e della comunicazione.

L’articolo 1 definisce le finalità e l’ambito di applicazione del perimetro.

Il comma 2 dell’articolo 1 demanda a un DPCM l’individuazione dei soggetti rientranti nel perimetro e dei criteri per la formazione degli elenchi delle reti, dei sistemi e dei servizi rilevanti.

L’elaborazione di tali criteri è affidata al CISR-tecnico, organismo già esistente, di supporto del Comitato interministeriale per la sicurezza della Repubblica (CISR).

Il comma 3 demanda a un DPCM la definizione, con la previsione di termini e modalità attuative:

a) delle procedure per la notifica di incidenti, aventi impatto sulle reti, i sistemi e i servizi rilevanti, al CSIRT italiano, che le inoltra al DIS.

b) delle misure volte a garantire un elevato livello di sicurezza delle reti, dei sistemi e dei servizi rilevanti, che devono essere rispettate dai soggetti inclusi nel perimetro; all’elaborazione di tali misure provvedono, secondo gli ambiti di competenza delineati dalla presente legge, il Ministero dello sviluppo economico e AgID, d’intesa con il Ministero della difesa, il Ministero dell’interno e il Dipartimento delle informazioni per la sicurezza, sentito il Ministero dell’economia e delle finanze.

Il comma 4 prevede che all’aggiornamento di quanto previsto dai decreti di cui ai commi 2 e 3 si provveda secondo le modalità di cui ai medesimi commi con cadenza almeno biennale.

Il comma 5 demanda a un regolamento la definizione di procedure, modalità e termini con cui:

a) i soggetti inclusi nel perimetro, per l’affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi e per l’espletamento dei servizi rilevanti informatici di cui al comma 2, lettera b), diversi da quelli necessari per lo svolgimento delle attività di prevenzione, accertamento e repressione dei reati, sono tenuti a darne comunicazione al CVCN che – entro 30 giorni – può imporre condizioni, quali una certificazione di sicurezza informatica, e test di hardware e software sulla base di una valutazione del rischio, anche in relazione all’ambito di impiego e in un’ottica di gradualità.

b) i soggetti individuati quali fornitori di beni, sistemi e servizi destinati alle reti, ai sistemi e ai servizi rilevanti assicurano al CVCN ed al citato Centro del Ministero della Difesa, per quanto di rispettiva competenza, la propria collaborazione per l’effettuazione delle attività. di test, sostenendone gli oneri. 

c) MiSE e AgID svolgono attività di ispezione e verifica in relazione a quanto previsto dalla presente legge, senza che ciò comporti accesso a dati o metadati personali e amministrativi, impartendo, se necessario, prescrizioni.

Il comma 6 stabilisce i compiti assunti dal CVCN nell’ambito dell’approvvigionamento ICT destinato a reti, sistemi e servizi rilevanti. Nello specifico:

a) contributo all’elaborazione delle misure di sicurezza per ciò che concerne affidamenti di forniture di beni e servizi;

b) svolgimento delle attività di verifica delle condizioni di sicurezza e dell’assenza di vulnerabilità note, anche in relazione all’ambito di impiego, dettando, se del caso, anche prescrizioni di utilizzo al committente.

c) elaborazione e adozione di schemi di certificazione cibernetica, laddove, per ragioni di sicurezza nazionale e su conforme avviso del CISR-tecnico, gli schemi di certificazione esistenti non siano ritenuti adeguati alle esigenze di tutela del perimetro di sicurezza nazionale cibernetica.

Il comma 7 stabilisce modalità di raccordo e semplificazione in materia di osservanza di misure di sicurezza e di assolvimento dell’obbligo di notifica di incidenti per i soggetti inclusi nel perimetro.

I commi da 8 a 13 disciplinano un articolato sistema sanzionatorio per i casi di violazione degli obblighi previsti dal provvedimento.

In particolare, si prevede che, salvo che il fatto costituisca reato:

a) il mancato adempimento degli obblighi di predisposizione e di aggiornamento dell’elenco delle reti, dei sistemi informativi e dei servizi informatici di cui al comma 2, lettera b), è punito con la sanzione amministrativa pecuniaria da euro 200.000 a euro 1.200.000;

b) il mancato adempimento dell’obbligo di notifica di cui al comma 3, lettera a), nei termini prescritti, è punito con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000;

c) l’inosservanza delle misure di sicurezza di cui al comma 3, lettera b), è punita con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000;

d) la mancata comunicazione di cui al comma 5, lettera a), nei termini prescritti, è punita con la sanzione amministrativa pecuniaria da euro 300.000 a euro 1.800.000;

e) l’impiego di prodotti e servizi sulle reti, sui sistemi informativi e l’espletamento dei servizi informatici di cui al comma 2, lettera b), in violazione delle condizioni imposte dal Centro di valutazione e certificazione nazionale o in assenza del superamento dei test di cui al comma 5, lettera a), è punito con la sanzione amministrativa pecuniaria da euro 300.000 a euro 1.800.000;

f) la mancata collaborazione per l’effettuazione delle attività di test di cui al comma 5, lettera a), da parte dei soggetti di cui al medesimo comma 5, lettera b), è punita con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000;

g) il mancato adempimento delle prescrizioni indicate dal Ministero dello sviluppo economico o dall’AgID in esito alle attività di ispezione e verifica svolte ai sensi del comma 5, lettera c), è punito con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000;

h) il mancato rispetto delle prescrizioni di cui al comma 6, lettera b), è punito con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000.

Il comma 9 prevede che in caso di inottemperanza alle condizioni o in assenza dell’esito favorevole dei test disposti dal CVCN, la stipula del contratto non produca effetto e sia fatto divieto alle parti di darvi, anche provvisoriamente, esecuzione. La violazione di tale divieto comporta, per coloro che abbiano disposto l’affidamento del contratto, l’incapacità ad assumere incarichi di direzione, amministrazione e controllo nelle società aventi ad oggetto, anche se non principale, attività afferenti al settore ICT, per un periodo di tre anni a decorrere dalla data di accertamento della violazione;

Si prevede inoltre che:

- siano puniti con la pena della reclusione da uno a cinque anni coloro che, tenuti ad effettuare le comunicazioni richieste nell’espletamento dei procedimenti di cui al comma 2, lettera b), al comma 5, lettera a), ovvero delle attività ispettive e di vigilanza previste dal comma 5, lettera c), forniscono informazioni, dati o fatti non rispondenti al vero ovvero espongono fatti parimenti non rispondenti al vero, allo scopo di ostacolare o condizionare l’espletamento dei medesimi procedimenti o attività, ovvero allo stesso scopo omettono di comunicare informazioni, nei termini prescritti, dati o fatti necessari per tali procedimenti o attività; all’ente privato responsabile ai sensi del decreto legislativo 8 giugno 2001, n. 231, si applica la sanzione pecuniaria fino a 400 quote;

- il decreto legislativo 8 giugno 2001, n. 231 venga conseguentemente integrato con un apposito articolo relativo alla “Falsità ovvero omissione di comunicazioni in materia di perimetro di sicurezza nazionale cibernetica”;

- per i dipendenti pubblici gli stessi inadempimenti può costituire causa di responsabilità disciplinare e amministrativo-contabile;

Il comma 14 stabilisce che le autorità titolari delle attribuzioni assicurino gli opportuni raccordi con il DIS e con l’Organo del Ministero dell’interno per la sicurezza e la regolarità dei servizi di telecomunicazione.

Per la realizzazione, l’allestimento e il funzionamento del Centro di valutazione e certificazione nazionale (CVCN) è autorizzata la spesa di 3,2 milioni di euro per l’anno 2019 e di 2,850 milioni di euro per ciascuno degli anni dal 2020 al 2023 e di 0,750 milioni di euro annui a decorrere dall’anno 2024.

L’articolo 2 prevede interventi per far fronte ad esigenze di personale specializzato per lo svolgimento delle funzioni del CVCN e dell’AgID.

Il Ministero dello sviluppo economico è autorizzato ad assumere a tempo indeterminato, un contingente massimo di 57 unità reclutate dal Dipartimento della funzione pubblica utilizzando le modalità semplificate previste dall’articolo 3 della legge 19 giugno 2019, n. 56, nel limite di spesa annua di euro 1.002.000 per l’anno 2019 ed euro 3.005.000 annui a decorrere dall’anno 2020.

Fino al completamento delle procedure di cui al comma 1, il Ministero dello sviluppo economico, fatte salve le unità dedicate all’assolvimento delle esigenze connesse alle operazioni condotte dalle Forze armate per la difesa nazionale anche nell’ambito dell’Alleanza atlantica, può avvalersi, per le esigenze del CVCN di un contingente di personale non dirigenziale appartenente alle pubbliche amministrazioni.

Il Ministero dello sviluppo economico può avvalersi in posizione di comando di personale con qualifiche o gradi non dirigenziali del comparto sicurezza-difesa fino a un massimo di venti unità, conservando lo stato giuridico e il trattamento economico fisso, continuativo ed accessorio, secondo quanto previsto dai rispettivi ordinamenti, con oneri a carico del Ministero dello sviluppo economico, ai sensi dell’articolo 1777 del decreto legislativo 15 marzo 2010, n. 66, e dell’articolo 2, comma 91, della legge 24 dicembre 2007, n. 244.

Per lo svolgimento delle nuove funzioni previste dall’articolo 1, l’AgID è autorizzata ad assumere con contratti di lavoro a tempo indeterminato, un contingente massimo di 10 unità di personale da inquadrare nella III area del personale non dirigenziale, posizione economica F1, nel limite di spesa di euro 171.000 per l’anno 2019 ed euro 512.000 annui a decorrere dall’anno 2020.

Fino al completamento di tali procedure e fatte comunque salve le unità dedicate all’assolvimento delle esigenze connesse alle operazioni condotte dalle Forze armate per la difesa nazionale anche nell’ambito dell’Alleanza atlantica, l’AgID può avvalersi, entro il limite del 40% delle unità previste dal medesimo comma, di personale non dirigenziale appartenente alle pubbliche amministrazioni di cui all’articolo 1 comma 2, del decreto legislativo 30 marzo 2001, n. 165.

Il reclutamento del personale avviene mediante uno o più concorsi pubblici espletati secondo le modalità previste dall’articolo 4, commi 3 e 3-bis, del decreto-legge 31 agosto 2013, n. 101, convertito, con modificazioni, dalla legge 30 ottobre 2013, n. 125, dall’articolo 35, comma 5, del decreto legislativo 30 marzo 2001, n. 165, e dall’articolo 3, comma 6, della legge 19 giugno 2019, n. 56.

L’articolo 3 concerne la copertura finanziaria degli oneri di cui agli articoli 1, comma 19, e 2, commi 1 e 3, per complessivi 4,373 milioni di euro per l’anno 2019, 6,367 per ciascuno degli anni dal 2020 al 2023, e 4,267 euro annui a decorrere dall’anno 2024.

La formulazione delle norme del presente provvedimento è improntata ai seguenti criteri:

- definizione delle finalità del perimetro e delle modalità di individuazione tanto dei soggetti pubblici e privati che ne fanno parte quanto delle rispettive reti, sistemi informativi e servizi informatici rilevanti per le finalità di sicurezza nazionale cibernetica per i quali si applicano le misure di sicurezza e le procedure che vengono introdotte con l’intervento normativo.

- previsione di un’architettura normativa snella. In particolare, l’attuazione è demandata, con scadenze temporali diversificate, a tre decreti del Presidente del Consiglio dei ministri (DPCM) adottati su proposta del CISR, e a un regolamento da emanare ai sensi dell’articolo 17, comma 1 della legge 23 agosto 1988, n. 400;

- possibilità di agevole aggiornamento dei citati DPCM, per rispondere a una duplice finalità: mantenere la normativa al passo con l’evoluzione tecnologica e consentire un graduale ampliamento del novero dei soggetti da includere nel perimetro;

- coinvolgimento del CISR quale proponente dei DPCM applicativi.

- previsione di misure volte a garantire elevati livelli di sicurezza delle reti, dei sistemi e dei servizi rilevanti;

- istituzione di un meccanismo teso ad assicurare un procurement più sicuro per i soggetti inclusi nel perimetro che intendano procedere all’affidamento di forniture di beni e servizi ICT destinati a essere impiegati sulle reti, sui sistemi e per i servizi rilevanti. Il processo di verifica viene effettuato dal Centro di valutazione e certificazione nazionale (CVCN) sulla base di una valutazione del rischio anche in relazione all’ambito di impiego e in un’ottica di gradualità.

- individuazione delle competenze del Ministero dello sviluppo economico (MiSE) – per i soggetti privati inclusi nel perimetro – e dell’Agenzia per l’Italia Digitale (AgID) – per le amministrazioni pubbliche e i soggetti di cui all’articolo 29 del decreto legislativo 7 marzo 2005, n. 82 (CAD) inclusi nel perimetro – in coerenza con le funzioni già esercitate da tali soggetti istituzionali alla luce delle norme vigenti.

- disciplina dei compiti del CVCN nell’ambito dell’approvvigionamento ICT destinato a reti, sistemi e servizi rilevanti;

- semplificazione della procedura di notifica di incidente per i soggetti (OSE, FSD e operatori ‘Telco’) che siano ad un tempo inclusi nel perimetro e sottoposti agli obblighi stabiliti dal decreto legislativo 18 maggio 2018, n. 65, o dal decreto legislativo 1° agosto 2003, n. 259, prevedendo che le segnalazioni effettuate secondo la presente disciplina valgano anche quale adempimento degli analoghi obblighi previsti dai suddetti ambiti normativi;

- istituzione di un sistema di vigilanza e controllo sul rispetto degli obblighi introdotti;

- previsione di un raccordo tra le autorità titolari delle attribuzioni di cui alla presente legge e Dipartimento delle informazioni per l’Organo del Ministero dell’interno per la sicurezza e la regolarità dei servizi di telecomunicazione, quale autorità di contrasto nell’esercizio delle attività di cui all’art. 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155.

A cura del Dottor Rocco Orefice

 

SCHEMA DI DISEGNO DI LEGGE IN MATERIA DI PERIMETRO DI SICUREZZA NAZIONALE CIBERNETICA (Versione 15 luglio 2019)

Il disegno di legge in esame, composto da tre articoli, istituisce un perimetro di sicurezza nazionale cibernetica e introduce disposizioni finalizzate ad assicurare un elevato livello di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, da cui dipende l’esercizio di una funzione essenziale dello Stato ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato, e dal cui malfunzionamento o interruzione, anche parziali, o utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale.

Il provvedimento, pertanto, ha lo scopo di intervenire per garantire i necessari standard di sicurezza rivolti a minimizzare i rischi consentendo, allo stesso tempo, la fruizione dei più avanzati strumenti offerti dalle tecnologie dell’informazione e della comunicazione.

L’articolo 1 definisce le finalità e l’ambito di applicazione del perimetro.

Il comma 2 dell’articolo 1 demanda a un DPCM l’individuazione dei soggetti rientranti nel perimetro e dei criteri per la formazione degli elenchi delle reti, dei sistemi e dei servizi rilevanti.

L’elaborazione di tali criteri è affidata al CISR-tecnico, organismo già esistente, di supporto del Comitato interministeriale per la sicurezza della Repubblica (CISR).

Il comma 3 demanda a un DPCM la definizione, con la previsione di termini e modalità attuative:

a) delle procedure per la notifica di incidenti, aventi impatto sulle reti, i sistemi e i servizi rilevanti, al CSIRT italiano, che le inoltra al DIS.

b) delle misure volte a garantire un elevato livello di sicurezza delle reti, dei sistemi e dei servizi rilevanti, che devono essere rispettate dai soggetti inclusi nel perimetro.

Il comma 4 prevede che all’aggiornamento di quanto previsto dai decreti di cui ai commi 2 e 3 si provveda secondo le modalità di cui ai medesimi commi con cadenza almeno biennale.

Il comma 5 demanda a un regolamento la definizione di procedure, modalità e termini con cui:

a) i soggetti inclusi nel perimetro, per l’affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi e per l’espletamento dei servizi rilevanti, sono tenuti a darne comunicazione al CVCN che – entro 30 giorni – può imporre condizioni, quali una certificazione di sicurezza informatica, e test di hardware e software sulla base di una valutazione del rischio, anche in relazione all’ambito di impiego e in un’ottica di gradualità.

b) i soggetti individuati quali fornitori di beni, sistemi e servizi destinati alle reti, ai sistemi e ai servizi rilevanti assicurano al CVCN ed al citato Centro del Ministero della Difesa, per quanto di rispettiva competenza, la propria collaborazione per l’effettuazione delle attività. di test, sostenendone gli oneri. 

c) MiSE e AgID svolgono attività di ispezione e verifica in relazione a quanto previsto dalla presente legge, senza che ciò comporti accesso a dati o metadati personali e amministrativi, impartendo, se necessario, prescrizioni.

Il comma 6 stabilisce i compiti assunti dal CVCN nell’ambito dell’approvvigionamento ICT destinato a reti, sistemi e servizi rilevanti. Nello specifico:

a) contributo all’elaborazione delle misure di sicurezza per ciò che concerne affidamenti di forniture di beni e servizi;

b) svolgimento delle attività di verifica delle condizioni di sicurezza e dell’assenza di vulnerabilità note, anche in relazione all’ambito di impiego, dettando, se del caso, anche prescrizioni di utilizzo al committente.

c) elaborazione e adozione di schemi di certificazione cibernetica, laddove, per ragioni di sicurezza nazionale e su conforme avviso del CISR-tecnico, gli schemi di certificazione esistenti non siano ritenuti adeguati alle esigenze di tutela del perimetro di sicurezza nazionale cibernetica.

Il comma 7 stabilisce modalità di raccordo e semplificazione in materia di osservanza di misure di sicurezza e di assolvimento dell’obbligo di notifica di incidenti per i soggetti inclusi nel perimetro.

I commi da 8 a 13 disciplinano un articolato sistema sanzionatorio per i casi di violazione degli obblighi previsti dal provvedimento.

In particolare, si prevede che:

- siano puniti con la pena della reclusione da uno a cinque anni coloro che, tenuti ad effettuare le comunicazioni richieste nell’espletamento dei procedimenti di cui al comma 2, lettera b), al comma 5, lettera a), ovvero delle attività ispettive e di vigilanza previste dal comma 5, lettera c), forniscono informazioni e dati non rispondenti al vero ovvero espongono fatti parimenti non rispondenti al vero, allo scopo di ostacolare o condizionare l’espletamento dei medesimi procedimenti o attività, ovvero allo stesso scopo omettono di comunicare informazioni, dati o fatti necessari per tali procedimenti o attività; all’ente, responsabile ai sensi del decreto legislativo 8 giugno 2001, n. 231, si applica la sanzione pecuniaria fino a 400 quote;

- il decreto legislativo 8 giugno 2001, n. 231 venga conseguentemente integrato con un apposito articolo relativo alla “Falsità ovvero omissione di comunicazioni in materia di perimetro di sicurezza nazionale cibernetica”;

- salvo che il fatto costituisca reato, vengano irrogate sanzioni amministrative pecuniarie – scaglionate, in relazione alla gravità della condotta, su tre livelli (con minimi edittali che ammontano a 200.000, 250.000 e 300.000 euro) – per il cui accertamento e irrogazione sono competenti il MiSE e l’AgID;

- per i dipendenti pubblici gli stessi inadempimenti siano altresì oggetto di valutazione ai fini della responsabilità disciplinare e amministrativo-contabile;

- in caso di inottemperanza alle condizioni o in assenza dell’esito favorevole dei test disposti dal CVCN, la stipula del contratto non produca effetto e sia fatto divieto alle parti di darvi, anche provvisoriamente, esecuzione. La violazione di tale divieto comporta, per coloro che abbiano disposto l’affidamento del contratto, l’incapacità ad assumere incarichi di direzione, amministrazione e controllo nelle società aventi ad oggetto, anche se non principale, attività afferenti al settore ICT, per un periodo di tre anni a decorrere dalla data di accertamento della violazione;

Il comma 14 stabilisce che le autorità titolari delle attribuzioni assicurino gli opportuni raccordi con il DIS e con l’Organo del Ministero dell’interno per la sicurezza e la regolarità dei servizi di telecomunicazione.

Per la realizzazione, l’allestimento e il funzionamento del Centro di valutazione e certificazione nazionale (CVCN) è autorizzata la spesa di 3,2 milioni di euro per l’anno 2019 e di 2,850 milioni di euro per ciascuno degli anni dal 2020 al 2023 e di 0,750 milioni di euro annui a decorrere dall’anno 2024.

L’articolo 2 prevede interventi per far fronte ad esigenze di personale specializzato per lo svolgimento delle funzioni del CVCN e dell’AgID.

Il Ministero dello sviluppo economico è autorizzato ad assumere a tempo indeterminato, un contingente massimo di 57 unità reclutate dal Dipartimento della funzione pubblica utilizzando le modalità semplificate previste dall’articolo 3 della legge 19 giugno 2019, n. 56, nel limite di spesa annua di euro 1.002.000 per l’anno 2019 ed euro 3.005.000 annui a decorrere dall’anno 2020;

Per lo svolgimento delle nuove funzioni previste dall’articolo 1, l’AgID è autorizzata ad assumere con contratti di lavoro a tempo indeterminato, un contingente massimo di 10 unità di personale da inquadrare nella III area del personale non dirigenziale, posizione economica F1, nel limite di spesa di euro 171.000 per l’anno 2019 ed euro 512.000 annui a decorrere dall’anno 2020 fino al completamento di tali procedure e fatte comunque salve le esigenze connesse alle operazioni condotte dalle Forze armate per la difesa nazionale anche nell’ambito dell’Alleanza atlantica, l’AgID pu avvalersi, entro il limite del 40% delle unità previste dal medesimo comma, di personale non dirigenziale appartenente alle pubbliche amministrazioni di cui all’articolo 1 comma 2, del decreto legislativo 30 marzo 2001, n. 165.

Il reclutamento del personale avviene mediante uno o più concorsi pubblici espletati secondo le modalità previste dall’articolo 4, commi 3 e 3-bis, del decreto-legge 31 agosto 2013, n. 101, convertito, con modificazioni, dalla legge 30 ottobre 2013, n. 125, dall’articolo 35, comma 5, del decreto legislativo 30 marzo 2001, n. 165, e dall’articolo 3, comma 6, della legge 19 giugno 2019, n. 56.

L’articolo 3 concerne la copertura finanziaria degli oneri di cui agli articoli 1, comma 19, e 2, commi 1 e 3, per complessivi 4,373 milioni di euro per l’anno 2019, 6,367 per ciascuno degli anni dal 2020 al 2023, e 4,267 euro annui a decorrere dall’anno 2024.

La formulazione delle norme del presente provvedimento è improntata ai seguenti criteri:

- definizione delle finalità del perimetro e delle modalità di individuazione tanto dei soggetti pubblici e privati che ne fanno parte quanto delle rispettive reti, sistemi informativi e servizi informatici rilevanti per le finalità di sicurezza nazionale cibernetica per i quali si applicano le misure di sicurezza e le procedure che vengono introdotte con l’intervento normativo.

- previsione di un’architettura normativa snella. In particolare, l’attuazione è demandata, con scadenze temporali diversificate, a tre decreti del Presidente del Consiglio dei ministri (DPCM) adottati su proposta del CISR, e a un regolamento da emanare ai sensi dell’articolo 17, comma 1 della legge 23 agosto 1988, n. 400;

- possibilità di agevole aggiornamento dei citati DPCM, per rispondere a una duplice finalità: mantenere la normativa al passo con l’evoluzione tecnologica e consentire un graduale ampliamento del novero dei soggetti da includere nel perimetro;

- coinvolgimento del CISR quale proponente dei DPCM applicativi.

- previsione di misure volte a garantire elevati livelli di sicurezza delle reti, dei sistemi e dei servizi rilevanti;

- istituzione di un meccanismo teso ad assicurare un procurement più sicuro per i soggetti inclusi nel perimetro che intendano procedere all’affidamento di forniture di beni e servizi ICT destinati a essere impiegati sulle reti, sui sistemi e per i servizi rilevanti. Il processo di verifica viene effettuato dal Centro di valutazione e certificazione nazionale (CVCN) sulla base di una valutazione del rischio anche in relazione all’ambito di impiego e in un’ottica di gradualità.

- individuazione delle competenze del Ministero dello sviluppo economico (MiSE) – per i soggetti privati inclusi nel perimetro – e dell’Agenzia per l’Italia Digitale (AgID) – per le amministrazioni pubbliche e i soggetti di cui all’articolo 29 del decreto legislativo 7 marzo 2005, n. 82 (CAD) inclusi nel perimetro – in coerenza con le funzioni già esercitate da tali soggetti istituzionali alla luce delle norme vigenti.

- disciplina dei compiti del CVCN nell’ambito dell’approvvigionamento ICT destinato a reti, sistemi e servizi rilevanti;

- semplificazione della procedura di notifica di incidente per i soggetti (OSE, FSD e operatori ‘Telco’) che siano ad un tempo inclusi nel perimetro e sottoposti agli obblighi stabiliti dal decreto legislativo 18 maggio 2018, n. 65, o dal decreto legislativo 1° agosto 2003, n. 259, prevedendo che le segnalazioni effettuate secondo la presente disciplina valgano anche quale adempimento degli analoghi obblighi previsti dai suddetti ambiti normativi;

- istituzione di un sistema di vigilanza e controllo sul rispetto degli obblighi introdotti;

- previsione di un raccordo tra le autorità titolari delle attribuzioni di cui alla presente legge e Dipartimento delle informazioni per l’Organo del Ministero dell’interno per la sicurezza e la regolarità dei servizi di telecomunicazione, quale autorità di contrasto nell’esercizio delle attività di cui all’art. 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155.

A cura del Dottor Rocco Orefice