Il decreto-legge sulla sicurezza cibernetica è stato pubblicato ufficialmente il 21 settembre 2019, come decreto-legge n. 105/2019 sulla Gazzetta Ufficiale della Repubblica Italiana n. 222, del 21.9.2019, ed è stato adottato dal Governo con effetto immediato.
Il decreto-legge dispone l’istituzione di un perimetro nazionale di sicurezza cibernetica, in grado di introdurre e mantenere misure atte a garantire la sicurezza e la funzionalità delle reti e dei sistemi informatici nuovi e già in uso. In particolare, esso dispone le misure e i requisiti dei servizi informatici e dei sistemi informativi delle amministrazioni pubbliche, degli enti e degli operatori nazionali pubblici e privati, che svolgono fondamentali funzioni dello Stato, fornendo servizi essenziali in ambito sociale, civile ed economico, la cui compromissione quindi comporterebbe dei gravi rischi per la sicurezza nazionale.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Il decreto-legge n. 105/2019 sulla sicurezza cibernetica è entrato in vigore
Tecnologia 5G e il decreto dei poteri speciali
Per adottare e ottimizzare le misure previste dal decreto-legge sulla sicurezza cibernetica, I servizi di riferimento dovranno essere basati sulla tecnologia 5G e coordinare l’attuazione del Regolamento (UE) n. 452/2019. Il decreto-legge sulla sicurezza cibernetica integra e adegua il Quadro normativo che regola l’esercizio di poteri speciali da parte del Governo, come previsto nel decreto-legge del 15 marzo 2012, detto appunto “decreto dei poteri speciali.”
Se da una parte il decreto-legge sulla sicurezza cibernetica può apparire generico, esso tuttavia riesce a definire sottilmente e dettagliatamente i servizi inclusi nella propria sfera di competenza. Anche se procedure e regolamenti specifici per il funzionamento della sicurezza cibernetica nazionale sono ancora in corso di emanazione, le disposizioni previste dal decreto già indicano una serie di doveri di notifica e degli obblighi specifici a cui gli operatori devono attenersi.
Requisiti e Obblighi di notifica
Il primo requisito è l’obbligo di notificare alla Presidenza del Consiglio dei Ministri, come pure al Ministero dello Sviluppo Economico, tutti gli aggiornamenti alle infrastrutture e alle tecnologie critiche utilizzate dagli operatori coinvolti.
In secondo luogo, gli utenti devono notificare alle autorità gli incidenti che possono avere conseguenze sulle suddette infrastrutture e tecnologie critiche, di pertinenza del Gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT). Tali conseguenze sono determinate secondo criteri prestabiliti, e ognuna deve essere seguita da procedure specifiche atte ad assicurare la sicurezza post factum.
Intermezzo promozionale ... continua la lettura dopo il box:
In fine, gli operatori devono attenersi a tutte le misure specifiche create per garantire il più alto livello di sicurezza delle infrastrutture e tecnologie critiche. Inoltre, le disposizioni del decreto investono anche i fornitori, poiché l’acquisto di beni, servizi e sistemi informatici utilizzati nell’ambito delle infrastrutture e tecnologie critiche deve essere notificato dagli operatori al Centro di valutazione e certificazione nazionale (CVCN).
Effettuazione di test di controllo su hardware e software
La nuova legge prevede anche il dovere per i fornitori di collaborare con il CVCN—che potrebbe determinare nuove condizioni speciali per richiedere servizi di controllo su hardware e software. Tali servizi possono essere acquistati se i fornitori sono in grado di dimostrare che sussistono le condizioni specifiche per test di controllo su hardware e software in base a una valutazione del rischio conseguente.
In tal caso, relativi bandi di gara e contratti devono includere condizioni, precedenti e clausole di rescissione che rispettino gli esiti dei controlli effettuati dal CVCN.
Cosa accade nel caso di mancato adempimento
Come nel caso di ogni decreto entrato in vigore, coloro che non adempiono alle suddette disposizioni, sono soggetti alla sospensione del servizio e a problemi professionali. Infatti, in caso di mancato adempimento alle disposizioni che prevedono la piena collaborazione con le autorità pubbliche, sono previste multe amministrative che vanno da 250.000,00 a 1.800.000,00 Euro per ogni infrazione che ne risulta. Inoltre, è prevista la responsabilità penale, che comporta fino a cinque anni di prigione e multe fino a 64.000,00 Euro.
Laddove si prende in considerazione l’esercizio di poteri speciali, il decreto ne stabilisce le modalità di utilizzo nel contesto della tecnologia 5G in uso. Nello specifico, il decreto prevede i casi in cui le autorità pubbliche devono avvalersi di tali poteri speciali, ossia i casi in cui la valutazione di potenziali vulnerabilità riveli la compromissione dell’integrità della sicurezza di una rete 5G.
Tale valutazione esamina tutte le reti e i dati trasmessi attraverso di esse, ed è svolta direttamente dal CVCN tramite una investigazione preliminare. Tale investigazione diventa immediatamente parte integrante della procedura di assunzione dei poteri speciali, e quindi può avere peso sulle decisioni prese dal Governo prima dell’entrata in vigore del decreto.
Integrazioni e modifiche alla normativa precedente
Ѐ importante notare anche l’articolo 4 del decreto, che affronta l’emanazione di regole attuative, estendendo il raggio di applicazione dell’esercizio dei poteri speciali, includendo direttamente le imprese operanti negli ambiti elencati nell’articolo 4(1) del Regolamento dell’UE n. 452/2019. Tale articolo tratta del vaglio degli investimenti diretti da parte di società ed enti stranieri, regolando in particolare le misure di attuazione e gli obblighi di notifica in alcune situazioni, e quindi si applica immediatamente a tutti i settori inclusi nelle varie sezioni del suddetto Regolamento dell’UE, quali i comparti delle tecnologie, dell’intelligenza artificiale, della robotica, della difesa e della sicurezza nazionale, dell’aerospazio, dei prodotti a duplice uso, e altro ancora.
Nell’eventualità di un rischio serio per la sicurezza nazionale o nel corso di una crisi cibernetica di entità grave, il decreto conferisce autorità immediate al Presidente del Consiglio dei Ministri. Tale autorità consente al Presidente di disattivare in parte o per intero il Sistema in via temporanea; un atto che può coinvolgere molti componenti e prodotti utilizzati dai sistemi informatici e dai provider di reti.
Poiché i vari dispositivi legali previsti dal decreto-legge ricadono nell’ambito del Sistema legislativo italiano, è ovvio che in futuro ci saranno modifiche dettate dal diritto dello Stato. Tuttavia, il decreto-legge è già ben consolidato nel Sistema legislativo del Paese, visto che sin dal 21 settembre 2019 ha provveduto a regolare l’ambito della tecnologia nella maniera più estesa e capillare possibile.
Soddisfare i prerequisiti del decreto
I provider di servizi che soddisfano i nuovi prerequisiti sanciti dal decreto avranno il tempo necessario per comprendere e prendere atto delle nuove regole. Al fine di identificare il perimetro di sicurezza nazionale, il decreto-legge sulla sicurezza cibernetica stabilisce che le regole da esso sancite siano attuate con decreti aggiornati ogni due anni in base agli ultimissimi sviluppi tecnologici in Italia.
Tali decreti devono essere adottati sulla base di usi importanti o imprescindibili. Inoltre, ognuno di essi deve essere adottato dalla Commissione Interministeriale per la Sicurezza della Repubblica. Un decreto presidenziale deve seguire l’implementazione di nuove regole.
In quanto tale, un decreto del Presidente del Consiglio dei Ministri deve essere adottato entro quattro mesi dalla data dell’entrata in vigore della legge di conversione del decreto-legge sulla sicurezza cibernetica—identificando così in modo specifico tutti gli enti pubblici e privati inclusi in tale perimetro di sicurezza. I criteri per aderire agli elenchi in questione e gli elenchi stessi saranno inviati rispettivamente agli enti pubblici e privati aderenti, per assicurarne la trasmissione successiva al punto di contatto unico e all’organo del Ministero dell’Interno che si occupa della sicurezza e della regolarità dei servizi di telecomunicazione.
Un decreto del Presidente del Consiglio dei Ministri deve essere poi adottato entro dieci mesi dalla entrata in vigore dei regolamenti che convertono il decreto-legge sulla sicurezza cibernetica – cioè quelli che definiscono procedure specifiche nel caso di notifiche di incidenti, e del loro impatto sulle reti coinvolte. Tali misure rilevanti di certo devono assicurare i più alti livelli di sicurezza informatica – e la prevenzione o la mitigazione degli incidenti che riguardano la gestione delle operazioni.
Ai sensi del decreto legislativo N. 231/2001, è inclusa una sanzione pecuniaria con un tetto di quattrocento quote per gli enti connessi che non aderiscono alle regole, combinando così le mansioni specifiche del CVCN con gli aspetti dell’articolo 2 del decreto-legge sulla sicurezza cibernetica che disciplinano il reclutamento professionale di personale qualificato per svolgere le mansioni quotidiane del CVCN.
Cambiamenti estremamente necessari per la sicurezza cibernetica
Negli ultimi anni, la sicurezza cibernetica in Italia è stata un argomento scottante. Dopo la conclusione del mese europeo per la sicurezza cibernetica, si sono susseguiti molti appuntamenti. A ottobre, si sono svolti il Forum per la sicurezza informatica a Roma, l’IBM Think e altre iniziative.
Oggi, stanno emergendo piccole e medie imprese nel settore della sicurezza cibernetica. Ad esempio, la Cybaze ha effettuato numerose fusioni e acquisizioni, mentre la Omintechit ha aperto nuovi uffici in mezza Europa.
Nonostante le crescenti iniziative e regolamentazioni del settore, l’Italia non è immune da minacce cibernetiche. Infatti, uno degli attacchi del crimine cibernetico documentati più di recente riguardante una compagnia navale italiana ha rivelato nuove problematiche inerenti ai dati digitali presi dai social media, l’utilizzazione da parte di operatori non statali dell’influenza politica digitale e la manipolazione su Internet della percezione mediatica di questioni rilevanti, quali le tasse, l’immigrazione e l’Unione Europea.
Le multinazionali che diffondono reti in Italia vendono software e dispositivi per le comunicazioni digitali, che però non sempre garantiscono la sicurezza, soprattutto per quanto concerne i settori strategici. Con ogni probabilità, la piena applicazione delle difese in 5G, come pure una futura ridefinizione secondo standard digitali potenziati della comunicazione tra sistemi industriali, automobili e oggetti digitali connessi, avranno un impatto notevole su tali questioni.
L’aumento della protezione nell’ambito della sicurezza cibernetica in futuro
Fortunatamente, gli sforzi volti a stabilire un ecosistema digitale sicuro in Italia hanno dato risultati. Oggi, la sicurezza cibernetica in Italia sta crescendo più che mai, e il decreto Gentiloni sta decollando velocemente. Nel frattempo, al Dipartimento Informazioni per la Sicurezza (DIS) ci si aspetta che la collaborazione tra il Ministero dell’Interno e il Ministero della Difesa rafforzi le iniziative per la difesa cibernetica, le investigazioni e le strutture difensive sia per le aziende sia per i privati.
Dunque, dove vi collocate nel panorama italiano sempre più variegato della sicurezza in rete? Se vi recherete in Italia in futuro, potreste avere il vantaggio di un ecosistema di protezione digitale a trecentosessanta gradi, il più raffinato che ci sia mai stato. Eppure, è una buona idea rafforzare ulteriormente la propria sicurezza in Internet, visto che, nonostante l’entrata in vigore di nuove regole, molte aziende stanno ancora arrancando per mettersi al passo e aderire ai nuovi obblighi sanciti dalla legge. Anche se probabilmente i principali componenti digitali del settore pubblico saranno più sicuri, vi esporrete ancora a rischi senza l’anonimato e la protezione delle informazioni in Internet che un provider di VPN affidabile offre.
TESTO DEL DECRETO LEGGE n. 105/2019 sulla sicurezza cibernetica pubblicato sulla gazzetta ufficiale – https://www.gazzettaufficiale.it/eli/id/2019/09/21/19G00111/sg
IL PRESIDENTE DELLA REPUBBLICA
Visti gli articoli 77 e 87, quinto comma, della Costituzione;
Considerata la straordinaria necessita’ ed urgenza, nell’attuale
quadro normativo ed a fronte della realizzazione in corso di
importanti e strategiche infrastrutture tecnologiche, anche in
relazione a recenti attacchi alle reti di Paesi europei, di disporre,
per le finalita’ di sicurezza nazionale, di un sistema di organi,
procedure e misure, che consenta una efficace valutazione sotto il
profilo tecnico della sicurezza degli apparati e dei prodotti, in
linea con le piu’ elevate ed aggiornate misure di sicurezza adottate
a livello internazionale;
Ritenuta, altresi’, la necessita’ di prevedere, in coerenza con il
predetto sistema, il raccordo con le disposizioni in materia di
valutazione della presenza di fattori di vulnerabilita’ che
potrebbero compromettere l’integrita’ e la sicurezza delle reti
inerenti ai servizi di comunicazione elettronica a banda larga basati
sulla tecnologia 5G e dei dati che vi transitano, ai sensi
dell’articolo 1-bis del decreto-legge 15 marzo 2012, n. 21,
convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56;
Considerata altresi’ la straordinaria necessita’ ed urgenza di
disporre anche dei piu’ idonei strumenti d’immediato intervento che
consentano di affrontare con la massima efficacia e tempestivita’
eventuali situazioni di emergenza in ambito cibernetico;
Vista la deliberazione del Consiglio dei ministri, adottata nella
riunione del 19 settembre 2019;
Sulla proposta del Presidente del Consiglio dei ministri, di
concerto con i Ministri dell’economia e delle finanze, dello sviluppo
economico, della difesa, dell’interno, degli affari esteri e della
cooperazione internazionale, della giustizia, per la pubblica
amministrazione e per l’innovazione tecnologica e la
digitalizzazione;
E m a n a
il seguente decreto-legge:
Art. 1
Perimetro di sicurezza nazionale cibernetica
1. Al fine di assicurare un livello elevato di sicurezza delle
reti, dei sistemi informativi e dei servizi informatici delle
amministrazioni pubbliche, degli enti e degli operatori nazionali,
pubblici e privati, da cui dipende l’esercizio di una funzione
essenziale dello Stato, ovvero la prestazione di un servizio
essenziale per il mantenimento di attivita’ civili, sociali o
economiche fondamentali per gli interessi dello Stato e dal cui
malfunzionamento, interruzione, anche parziali, ovvero utilizzo
improprio, possa derivare un pregiudizio per la sicurezza nazionale,
e’ istituito il perimetro di sicurezza nazionale cibernetica.
2. Entro quattro mesi dalla data di entrata in vigore della legge
di conversione del presente decreto, con decreto del Presidente del
Consiglio dei ministri, adottato su proposta del Comitato
interministeriale per la sicurezza della Repubblica (CISR):
a) sono individuati le amministrazioni pubbliche, gli enti e gli
operatori nazionali, pubblici e privati di cui al comma 1, inclusi
nel perimetro di sicurezza nazionale cibernetica e tenuti al rispetto
delle misure e degli obblighi previsti dal presente articolo; alla
predetta individuazione, fermo restando che per gli Organismi di
informazione per la sicurezza si applicano le norme previste dalla
legge 3 agosto 2007, n. 124, si procede sulla base dei seguenti
criteri:
1) il soggetto esercita una funzione essenziale dello Stato,
ovvero assicura un servizio essenziale per il mantenimento di
attivita’ civili, sociali o economiche fondamentali per gli interessi
dello Stato;
2) l’esercizio di tale funzione o la prestazione di tale
servizio dipende da reti, sistemi informativi e servizi informatici
dal cui malfunzionamento, interruzione, anche parziali, ovvero
utilizzo improprio possa derivare un pregiudizio per la sicurezza
nazionale;
b) sono definiti i criteri in base ai quali i soggetti di cui
alla precedente lettera a) predispongono e aggiornano con cadenza
almeno annuale un elenco delle reti, dei sistemi informativi e dei
servizi informatici di cui al comma 1, di rispettiva pertinenza,
comprensivo della relativa architettura e componentistica;
all’elaborazione di tali criteri provvede, adottando opportuni moduli
organizzativi, l’organismo tecnico di supporto al CISR, integrato con
un rappresentante della Presidenza del Consiglio dei ministri; entro
sei mesi dalla data di entrata in vigore del decreto del Presidente
del Consiglio dei ministri di cui al presente comma, i soggetti
pubblici e quelli di cui all’articolo 29 del codice
dell’amministrazione digitale, di cui al decreto legislativo 7 marzo
2005, n. 82, nonche’ quelli privati, individuati ai sensi della
lettera a) trasmettono tali elenchi, rispettivamente, alla Presidenza
del Consiglio dei ministri e al Ministero dello sviluppo economico;
la Presidenza del Consiglio dei ministri e il Ministero dello
sviluppo economico inoltrano gli elenchi di rispettiva pertinenza al
Dipartimento delle informazioni per la sicurezza, anche per le
attivita’ di prevenzione, preparazione e gestione di crisi
cibernetiche affidate al Nucleo per la sicurezza cibernetica, nonche’
all’organo del Ministero dell’interno per la sicurezza e la
regolarita’ dei servizi di telecomunicazione di cui all’articolo
7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con
modificazioni, dalla legge 31 luglio 2005, n. 155.
3. Entro dieci mesi dalla data di entrata in vigore della legge di
conversione del presente decreto, con decreto del Presidente del
Consiglio dei ministri, che ne disciplina altresi’ i relativi termini
e modalita’ attuative, adottato su proposta del CISR:
a) sono definite le procedure secondo cui i soggetti individuati
ai sensi del comma 2, lettera a), notificano gli incidenti aventi
impatto su reti, sistemi informativi e servizi informatici di cui al
comma 2, lettera b), al Gruppo di intervento per la sicurezza
informatica in caso di incidente (CSIRT) italiano, che inoltra tali
notifiche, tempestivamente, al Dipartimento delle informazioni per la
sicurezza anche per le attivita’ demandate al Nucleo per la sicurezza
cibernetica; il Dipartimento delle informazioni per la sicurezza
assicura la trasmissione delle notifiche cosi’ ricevute all’organo
del Ministero dell’interno per la sicurezza e la regolarita’ dei
servizi di telecomunicazione di cui all’articolo 7-bis del
decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni,
dalla legge 31 luglio 2005, n. 155, nonche’ alla Presidenza del
Consiglio dei ministri, se provenienti da un soggetto pubblico o da
un soggetto di cui all’articolo 29 del decreto legislativo 7 marzo
2005, n. 82, ovvero al Ministero dello sviluppo economico, se
effettuate da un soggetto privato;
b) sono stabilite misure volte a garantire elevati livelli di
sicurezza delle reti, dei sistemi informativi e dei servizi
informatici di cui al comma 2, lettera b), relative:
1) alle politiche di sicurezza, alla struttura organizzativa e
alla gestione del rischio;
2) alla mitigazione e gestione degli incidenti e alla loro
prevenzione, anche attraverso la sostituzione di apparati o prodotti
che risultino gravemente inadeguati sul piano della sicurezza;
3) alla protezione fisica e logica e dei dati;
4) all’integrita’ delle reti e dei sistemi informativi;
5) alla gestione operativa, ivi compresa la continuita’ del
servizio;
6) al monitoraggio, test e controllo;
7) alla formazione e consapevolezza;
8) all’affidamento di forniture di beni, sistemi e servizi di
information and communication technology (ICT), anche mediante
definizione di caratteristiche e requisiti di carattere generale.
4. All’elaborazione delle misure di cui al comma 3, lettera b),
provvedono, secondo gli ambiti di competenza delineati dal presente
decreto, il Ministero dello sviluppo economico e la Presidenza del
Consiglio dei ministri, d’intesa con il Ministero della difesa, il
Ministero dell’interno, il Ministero dell’economia e delle finanze e
il Dipartimento delle informazioni per la sicurezza.
5. Per l’aggiornamento di quanto previsto dai decreti di cui ai
commi 2 e 3 si procede secondo le medesime modalita’ di cui ai commi
2, 3 e 4 con cadenza almeno biennale.
6. Con regolamento, adottato ai sensi dell’articolo 17, comma 1,
della legge 23 agosto 1988, n. 400, entro dieci mesi dalla data di
entrata in vigore della legge di conversione del presente decreto,
sono disciplinati le procedure, le modalita’ e i termini con cui:
a) fatti salvi i casi di deroga stabiliti dal medesimo
regolamento con riguardo alle forniture di beni e di servizi ICT cui
sia indispensabile procedere in sede estera, i soggetti di cui al
comma 2, lettera a), che intendano procedere all’affidamento di
forniture di beni, sistemi e servizi ICT destinati a essere impiegati
sulle reti, sui sistemi informativi e per l’espletamento dei servizi
informatici di cui al comma 2, lettera b), diversi da quelli
necessari per lo svolgimento delle attivita’ di prevenzione,
accertamento e repressione dei reati, ne danno comunicazione al
Centro di valutazione e certificazione nazionale (CVCN), istituito
presso il Ministero dello sviluppo economico, che, sulla base di una
valutazione del rischio, anche in relazione all’ambito di impiego e
in un’ottica di gradualita’, puo’, entro trenta giorni, imporre
condizioni e test di hardware e software; in tale ipotesi, i relativi
bandi di gara e contratti sono integrati con clausole che
condizionano, sospensivamente ovvero risolutivamente, l’affidamento
ovvero il contratto al rispetto delle condizioni e all’esito
favorevole dei test disposti dal CVCN; per le forniture di beni,
sistemi e servizi ICT da impiegare su reti, sistemi informativi e
servizi informatici del Ministero della difesa, individuati ai sensi
del comma 2, lettera b), il predetto Ministero procede, nell’ambito
delle risorse umane e finanziarie disponibili a legislazione vigente
e senza nuovi o maggiori oneri a carico della finanza pubblica, in
coerenza con quanto previsto dal presente decreto, attraverso un
proprio Centro di valutazione in raccordo con la Presidenza del
Consiglio dei ministri e il Ministero dello sviluppo economico per i
profili di rispettiva competenza; resta fermo che per lo svolgimento
delle attivita’ di prevenzione, accertamento e di repressione dei
reati e nei casi in cui si deroga all’obbligo di cui alla presente
lettera, sono utilizzati reti, sistemi informativi e servizi
informatici conformi ai livelli di sicurezza di cui al comma 3,
lettera b), qualora non incompatibili con gli specifici impieghi cui
essi sono destinati;
b) i soggetti individuati quali fornitori di beni, sistemi e
servizi destinati alle reti, ai sistemi informativi e ai servizi
informatici di cui al comma 2, lettera b), assicurano al CVCN e,
limitatamente agli ambiti di specifica competenza, al Centro di
valutazione operante presso il Ministero della difesa, la propria
collaborazione per l’effettuazione delle attivita’ di test di cui
alla lettera a) del presente comma, sostenendone gli oneri; il CVCN
segnala la mancata collaborazione al Ministero dello sviluppo
economico, in caso di fornitura destinata a soggetti privati, o alla
Presidenza del Consiglio dei ministri, in caso di fornitura destinata
a soggetti pubblici ovvero a quelli di cui all’articolo 29 del codice
di cui al decreto legislativo 7 marzo 2005, n. 82; sono inoltrate
altresi’ alla Presidenza del Consiglio dei ministri le analoghe
segnalazioni del Centro di valutazione del Ministero della difesa;
c) la Presidenza del Consiglio dei ministri, per i profili di
pertinenza dei soggetti pubblici e di quelli di cui all’articolo 29
del codice dell’Amministrazione digitale di cui al decreto
legislativo 7 marzo 2005, n. 82, individuati ai sensi del comma 2,
lettera a), e il Ministero dello sviluppo economico, per i soggetti
privati di cui alla medesima lettera, svolgono attivita’ di ispezione
e verifica in relazione a quanto previsto dal comma 2, lettera b),
dal comma 3 e dalla lettera a) del presente comma e senza che cio’
comporti accesso a dati o metadati personali e amministrativi,
impartendo, se necessario, specifiche prescrizioni; per le reti, i
sistemi informativi e i servizi informatici di cui al comma 2,
lettera b), connessi alla funzione di prevenzione e repressione dei
reati, alla tutela dell’ordine e della sicurezza pubblica e alla
difesa e sicurezza militare dello Stato, le attivita’ di ispezione e
verifica sono svolte, nell’ambito delle risorse umane e finanziarie
disponibili a legislazione vigente e senza nuovi o maggiori oneri a
carico della finanza pubblica, dalle strutture specializzate in tema
di protezione di reti e sistemi, nonche’ in tema di prevenzione e di
contrasto del crimine informatico, delle amministrazioni da cui
dipendono le Forze di polizia e le Forze armate, che ne comunicano
gli esiti alla Presidenza del Consiglio dei ministri per i profili di
competenza.
7. Nell’ambito dell’approvvigionamento di prodotti, processi,
servizi ICT e associate infrastrutture destinati alle reti, ai
sistemi informativi e per l’espletamento dei servizi informatici di
cui al comma 2, lettera b), il CVCN assume i seguenti compiti:
a) contribuisce all’elaborazione delle misure di sicurezza di cui
al comma 3, lettera b), per cio’ che concerne l’affidamento di
forniture di beni, sistemi e servizi ICT;
b) ai fini della verifica delle condizioni di sicurezza e
dell’assenza di vulnerabilita’ note, anche in relazione all’ambito di
impiego, svolge le attivita’ di cui al comma 6, lettera a), dettando,
se del caso, anche prescrizioni di utilizzo al committente; a tali
fini il CVCN si avvale anche di laboratori dallo stesso accreditati
secondo criteri stabiliti da un decreto del Presidente del Consiglio
dei ministri, adottato entro dieci mesi dalla data di entrata in
vigore della legge di conversione del presente decreto, su proposta
del CISR, impiegando, per le esigenze delle amministrazioni centrali
dello Stato, quelli eventualmente istituiti, senza nuovi o maggiori
oneri a carico della finanza pubblica, presso le medesime
amministrazioni;
c) elabora e adotta, previo conforme avviso dell’organismo
tecnico di supporto al CISR, schemi di certificazione cibernetica,
laddove, per ragioni di sicurezza nazionale, gli schemi di
certificazione esistenti non siano ritenuti adeguati alle esigenze di
tutela del perimetro di sicurezza nazionale cibernetica.
8. I soggetti di cui agli articoli 12 e 14 del decreto legislativo
18 maggio 2018, n. 65, e quelli di cui all’articolo 16-ter, comma 2,
del codice delle comunicazioni elettroniche di cui al decreto
legislativo 1° agosto 2003, n. 259, inclusi nel perimetro di
sicurezza nazionale cibernetica:
a) osservano le misure di sicurezza previste, rispettivamente,
dai predetti decreti legislativi, ove di livello almeno equivalente a
quelle adottate ai sensi del comma 3, lettera b), del presente
articolo; le eventuali misure aggiuntive necessarie al fine di
assicurare i livelli di sicurezza previsti dal presente decreto sono
definite dalla Presidenza del Consiglio dei ministri, per i soggetti
pubblici e per quelli di cui all’articolo 29 del codice di cui al
decreto legislativo 7 marzo 2005, n. 82, individuati ai sensi del
comma 2, lettera a), del presente articolo, e dal Ministero dello
sviluppo economico per i soggetti privati di cui alla medesima
lettera, avvalendosi anche del CVCN; il Ministero dello sviluppo
economico e la Presidenza del Consiglio dei ministri si raccordano,
ove necessario, con le autorita’ competenti di cui all’articolo 7 del
decreto legislativo 18 maggio 2018, n. 65;
b) assolvono l’obbligo di notifica di cui al comma 3, lettera a),
che costituisce anche adempimento, rispettivamente, dell’obbligo di
notifica di cui agli articoli 12 e 14 del decreto legislativo 18
maggio 2018, n. 65, e dell’analogo obbligo previsto ai sensi
dell’articolo 16-ter del codice di cui al decreto legislativo 1°
agosto 2003, n. 259, e delle correlate disposizioni attuative; a tal
fine, oltre a quanto previsto dal comma 3, lettera a), anche in
relazione alle disposizioni di cui all’articolo 16-ter del codice di
cui al decreto legislativo 1° agosto 2003, n. 259, il CSIRT italiano
inoltra le notifiche ricevute ai sensi del predetto comma 3, lettera
a), all’autorita’ competente di cui all’articolo 7 del decreto
legislativo 18 maggio 2018, n. 65.
9. Salvo che il fatto costituisca reato:
a) il mancato adempimento degli obblighi di predisposizione e di
aggiornamento dell’elenco delle reti, dei sistemi informativi e dei
servizi informatici di cui al comma 2, lettera b), e’ punito con la
sanzione amministrativa pecuniaria da euro 200.000 a euro 1.200.000;
b) il mancato adempimento dell’obbligo di notifica di cui al
comma 3, lettera a), nei termini prescritti, e’ punito con la
sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000;
c) l’inosservanza delle misure di sicurezza di cui al comma 3,
lettera b), e’ punita con la sanzione amministrativa pecuniaria da
euro 250.000 a euro 1.500.000;
d) la mancata comunicazione di cui al comma 6, lettera a), nei
termini prescritti, e’ punita con la sanzione amministrativa
pecuniaria da euro 300.000 a euro 1.800.000;
e) l’impiego di prodotti e servizi sulle reti, sui sistemi
informativi e l’espletamento dei servizi informatici di cui al comma
2, lettera b), in violazione delle condizioni imposte dal CVCN o in
assenza del superamento dei test di cui al comma 6, lettera a), e’
punito con la sanzione amministrativa pecuniaria da euro 300.000 a
euro 1.800.000;
f) la mancata collaborazione per l’effettuazione delle attivita’
di test di cui al comma 6, lettera a), da parte dei soggetti di cui
al medesimo comma 6, lettera b), e’ punita con la sanzione
amministrativa pecuniaria da euro 250.000 a euro 1.500.000;
g) il mancato adempimento delle prescrizioni indicate dal
Ministero dello sviluppo economico o dalla Presidenza del Consiglio
dei ministri in esito alle attivita’ di ispezione e verifica svolte
ai sensi del comma 6, lettera c), e’ punito con la sanzione
amministrativa pecuniaria da euro 250.000 a euro 1.500.000;
h) il mancato rispetto delle prescrizioni di cui al comma 7,
lettera b), e’ punito con la sanzione amministrativa pecuniaria da
euro 250.000 a euro 1.500.000.
10. In caso di inottemperanza alle condizioni o in assenza
dell’esito favorevole dei test di cui al comma 6, lettera a), il
contratto non produce ovvero cessa di produrre effetti, secondo
quanto previsto dalle condizioni ad esso apposte. L’esecuzione
comunque effettuata in violazione di quanto previsto al primo periodo
comporta, oltre alla sanzione di cui al comma 9, lettera e), la
sanzione amministrativa accessoria della incapacita’ ad assumere
incarichi di direzione, amministrazione e controllo nelle persone
giuridiche e nelle imprese, per un periodo di tre anni a decorrere
dalla data di accertamento della violazione.
11. Chiunque, allo scopo di ostacolare o condizionare
l’espletamento dei procedimenti di cui al comma 2, lettera b), o al
comma 6, lettera a), o delle attivita’ ispettive e di vigilanza
previste dal comma 6, lettera c), fornisce informazioni, dati o
elementi di fatto non rispondenti al vero, rilevanti per la
predisposizione o l’aggiornamento degli elenchi di cui al comma 2,
lettera b), o ai fini delle comunicazioni di cui al comma 6, lettera
a), o per lo svolgimento delle attivita’ ispettive e di vigilanza di
cui al comma 6), lettera c) od omette di comunicare entro i termini
prescritti i predetti dati, informazioni o elementi di fatto, e’
punito con la reclusione da uno a cinque anni e all’ente,
responsabile ai sensi del decreto legislativo 8 giugno 2001, n. 231,
si applica la sanzione pecuniaria fino a quattrocento quote.
12. Le autorita’ competenti per l’accertamento delle violazioni e
per l’irrogazione delle sanzioni sono la Presidenza del Consiglio dei
ministri, per i soggetti pubblici e per i soggetti di cui
all’articolo 29 del codice di cui al decreto legislativo 7 marzo
2005, n. 82, individuati ai sensi del comma 2, lettera a), del
presente articolo, e il Ministero dello sviluppo economico, per i
soggetti privati di cui alla medesima lettera.
13. Ai fini dell’accertamento e dell’irrogazione delle sanzioni
amministrative di cui al comma 9, si osservano le disposizioni
contenute nel capo I, sezioni I e II, della legge 24 novembre 1981,
n. 689.
14. Per i dipendenti dei soggetti pubblici individuati ai sensi del
comma 2, lettera a), la violazione delle disposizioni di cui al
presente articolo puo’ costituire causa di responsabilita’
disciplinare e amministrativo-contabile.
15. Le autorita’ titolari delle attribuzioni di cui al presente
decreto assicurano gli opportuni raccordi con il Dipartimento delle
informazioni per la sicurezza e con l’organo del Ministero
dell’interno per la sicurezza e la regolarita’ dei servizi di
telecomunicazione, quale autorita’ di contrasto nell’esercizio delle
attivita’ di cui all’articolo 7-bis del decreto-legge 27 luglio 2005,
n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n.
155.
16. La Presidenza del Consiglio dei ministri, per lo svolgimento
delle funzioni di cui al presente decreto puo’ avvalersi dell’Agenzia
per l’Italia Digitale (AgID) sulla base di apposite convenzioni,
nell’ambito delle risorse finanziarie e umane disponibili a
legislazione vigente, senza nuovi o maggiori oneri per la finanza
pubblica.
17. Al decreto legislativo 18 maggio 2018, n. 65, sono apportate le
seguenti modificazioni:
a) all’articolo 4, comma 5, dopo il primo periodo e’ aggiunto il
seguente:
«Il Ministero dello sviluppo economico inoltra tale elenco al
punto di contatto unico e all’organo del Ministero dell’interno per
la sicurezza e la regolarita’ dei servizi di telecomunicazione, di
cui all’articolo 7-bis del decreto-legge 27 luglio 2005, n. 144,
convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155.»;
b) all’articolo 9, comma 3, le parole «e il punto di contatto
unico» sono sostituite dalle seguenti:
«, il punto di contatto unico e l’organo del Ministero
dell’interno per la sicurezza e la regolarita’ dei servizi di
telecomunicazione, di cui all’articolo 7-bis del decreto-legge 27
luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31
luglio 2005, n. 155,».
18. Gli eventuali adeguamenti alle prescrizioni di sicurezza
definite ai sensi del presente articolo, delle reti, dei sistemi
informativi e dei servizi informatici delle amministrazioni
pubbliche, degli enti e degli operatori pubblici di cui al comma 2,
lettera a), sono effettuati con le risorse finanziarie disponibili a
legislazione vigente.
19. Per la realizzazione, l’allestimento e il funzionamento del
CVCN di cui ai commi 6 e 7 e’ autorizzata la spesa di euro 3.200.000
per l’anno 2019 e di euro 2.850.000 per ciascuno degli anni dal 2020
al 2023 e di euro 750.000 annui a decorrere dall’anno 2024.
