Gazzetta n. 194 del 20 agosto 2022 (vai al sommario)
DECRETO LEGISLATIVO 3 agosto 2022, n. 123
Norme di adeguamento della normativa nazionale alle disposizioni del Titolo III «Quadro di certificazione della cibersicurezza» del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio del 17 aprile 2019 relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza»).


IL PRESIDENTE DELLA REPUBBLICA

Visti gli articoli 76 e 87, quinto comma, della Costituzione;
Visto l'articolo 14, comma 1, della legge 23 agosto 1988, n. 400, recante disciplina dell'attivita' di Governo e ordinamento della Presidenza del Consiglio dei ministri;
Vista la legge 24 dicembre 2012, n. 234, recante norme generali sulla partecipazione dell'Italia alla formazione e all'attuazione della normativa e delle politiche dell'Unione europea;
Vista la legge 22 aprile 2021, n. 53, concernente delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea - Legge di delegazione europea 2019-2020, e, in particolare, l'articolo 18, recante i principi e criteri direttivi per l'adeguamento della normativa nazionale alle disposizioni del titolo III del regolamento (UE) 2019/881;
Visto il regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio, del 9 luglio 2008, che pone norme in materia di accreditamento e vigilanza del mercato per quanto riguarda la commercializzazione dei prodotti e che abroga il regolamento (CEE) n. 339/93;
Visto il regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013;
Visto il regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati);
Vista la legge 24 novembre 1981, n. 689, recante modifiche al sistema penale e che contiene disposizioni in materia di depenalizzazione, sanzioni amministrative e penali, pecuniarie ed accessorie;
Visto il decreto legislativo 23 gennaio 2002, n. 10, recante attuazione della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche , e, in particolare, l'articolo 10, comma 1, che ha previsto l'istituzione dello schema nazionale per la valutazione e certificazione di sicurezza nel settore della tecnologia dell'informazione preposto all'accertamento in Italia della conformita' dei dispositivi per la creazione di una «firma sicura» ai requisiti prescritti dalla direttiva 1999/93/CE da definire con decreto del Presidente del Consiglio dei ministri o del Ministro per l'innovazione e le tecnologie, di concerto con altri Ministri;
Visto il decreto legislativo 30 giugno 2003, n. 196, concernente il codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE;
Visto il decreto legislativo 7 marzo 2005, n. 82, recante Codice dell'amministrazione digitale, che ha disposto l'abrogazione del decreto legislativo 23 gennaio 2002, n. 10, sostituendo l'articolo 10, comma 1 con il nuovo articolo 35, comma 5 ed adeguando il riferimento a «firma sicura» con il nuovo termine «firma qualificata»;
Visto l'articolo 7, comma 1, lettera e), del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, recante disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale, che attribuisce all'Agenzia per la cybersicurezza nazionale il ruolo di autorita' nazionale di certificazione della cybersicurezza ai sensi dell'articolo 58 del regolamento (UE) 2019/881 e traferisce all'agenzia tutte le funzioni in materia di certificazione di cybersicurezza del Ministero dello sviluppo economico in base all'ordinamento vigente, ed il successivo articolo 16, comma 12, lettera b), dello stesso decreto, con il quale si dispone che ogni riferimento al Ministero dello sviluppo economico nell'articolo 18 della legge 22 aprile 2022, n. 53, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale;
Visto il decreto del Presidente del Consiglio dei ministri del 30 ottobre 2003, pubblicato nella Gazzetta Ufficiale n. 98 del 27 aprile 2004, recante approvazione dello schema nazionale per la valutazione e la certificazione della sicurezza nel settore della tecnologia dell'informazione, e che ha individuato, all'articolo 4, nell'ex Ministero delle comunicazioni, oggi Ministero dello sviluppo economico per effetto dei commi 376 e 377 dell'articolo 1 della legge del 24 dicembre 2007, n. 244, l'organismo di certificazione della sicurezza informatica nel settore della tecnologia dell'informazione, ai sensi dell'articolo 10, comma 1, del decreto legislativo 23 febbraio 2002, n. 10;
Visto il regolamento adottato con decreto del Presidente del Consiglio dei ministri del 9 dicembre 2021, n. 223, in materia di organizzazione e funzionamento dell'Agenzia per la cybersicurezza nazionale;
Vista la preliminare deliberazione del Consiglio dei ministri, adottata nella riunione del 5 maggio 2022;
Sentita l'Agenzia per la cybersicurezza nazionale di cui all'articolo 5 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, ai sensi dell'articolo 7, comma 1, lettera p), del medesimo decreto-legge;
Acquisiti i pareri delle competenti Commissioni della Camera dei deputati e del Senato della Repubblica;
Vista la deliberazione del Consiglio dei ministri, adottata nella riunione del 28 luglio 2022;
Sulla proposta del Presidente del Consiglio dei ministri e del Ministro dello sviluppo economico, di concerto con i Ministri degli affari esteri e della cooperazione internazionale, dell'economia e delle finanze, della giustizia, dell'interno, della difesa e per l'innovazione tecnologica e la transizione digitale;

Emana
il seguente decreto legislativo:

Art. 1

Oggetto e ambito di applicazione

1. Il presente decreto stabilisce misure volte ad adeguare la normativa nazionale al nuovo quadro europeo di certificazione della cybersicurezza, introdotto mediante le disposizioni del Titolo III del regolamento (UE) 2019/881.
2. Ai fini del comma 1, il presente decreto prevede:
a) l'individuazione dell'organizzazione dell'autorita' nazionale di certificazione della cybersicurezza in Italia, di cui all'articolo 4, comma 1, in base ai compiti ed ai poteri ad essa attribuiti in materia di vigilanza in ambito nazionale e di rilascio dei certificati di cybersicurezza, con riferimento al quadro europeo di certificazione;
b) le modalita' di cooperazione dell'autorita' di cui alla lettera a) con le altre autorita' pubbliche nazionali ed europee e con l'Organismo di accreditamento;
c) la definizione di un sistema sanzionatorio applicabile in caso di violazione delle norme del quadro europeo di certificazione con sanzioni effettive, proporzionate e dissuasive.
3. Il presente decreto si applica fatte salve le disposizioni specifiche riguardanti le attivita' nel settore della pubblica sicurezza, della difesa, della sicurezza nazionale e le attivita' dello Stato nell'ambito del diritto penale.

NOTE

Avvertenza:
Il testo delle note qui pubblicato e' stato redatto
dall'amministrazione competente per materia, ai sensi
dell'art.10, comma 3, del testo unico delle disposizioni
sulla promulgazione delle leggi, sull'emanazione dei
decreti del Presidente della Repubblica e sulle
pubblicazioni ufficiali della Repubblica italiana,
approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo
fine di facilitare la lettura delle disposizioni di legge
modificate o alle quali e' operato il rinvio. Restano
invariati il valore e l'efficacia degli atti legislativi
qui trascritti.
Per gli atti dell'Unione europea vengono forniti gli
estremi di pubblicazione nella Gazzetta Ufficiale
dell'Unione Europea (GUUE).

Note alle premesse:
- L'art. 76 della Costituzione stabilisce che
l'esercizio della funzione legislativa non puo' essere
delegato al Governo se non con determinazione di principi e
criteri direttivi e soltanto per tempo limitato e per
oggetti definiti.
- L'art. 87 della Costituzione conferisce, tra l'altro,
al Presidente della Repubblica il potere di promulgare le
leggi e di emanare i decreti aventi valore di legge ed i
regolamenti.
- Si riporta il testo dell'articolo 14, comma 1, della
legge 23 agosto 1988. n. 400, recante «Disciplina
dell'attivita' di Governo e ordinamento della Presidenza
del Consiglio dei Ministri»:
«Art. 14 (Decreti legislativi). - I decreti
legislativi adottati dal Governo ai sensi dell'articolo 76
della Costituzione sono emanati dal Presidente della
Repubblica con la denominazione di "decreto legislativo" e
con l'indicazione, nel preambolo, della legge di
delegazione, della deliberazione del Consiglio dei ministri
e degli altri adempimenti del procedimento prescritti dalla
legge di delegazione.
Omissis.».
- La legge 24 dicembre 2012, n. 234, recante norme
generali sulla partecipazione dell'Italia alla formazione e
all'attuazione della normativa e delle politiche
dell'Unione europea, e' pubblicata nella Gazzetta Ufficiale
n. 3 del 4 gennaio 2013.
- La legge 22 aprile 2021, n. 53, concernente delega al
Governo per il recepimento delle direttive europee e
l'attuazione di altri atti dell'Unione europea - Legge di
delegazione europea 2019-2020, e' pubblicata nella Gazzetta
Ufficiale n. 97 del 23 aprile 2021.
- Si riporta il testo dell'articolo 18 della legge 22
aprile 2021, n. 5, recante i principi e criteri direttivi
per l'adeguamento della normativa nazionale alle
disposizioni del titolo III del regolamento (UE) 2019/881:
«Art. 18 (Principi e criteri direttivi per
l'adeguamento della normativa nazionale alle disposizioni
del titolo III, Quadro di certificazione della
cibersicurezza, del regolamento (UE) 2019/881, relativo
all'ENISA, l'Agenzia dell'Unione europea per la
cibersicurezza, e alla certificazione della cibersicurezza
per le tecnologie dell'informazione e della comunicazione e
che abroga il regolamento (UE) n. 526/2013 («regolamento
sulla cibersicurezza»)). - 1. Il Governo adotta, entro
dodici mesi dalla data di entrata in vigore della presente
legge, uno o piu' decreti legislativi per l'adeguamento
della normativa nazionale al titolo III del regolamento
(UE) 2019/881 del Parlamento europeo e del Consiglio, del
17 aprile 2019.
2. Nell'esercizio della delega di cui al comma 1 il
Governo osserva, oltre ai principi e criteri direttivi
generali di cui all'articolo 32 della legge n. 234 del
2012, anche i seguenti principi e criteri direttivi
specifici:
a) designare il Ministero dello sviluppo economico
quale autorita' competente ai sensi del paragrafo 1
dell'articolo 58 del regolamento (UE) 2019/881;
b) individuare l'organizzazione e le modalita' per
lo svolgimento dei compiti e l'esercizio dei poteri
dell'autorita' di cui alla lettera a), attribuiti ai sensi
dell'articolo 58 e dell'articolo 56, paragrafi 5 e 6, del
regolamento (UE) 2019/881;
c) definire il sistema delle sanzioni applicabili
ai sensi dell'articolo 65 del regolamento (UE) 2019/881,
prevedendo che gli introiti derivanti dall'irrogazione
delle sanzioni siano versati all'entrata del bilancio dello
Stato per essere riassegnati ad apposito capitolo dello
stato di previsione del Ministero dello sviluppo economico
per finalita' di ricerca e formazione in materia di
certificazione della cibersicurezza; le sanzioni
amministrative pecuniarie non devono essere inferiori nel
minimo a 15.000 euro e non devono essere superiori nel
massimo a 5.000.000 di euro;
d) prevedere, in conformita' all'articolo 58,
paragrafi 7 e 8, del regolamento (UE) 2019/881, il potere
dell'autorita' di cui alla lettera a) di revocare i
certificati rilasciati ai sensi dell'articolo 56, paragrafi
4 e 5, lettera b), emessi sul territorio nazionale, salvo
diverse disposizioni dei singoli sistemi europei di
certificazione adottati ai sensi dell'articolo 49 di detto
regolamento.».
- Il regolamento (CE) n. 765/2008 del Parlamento
europeo e del Consiglio, del 9 luglio 2008, che pone norme
in materia di accreditamento e vigilanza del mercato per
quanto riguarda la commercializzazione dei prodotti e che
abroga il regolamento (CEE) n. 339/93, e' pubblicato nella
GUUE L 218/30 del 13 agosto 2008.
- Il regolamento (UE) 2019/881 del Parlamento europeo e
del Consiglio, del 17 aprile 2019, relativo all'ENISA,
l'Agenzia dell'Unione europea per la cibersicurezza, e alla
certificazione della cibersicurezza per le tecnologie
dell'informazione e della comunicazione, e che abroga il
regolamento (UE) n. 526/2013, e' pubblicato nella GUUE L
151/15 del 7 giugno 2019.
- Il regolamento (UE) n. 910/2014 del Parlamento
europeo e del Consiglio, del 23 luglio 2014, in materia di
identificazione elettronica e servizi fiduciari per le
transazioni elettroniche nel mercato interno e che abroga
la direttiva 1999/93/CE, e' pubblicato nella GUUE L 257/73
del 28 agosto 2014.
- Il regolamento (UE) 2016/679 del Parlamento europeo e
del Consiglio, del 27 aprile 2016, relativo alla protezione
delle persone fisiche con riguardo al trattamento dei dati
personali, nonche' alla libera circolazione di tali dati e
che abroga la direttiva 95/46/CE (regolamento generale
sulla protezione dei dati), e' pubblicato nella GUUE L
119/1 del 4 maggio 2016.
- La legge 24 novembre 1981, n. 689, recante modifiche
al sistema penale e che contiene disposizioni in materia di
depenalizzazione, sanzioni amministrative e penali,
pecuniarie ed accessorie, e' pubblicata nella Gazzetta
Ufficiale n. 329 del 30 novembre 1981, S.O.
- Il decreto legislativo 23 gennaio 2002, n. 10,
recante attuazione della direttiva 1999/93/CE relativa ad
un quadro comunitario per le firme elettroniche, e'
pubblicato nella GU n. 39 del 15 febbraio 2002.
- Il decreto legislativo 30 giugno 2003, n. 196,
concernente il codice in materia di protezione dei dati
personali, recante disposizioni per l'adeguamento
dell'ordinamento nazionale al regolamento (UE) n. 2016/679
del Parlamento europeo e del Consiglio, del 27 aprile 2016,
relativo alla protezione delle persone fisiche con riguardo
al trattamento dei dati personali, nonche' alla libera
circolazione di tali dati e che abroga la direttiva
95/46/CE, e' pubblicato nella GU n. 174 del 29 luglio 2003,
S.O.
- Si riporta il testo dell'articolo 35, comma 5, del
decreto legislativo 7 marzo 2005, n. 82, recante Codice
dell'amministrazione digitale, pubblicato nella Gazzetta
Ufficiale n. 112 del 16 maggio 2005, S.O.:
«Art. 35 (Dispositivi sicuri e procedure per la
generazione della firma qualificata). - Omissis.
5. La conformita' dei requisiti di sicurezza dei
dispositivi per la creazione di una firma elettronica
qualificata o di un sigillo elettronico prescritti
dall'Allegato II del regolamento eIDAS e' accertata, in
Italia, dall'Organismo di certificazione della sicurezza
informatica in base allo schema nazionale per la
valutazione e certificazione di sicurezza nel settore della
tecnologia dell'informazione, fissato con decreto del
Presidente del Consiglio dei Ministri, o, per sua delega,
del Ministro per l'innovazione e le tecnologie, di concerto
con i Ministri delle comunicazioni, delle attivita'
produttive e dell'economia e delle finanze. L'attuazione
dello schema nazionale non deve determinare nuovi o
maggiori oneri per il bilancio dello Stato. Lo schema
nazionale puo' prevedere altresi' la valutazione e la
certificazione relativamente ad ulteriori criteri europei
ed internazionali, anche riguardanti altri sistemi e
prodotti afferenti al settore suddetto. La valutazione
della conformita' del sistema e degli strumenti di
autenticazione utilizzati dal titolare delle chiavi di
firma e' effettuata dall'Agenzia per l'Italia digitale in
conformita' ad apposite linee guida da questa emanate,
acquisito il parere obbligatorio dell'Organismo di
certificazione della sicurezza informatica.».
- Si riporta il testo dell'articolo 7, comma 1, lettera
e), del decreto-legge 14 giugno 2021, n. 82, convertito,
con modificazioni, dalla legge 4 agosto 2021, n. 109,
recante disposizioni urgenti in materia di cybersicurezza,
definizione dell'architettura nazionale di cybersicurezza e
istituzione dell'Agenzia per la cybersicurezza nazionale:
«Art. 7 (Funzioni dell'Agenzia per la cybersicurezza
nazionale). - 1. L'Agenzia:
Omissis.
e) e' Autorita' nazionale di certificazione della
cybersicurezza ai sensi dell'articolo 58 del regolamento
(UE) 2019/881 del Parlamento europeo e del Consiglio, del
17 aprile 2019, e assume tutte le funzioni in materia di
certificazione di sicurezza cibernetica gia' attribuite al
Ministero dello sviluppo economico dall'ordinamento
vigente, comprese quelle relative all'accertamento delle
violazioni e all'irrogazione delle sanzioni; nello
svolgimento dei compiti di cui alla presente lettera:
1) accredita, ai sensi dell'articolo 60,
paragrafo 1, del regolamento (UE) 2019/881 del Parlamento
europeo e del Consiglio, le strutture specializzate del
Ministero della difesa e del Ministero dell'interno quali
organismi di valutazione della conformita' per i sistemi di
rispettiva competenza;
2) delega, ai sensi dell'articolo 56, paragrafo
6, lettera b), del regolamento (UE) 2019/881 del Parlamento
europeo e del Consiglio, il Ministero della difesa e il
Ministero dell'interno, attraverso le rispettive strutture
accreditate di cui al numero 1) della presente legge, al
rilascio del certificato europeo di sicurezza cibernetica;
Omissis.».
- L'articolo 4 del decreto del Presidente del Consiglio
dei ministri del 30 ottobre 2003, pubblicato nella Gazzetta
Ufficiale n. 98 del 27 aprile 2004, recante approvazione
dello schema nazionale per la valutazione e la
certificazione della sicurezza nel settore della tecnologia
dell'informazione, reca:
«Art. 4 (Organismo di certificazione).».
- Si riporta il testo dei commi 376 e 377 dell'articolo
1 della legge del 24 dicembre 2007, n. 244, recante
«Disposizioni per la formazione del bilancio annuale e
pluriennale dello Stato (legge finanziaria 2008)»:
«Art. 1 (Disposizioni in materia di entrata, nonche'
disposizioni concernenti le seguenti Missioni: Organi
costituzionali, a rilevanza costituzionale e Presidenza del
Consiglio dei ministri; Relazioni finanziarie con le
autonomie territoriali). - Omissis.
376.
377. A far data dall'applicazione, ai sensi del comma
376, del decreto legislativo n. 300 del 1999 sono abrogate
le disposizioni non compatibili con la riduzione dei
Ministeri di cui al citato comma 376, ivi comprese quelle
di cui al decreto-legge 12 giugno 2001, n. 217, convertito,
con modificazioni, dalla legge 3 agosto 2001, n. 317, e
successive modificazioni, e al decreto-legge 18 maggio
2006, n. 181, convertito, con modificazioni, dalla legge 17
luglio 2006, n. 233, e successive modificazioni, fatte
comunque salve le disposizioni di cui all'articolo 1, commi
2, 2-bis, 2-ter, 2-quater, 2-quinquies, 10-bis, 10-ter, 12,
13-bis, 19, lettera a), 19-bis, 19-quater, 22, lettera a),
22-bis, 22-ter e 25-bis, del medesimo decreto-legge n. 181
del 2006, convertito, con modificazioni, dalla legge n. 233
del 2006, e successive modificazioni.
Omissis.».
- Il decreto del Presidente del Consiglio dei ministri
9 dicembre 2021, n. 223, in materia di organizzazione e
funzionamento dell'Agenzia per la cybersicurezza nazionale,
e' pubblicato nella Gazzetta Ufficiale n. 306 del 27
dicembre 2021, S.O.

Note all'art. 1:
- Per i riferimenti al regolamento (UE) 2019/881, si
rimanda nelle note alle premesse.
 
Art. 2

Trattamento dei dati personali

1. Il trattamento dei dati personali derivante dall'applicazione del presente decreto e' effettuato ai sensi del regolamento (UE) 2016/679 e del decreto legislativo 30 giugno 2003, n. 196.

Note all'art. 2:
- Per i riferimenti al regolamento (UE) 2016/679, si
rimanda nelle note alle premesse.
- Il decreto legislativo 30 giugno 2003, n. 196, codice
in materia di protezione dei dati personali, recante
disposizioni per l'adeguamento dell'ordinamento nazionale
al regolamento (UE) n. 2016/679 del Parlamento europeo e
del Consiglio, del 27 aprile 2016, relativo alla protezione
delle persone fisiche con riguardo al trattamento dei dati
personali, nonche' alla libera circolazione di tali dati e
che abroga la direttiva 95/46/CE, e' pubblicato nella
Gazzetta Ufficiale n.174 del 29 luglio 2003, S.O.
 
Art. 3

Definizioni

1. Ai fini del presente decreto, oltre alle definizioni contenute nel regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, si applicano le seguenti:
a) «TIC»: Tecnologia dell'Informazione e della Comunicazione;
b) «Regolamento»: Titolo III del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013;
c) «quadro europeo di certificazione»: il Regolamento ed i successivi sistemi europei di certificazione adottati a norma dell'articolo 49 del Regolamento;
d) «messa a disposizione sul mercato»: la fornitura di un prodotto TIC o di un servizio TIC per la distribuzione, il consumo o l'uso sul mercato dell'Unione Europea nel corso di un'attivita' commerciale, a titolo oneroso o gratuito;
e) «richiamo»: qualsiasi provvedimento volto ad ottenere la restituzione di un prodotto TIC che e' gia' stato reso disponibile all'utilizzatore finale;
f) «ritiro»: qualsiasi provvedimento volto ad impedire la messa a disposizione sul mercato di un prodotto TIC o servizio TIC nella catena della fornitura;
g) «vigilanza del mercato»: le attivita' svolte ed i provvedimenti adottati dall' Agenzia e dalle altre autorita' pubbliche competenti per garantire che i prodotti TIC, i servizi TIC ed i processi TIC ad essi collegati siano conformi ai requisiti stabiliti dal quadro europeo di certificazione e non pregiudichino la salute, la sicurezza o qualsiasi altro aspetto della protezione del pubblico interesse;
h) «Agenzia»: l'Agenzia per la cybersicurezza nazionale di cui all'articolo 5 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, designata dall'articolo 7, comma 1, lettera e), del medesimo decreto-legge, per l'Italia, quale autorita' nazionale di certificazione della cybersicurezza, di cui all'articolo 58, paragrafo 1, del Regolamento;
i) «standard» o «norma»: una specifica tecnica, adottata da un organismo di normazione riconosciuto ai sensi dell'articolo 2, paragrafo 1, numero 1), del regolamento (UE) n. 1025/2012;
l) «norma armonizzata»: una norma europea adottata sulla base di una richiesta della Commissione Europea ai fini dell'applicazione della legislazione dell'Unione sull'armonizzazione ai sensi dell'articolo 2, paragrafo 1, numero 1, lettera c), del regolamento (UE) n. 1025/2012;
m) «Organismo di accreditamento»: l'organismo autorizzato a svolgere l'attivita' di accreditamento nel territorio dello Stato, ai sensi dell'articolo 2, paragrafo 1, numero 11, del regolamento (CE) 765/2008, designato con decreto del Ministro dello sviluppo economico del 22 dicembre 2009 in attuazione dell'articolo 4, comma 2, della legge 23 luglio 2009, n. 99;
n) «autorizzazione»: provvedimento con il quale l'Agenzia accerta il possesso, a norma dell'articolo 54, paragrafo 1, lettera f), del Regolamento, di requisiti specifici o supplementari a cui sono soggetti gli organismi di valutazione della conformita' per poter operare nell'ambito di uno specifico sistema europeo di certificazione, in aggiunta a quanto gia' previsto nell'allegato del Regolamento;
o) «abilitazione»: provvedimento con il quale l'Agenzia accerta i requisiti necessari affinche' un esperto o un laboratorio di prova possa coadiuvare l'Agenzia nelle attivita' di vigilanza nazionale o di rilascio dei certificati di cybersicurezza;
p) «laboratorio di prova»: organismo di valutazione della conformita' che svolge verifiche documentali e/o prove in base alle norme armonizzate europee ed agli standard e specifiche tecniche nell'ambito del sistema europeo di certificazione in cui e' accreditato;
q) «organismo di certificazione»: organismo di valutazione della conformita' che emette certificati europei di cybersicurezza in base alle norme armonizzate europee ed agli standard di riferimento ai sensi dell'articolo 54, paragrafo 1, lettera c), del Regolamento per il sistema di certificazione in cui e' accreditato;
r) «elenco dei laboratori di prova e degli esperti per le attivita' di vigilanza nazionale»: registro aggiornato dei laboratori di prova e degli esperti abilitati dall'Agenzia ad effettuare attivita' di valutazione di sicurezza informatica nell'ambito dei compiti di vigilanza nazionale dell'Agenzia;
s) «elenco dei laboratori di prova e degli esperti per le attivita' di certificazione»: registro aggiornato dei laboratori di prova e degli esperti abilitati dall'Agenzia ad effettuare attivita' di valutazione di sicurezza informatica nell'ambito dei compiti di rilascio dei certificati di cybersicurezza dell'Agenzia;
t) «Organismo di Certificazione della Sicurezza Informatica» o «OCSI»: organismo di certificazione dell'Agenzia, accreditato ai sensi dell'articolo 60, paragrafo 2, del Regolamento, istituito ai sensi dell'articolo 4 del decreto del Presidente del Consiglio dei ministri del 30 ottobre 2003, pubblicato nella Gazzetta Ufficiale n. 98 del 27 aprile 2004;
u) «dichiarazione UE di conformita'»: attestazione di conformita' rilasciata da un fabbricante di prodotti TIC o fornitore di servizi TIC ai sensi dell'articolo 53, paragrafo 1, del regolamento UE 2019/881, a seguito del processo di autovalutazione di conformita' previsto dallo stesso articolo;
v) «emittenti delle dichiarazioni di conformita' UE»: i soggetti di cui all'articolo 53, paragrafo 1, del regolamento UE 2019/881;
z) «certificato europeo di cybersicurezza»: un documento rilasciato da un organismo di certificazione che attesta che un determinato prodotto TIC, servizio TIC o processo TIC e' stato oggetto di una valutazione di conformita' ai requisiti stabiliti da un sistema europeo di certificazione;
aa) «certificato europeo di cybersicurezza (o dichiarazione UE di conformita') non conforme»: certificato europeo di cybersicurezza (o dichiarazione UE di conformita') che non soddisfa uno o piu' requisiti di un sistema europeo di certificazione ai sensi dell'articolo 54, paragrafo 1, del Regolamento;
bb) «revoca di un certificato europeo di cybersicurezza»: annullamento di un certificato europeo di cybersicurezza prima della sua scadenza da parte dell'organismo di valutazione della conformita' emittente o da parte dell'Agenzia;
cc) «revoca di una dichiarazione UE di conformita'»: annullamento di una dichiarazione UE di conformita' prima della sua scadenza da parte del fabbricante o fornitore emittente;
dd) «livello di affidabilita' di base»: livello di affidabilita' che soddisfa i requisiti ed e' valutato con i criteri specificati al paragrafo 5 dell'articolo 52 del Regolamento;
ee) «livello di affidabilita' sostanziale»: livello di affidabilita' che soddisfa i requisiti ed e' valutato con i criteri specificati al paragrafo 6 dell'articolo 52 del Regolamento;
ff) «livello di affidabilita' elevato»: livello di affidabilita' che soddisfa i requisiti ed e' valutato con i criteri specificati al paragrafo 7 dell'articolo 52 del Regolamento;
gg) «ECCG»: Gruppo europeo di certificazione della cibersicurezza, ai sensi dell'articolo 62 del Regolamento;
hh) «ENISA»: l'Agenzia dell'Unione europea per la cibersicurezza di cui al Titolo II del regolamento (UE) 2019/881.

Note all'art. 3:
- Per i riferimenti al regolamento (UE) 2019/881, si
rimanda nelle note alle premesse.
- Per il testo dell'articolo 7, comma 1, lettera e),
del decreto-legge 14 giugno 2021, n. 82, convertito, con
modificazioni, dalla legge 4 agosto 2021, n. 109, si
rimanda nelle note alle premesse.
- Il regolamento (UE) n. 1025/2012, sulla normazione
europea, che modifica le direttive 89/686/CEE e 93/15/CEE
del Consiglio nonche' le direttive 94/9/CE, 94/25/CE,
95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE,
2009/23/CE e 2009/105/CE del Parlamento europeo e del
Consiglio e che abroga la decisione 87/95/CEE del Consiglio
e la decisione n. 1673/2006/CE del Parlamento europeo e del
Consiglio, e' pubblicato nella GUUE L 316/12 del 14
novembre 2012.
- Per i riferimenti al regolamento CE 765/2008, si
rimanda nelle note alle premesse.
- Il decreto del Ministero dello sviluppo economico 22
dicembre 2009, recante prescrizioni relative
all'organizzazione ed al funzionamento dell'unico organismo
nazionale italiano autorizzato a svolgere attivita' di
accreditamento in conformita' al regolamento (CE) n.
765/2008, e' pubblicato nella Gazzetta Ufficiale n. 19 del
25 gennaio 2010.
 
Art. 4
Designazione dell'autorita' nazionale di certificazione della
cybersicurezza, organizzazione e procedure per lo svolgimento dei
compiti in ambito nazionale di certificazione della cybersicurezza

1. L'Agenzia, ai sensi degli articoli 7, comma 1, lettera e), e 16, comma 12, lettera b), del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, e' l'autorita' nazionale di certificazione della cybersicurezza, nel rispetto di quanto previsto dall'articolo 58, paragrafo 1, del Regolamento.
2. Con provvedimento dell'Agenzia, adottato ai sensi dell'articolo 5, comma 3, del decreto del Presidente del Consiglio dei ministri 9 dicembre 2021, n. 223, sono definite l'organizzazione e le procedure per lo svolgimento dei compiti dell'Agenzia quale Autorita' nazionale di certificazione della cybersicurezza e sono definite le modalita' applicative delle attivita' di cui al presente Capo e all'articolo 11. Il predetto provvedimento dispone altresi' che le attivita' dell'Agenzia relative al rilascio di certificati europei di cybersicurezza di cui all'articolo 6, comma 1, siano rigorosamente separate dalle attivita' di vigilanza di cui all'articolo 5 e che tali attivita' siano svolte indipendentemente le une dalle altre, nell'ambito di due distinte Divisioni di cui all'articolo 4, comma 4, del decreto del Presidente del Consiglio dei ministri 9 dicembre 2021, n. 223. L'Agenzia partecipa alle attivita' internazionali dell'ECCG e del comitato ai sensi degli articoli 62 e 66 del Regolamento con proprio personale.
3. Per lo svolgimento dei compiti attribuiti all'Agenzia, inerenti la realizzazione e la gestione dei sistemi informativi, la formazione del personale tecnico ed amministrativo, la ricerca e l'innovazione, la realizzazione e l'aggiornamento di laboratori interni, l'abilitazione di laboratori di prova ed esperti, l'autorizzazione di organismi di valutazione della conformita', la vigilanza, l'accreditamento, il rinnovo e l'estensione dell'organismo di cui all'articolo 6, comma 1, le missioni nazionali ed internazionali e le spese generali, e' autorizzata la spesa di 657.500 euro per l'anno 2022, 592.500 euro per l'anno 2023 e 637.500 euro annui a decorrere dall'anno 2024. Agli oneri derivanti dal presente comma si provvede ai sensi dell'articolo 14, comma 1.

Note all'art. 4:
- Per il testo dell'articolo 7, comma 1, lettera e),
del decreto-legge 14 giugno 2021, n. 82, convertito, con
modificazioni, dalla legge 4 agosto 2021, n. 109, si
rimanda nelle note alle premesse.
- Si riporta il testo dell'articolo 16, comma 12,
lettera b), del decreto-legge 14 giugno 2021, n. 82
convertito, con modificazioni, dalla legge 4 agosto 2021,
n. 109:
«Art. 16 (Altre modificazioni). - Omissis.
12. Alla legge 22 aprile 2021, n. 53, sono apportate
le seguenti modificazioni:
a) all'articolo 4, comma 1, lettera b), dopo le
parole: "Ministero dello sviluppo economico" sono aggiunte
le seguenti: "e l'Agenzia per la cybersicurezza nazionale";
b) all'articolo 18, ogni riferimento al Ministero
dello sviluppo economico, ovunque ricorra, deve intendersi
riferito all'Agenzia per la cybersicurezza nazionale.
Omissis.».
- Si riporta il testo dell'articolo 5, comma 3, del
citato decreto del Presidente del Consiglio dei ministri 9
dicembre 2021, n. 223:
«Art. 5 (Direttore generale dell'Agenzia). - Omissis.
3. Il direttore generale, sentito il Vice direttore
generale:
a) adotta i provvedimenti necessari per il
funzionamento dell'Agenzia. A tal fine, ne definisce gli
indirizzi e ne coordina le attivita', adottando ogni
iniziativa idonea al miglior espletamento delle funzioni
dell'Agenzia;
b) adotta la pianificazione strategica
dell'Agenzia, individuando gli obiettivi da conseguire,
assegnandoli ai Capi dei Servizi;
c) dispone le nomine, le promozioni, le
assegnazioni, i trasferimenti e gli incarichi del
personale;
d) adotta i provvedimenti necessari per l'impiego
delle risorse strumentali. A tal fine, impartisce indirizzi
e direttive per il loro migliore impiego;
e) adotta il bilancio preventivo e il bilancio
consuntivo dell'Agenzia;
f) assicura, sulla base delle determinazioni del
Presidente del Consiglio dei ministri, l'attuazione degli
indirizzi del CIC e l'esecuzione delle deliberazioni
assunte dagli organismi che presiede.».
 
Art. 5

Vigilanza nazionale

1. L'Agenzia realizza l'attivita' di vigilanza del mercato in ambito nazionale ai fini della corretta applicazione delle regole previste dai sistemi europei di certificazione della cybersicurezza, con riferimento ai certificati di cybersicurezza ed alle dichiarazioni UE di conformita' emessi nel territorio dello Stato, ai sensi dell'articolo 58, paragrafo 7, lettere a) e b), del Regolamento, vigilando sui fornitori e fabbricanti emittenti le dichiarazioni UE di conformita', sui titolari di certificati europei di cybersicurezza e sugli organismi di valutazione della conformita', ai sensi dell'articolo 58, paragrafo 8, del Regolamento. L'Agenzia, inoltre, ai sensi dell'articolo 58, paragrafo 7, lettere c), d) ed e), del Regolamento:
a) fatto salvo l'articolo 60, paragrafo 3, del Regolamento nonche' quanto stabilito alla lettera b) del presente comma, assiste e sostiene attivamente l'Organismo di accreditamento nel monitoraggio e nella vigilanza delle attivita' degli organismi di valutazione della conformita' ai fini del Regolamento. Le modalita' di sostegno ed assistenza dell'Agenzia all'Organismo di accreditamento per l'attivita' di vigilanza sono disciplinate da apposita convenzione o protocollo di intesa fra i medesimi soggetti;
b) monitora e vigila sulle attivita' degli organismi di valutazione della conformita' pubblici di cui all'articolo 56, paragrafo 5, lettera b), del Regolamento;
c) ove previsto dal sistema di certificazione ai sensi dell'articolo 54, paragrafo 1, lettera f), del Regolamento, autorizza gli organismi di valutazione della conformita' a norma dell'articolo 60, paragrafo 3, del Regolamento, e limita, sospende o revoca l'autorizzazione esistente qualora violino le prescrizioni del Regolamento medesimo, dandone notizia all'Organismo di accreditamento.
2. L'Agenzia, nello svolgimento dell'attivita' di vigilanza di cui al comma 1, opera anche in collaborazione con altre autorita' di vigilanza del mercato competenti in Italia e con le autorita' di vigilanza degli altri Stati membri ai sensi dell'articolo 58, paragrafo 7, lettere a) ed h), del Regolamento. L'Agenzia esegue l'attivita' di vigilanza di cui al comma 1 anche in collaborazione con le Forze dell'ordine.
3. L'Agenzia, nell'attivita' di vigilanza di cui al comma 1, puo' effettuare, nei confronti degli organismi di valutazione della conformita', dei titolari dei certificati europei di cybersicurezza e degli emittenti le dichiarazioni di conformita' UE, indagini ed audit, ottenendo informazioni anche tramite l'accesso ai locali degli organismi di valutazione della conformita' o dei titolari dei certificati europei di cybersicurezza, revocare certificati ai sensi del comma 4, irrogare sanzioni pecuniarie ed accessorie ai sensi dell'articolo 10. L'attivita' di vigilanza dell'Agenzia puo' prevedere prelievi di prodotti.
4. Nel caso in cui l'Agenzia, in esito alle attivita' di vigilanza di cui al comma 1, accerti l'emissione di un certificato non conforme, rilasciato ai sensi dell'articolo 56, paragrafi 4, 5, lettera b), o 6, lettere a) e b), del Regolamento, il certificato e' sottoposto a revoca:
a) per il livello di affidabilita' elevato;
b) per il livello di affidabilita' di base o sostanziale nel caso in cui il certificato non conforme sia relativo ad un prodotto TIC, servizio TIC o processo TIC che ha comportato un concreto e dimostrato pregiudizio ad un servizio essenziale ai sensi dell'allegato II del decreto legislativo 18 maggio 2018, n. 65, o a un servizio di comunicazione elettronica ai sensi dell'articolo 2, comma 1, lettera fff), del decreto legislativo 1° agosto 2003, n. 259, o alla salute o all'incolumita' personale;
c) se previsto espressamente dallo specifico sistema europeo di certificazione.
5. Nella fattispecie di cui alla lettera a) del comma 4 l'Agenzia provvede direttamente alla revoca del certificato. Nella fattispecie di cui alla lettera b) del comma 4 l'Agenzia chiede all'organismo emittente il certificato di provvedere alla revoca del certificato entro e non oltre cinque giorni e, in caso di inottemperanza, provvede direttamente entro i successivi cinque giorni. Nella fattispecie di cui alla lettera c) del comma 4 si provvede in base alle regole stabilite dal sistema specifico di certificazione.
6. Accertata l'emissione di un certificato non conforme rilasciato ai sensi dell'articolo 56, paragrafi 4, 5, lettera b), o 6, lettere a) e b), del Regolamento, in esito alle attivita' di vigilanza di cui al comma 1, fatti salvi i casi di revoca di cui alle lettere a), b) o c) del comma 4, l'Agenzia chiede all'organismo che ha emesso il certificato di ripetere in tutto o in parte l'attivita' di valutazione o integrare l'attivita' di valutazione con ulteriori verifiche e ricondurre il certificato a conformita' entro centoventi giorni o revocare il certificato. In caso di mancata riconduzione a conformita' o mancata revoca del certificato non conforme da parte dell'organismo, il certificato decade. La riconduzione a conformita' o la revoca del certificato sono divulgate ai sensi dell'articolo 54, paragrafo 1, lettera s), del Regolamento.
7. L'Agenzia, per le prove tecniche nell'ambito delle attivita' di cui al comma 1, puo' effettuare valutazioni di sicurezza informatica anche attraverso esperti esterni o laboratori di prova abilitati dall'Agenzia, ai sensi dell'articolo 8, comma 4, e iscritti nell'elenco dei laboratori di prova e degli esperti per le attivita' di vigilanza nazionale.
8. E' fatto obbligo agli organismi di valutazione della conformita', ai titolari dei certificati europei di cybersicurezza ed agli emittenti delle dichiarazioni di conformita' durante l'attivita' di vigilanza a cui sono sottoposti di cooperare con l'Agenzia nell'attivita' di verifica sui certificati e sulle dichiarazioni UE da essi emessi. Gli stessi mettono a disposizione, su richiesta dell'Agenzia, tutti i documenti di valutazione necessari per dimostrare la conformita' dei certificati e le dichiarazioni oggetto di verifica da parte dell'Agenzia assieme agli strumenti di valutazione eventualmente forniti dal fabbricante o dal fornitore nell'attivita' di valutazione come indicato nei rapporti di valutazione. L'onere della prova della conformita' di certificati e dichiarazioni e' in capo agli organismi di valutazione della conformita', ai titolari dei certificati o agli emittenti delle dichiarazioni di conformita'.
9. Ai sensi dell'articolo 30, commi 4 e 5, della legge 24 dicembre 2012, n. 234, gli oneri derivanti dall'applicazione dei commi 3, 8 e 9 per i controlli effettuati dall'Agenzia e relativi in particolare all'impiego del personale in forza all'Agenzia, della strumentazione utilizzata nelle prove e dei materiali di consumo e per le missioni e spese generali, sono a carico dell'organismo di valutazione della conformita', del titolare del certificato o dell'emittente della dichiarazione UE di conformita' sottoposto all'attivita' di vigilanza. Nel caso in cui l'attivita' di vigilanza includa ulteriori spese, tra cui l'utilizzo di laboratori di prova esterni ed eventuali spese di trasporto per prodotti prelevati o sequestrati da sottoporre a verifica, le ulteriori spese sono ugualmente a carico del soggetto sottoposto all'attivita' di vigilanza. Le somme di cui al presente comma sono determinate e sono da corrispondere ai sensi dell'articolo 13.

Note all'art. 5:
- Il decreto legislativo 18 maggio 2018, n. 65, recante
attuazione della direttiva (UE) 2016/1148 del Parlamento
europeo e del Consiglio, del 6 luglio 2016, recante misure
per un livello comune elevato di sicurezza delle reti e dei
sistemi informativi nell'Unione, e' pubblicato nella GU
n.132 del 9 giugno 2018.
- Si riporta il testo dell'articolo 2, comma 1, lettera
fff), del decreto legislativo 1° agosto 2003, n. 259,
recante codice delle comunicazioni elettroniche:
«Art. 2 (Definizioni). - Omissis.
fff) servizio di comunicazione elettronica: i
servizi, forniti di norma a pagamento su reti di
comunicazioni elettroniche, che comprendono, con
l'eccezione dei servizi che forniscono contenuti trasmessi
utilizzando reti e servizi di comunicazione elettronica o
che esercitano un controllo editoriale su tali contenuti, i
tipi di servizi seguenti:
1) servizio di accesso a internet quale definito
all'articolo 2, secondo comma, punto 2), del regolamento
(UE) 2015/2120;
2) servizio di comunicazione interpersonale;
3) servizi consistenti esclusivamente o
prevalentemente nella trasmissione di segnali come i
servizi di trasmissione utilizzati per la fornitura di
servizi da macchina a macchina e per la diffusione
circolare radiotelevisiva;
Omissis.».
- Si riporta il testo dell'articolo 30, commi 4 e 5,
della citata legge 24 dicembre 2012, n. 234:
«Art. 30 (Contenuti della legge di delegazione
europea e della legge europea). - Omissis.
4. Gli oneri relativi a prestazioni e a controlli da
eseguire da parte di uffici pubblici, ai fini
dell'attuazione delle disposizioni dell'Unione europea di
cui alla legge di delegazione europea per l'anno di
riferimento e alla legge europea per l'anno di riferimento,
sono posti a carico dei soggetti interessati, ove cio' non
risulti in contrasto con la disciplina dell'Unione europea,
secondo tariffe determinate sulla base del costo effettivo
del servizio reso. Le tariffe di cui al primo periodo sono
predeterminate e pubbliche.
5. Le entrate derivanti dalle tariffe determinate ai
sensi del comma 4 sono attribuite, nei limiti previsti
dalla legislazione vigente, alle amministrazioni che
effettuano le prestazioni e i controlli, mediante
riassegnazione ai sensi del regolamento di cui al decreto
del Presidente della Repubblica 10 novembre 1999, n. 469.
Omissis.».
 
Art. 6

Rilascio dei certificati di cybersicurezza

1. L'Agenzia rilascia i certificati di cybersicurezza con livello di affidabilita' elevato tramite l'Organismo di Certificazione della Sicurezza Informatica (OCSI), di cui all'articolo 60, paragrafo 2, del Regolamento, che si puo' avvalere di esperti o di laboratori di prova, ai sensi dell'articolo 8, comma 4, abilitati dall'Agenzia ad operare per proprio conto e iscritti nell'elenco dei laboratori di prova e degli esperti per le attivita' di vigilanza nazionale, ferme restando, per specifici sistemi di certificazione, le possibili modalita' di emissione dei certificati alternative ai sensi degli articoli 56, paragrafo 6, lettere a) e b), del Regolamento.
2. Ove uno specifico sistema di certificazione preveda il rilascio dei certificati con livello di affidabilita' sostanziale o di base unicamente da parte di un organismo pubblico, ai sensi dell'articolo 56, paragrafo 5, del Regolamento, l'Agenzia rilascia tali certificati attraverso l'organismo di cui al comma 1. Il rilascio puo' avvenire ad opera di altro organismo di valutazione della conformita' pubblico, accreditato dall'Organismo di Accreditamento, monitorato e vigilato dall'Agenzia, ai sensi dell'articolo 58, paragrafo 7, lettera d), del Regolamento, e designato dall'Agenzia ai sensi del provvedimento di cui all'articolo 4, comma 2, salvo diverse disposizioni dello specifico sistema europeo di certificazione.
3. La certificazione della cybersicurezza e' volontaria, salvo diversamente specificato dal diritto dell'Unione o dal diritto nazionale, ai sensi dell'articolo 56, paragrafo 2, del Regolamento. In mancanza di un diritto dell'Unione armonizzato, l'Agenzia puo' adottare, previa consultazione con i portatori di interesse, regolamentazioni tecniche nazionali in cui sia prevista una certificazione obbligatoria nel quadro di un sistema europeo di certificazione della cybersicurezza ai sensi del decreto legislativo del 15 dicembre 2017, n. 223.
4. Ai sensi dell'articolo 30, commi 4 e 5, della legge 24 dicembre 2012, n. 234, gli oneri derivanti dall'applicazione dei commi 1 e 2 del presente articolo per il rilascio dei certificati da parte dell'Agenzia sono a carico del soggetto richiedente la certificazione. Le somme di cui al presente comma sono determinate e sono da corrispondere ai sensi dell'articolo 13.

Note all'art. 6:
- Il decreto legislativo del 15 dicembre 2017, n. 223,
recante adeguamento della normativa nazionale alle
disposizioni del regolamento (UE) n. 1025/2012 del
Parlamento europeo e del Consiglio, del 25 ottobre 2012,
sulla normazione europea e della direttiva (UE) 2015/1535
del Parlamento europeo e del Consiglio, del 9 settembre
2015, che prevede una procedura d'informazione nel settore
delle regolamentazioni tecniche e delle regole relative ai
servizi della societa' dell'informazione, e' pubblicato
nella Gazzetta Ufficiale n. 14 del 18 gennaio 2018.
- Per il testo dell'articolo 30, commi 4 e 5, della
legge 24 dicembre 2012, n. 234, si rimanda nelle note
all'articolo 5.
 
Art. 7

Dichiarazioni UE di conformita'

1. In un sistema di certificazione in cui e' autorizzata l'autovalutazione di conformita' ai sensi dell'articolo 54, paragrafo 1, lettera e), del Regolamento, i fornitori o fabbricanti di prodotti TIC, servizi TIC o processi TIC possono rilasciare sotto la propria responsabilita' dichiarazioni UE di conformita' di livello di base per dimostrare il rispetto di requisiti tecnici previsti nel sistema.
2. Il fabbricante o fornitore di prodotti TIC, servizi TIC o processi TIC rende disponibile all'Agenzia, per il periodo stabilito nel corrispondente sistema europeo di certificazione della cybersicurezza ai sensi dell'articolo 54, paragrafo 1, lettera q), del Regolamento, la dichiarazione UE di conformita', la documentazione tecnica e tutte le altre informazioni pertinenti relative alla conformita' dei prodotti TIC o servizi TIC al sistema. Una copia della dichiarazione UE di conformita' e' trasmessa all'Agenzia e all'ENISA.
3. Ove l'Agenzia accerti la non conformita' di una dichiarazione UE di conformita' in esito alle attivita' di vigilanza di cui all'articolo 5, comma 1, e' fatto obbligo al fabbricante o fornitore emittente di revisionare o revocare la dichiarazione UE di conformita' entro trenta giorni dandone comunicazione all'Agenzia e all'ENISA, salvo diversa disposizione dello specifico sistema di certificazione.
4. Il rilascio di una dichiarazione UE di conformita' e' volontario, salvo diversamente specificato nel diritto dell'Unione o dal diritto nazionale, ai sensi dell'articolo 53, paragrafo 4 del Regolamento. In mancanza di un diritto dell'Unione armonizzato, l'Agenzia puo' stabilire l'obbligatorieta' della dichiarazione UE di conformita' nelle fattispecie di cui all'articolo 6, comma 3.
 
Art. 8
Accreditamento ed autorizzazione degli organismi di valutazione della
conformita' ed abilitazione dei laboratori di prova ed esperti
dell'Agenzia

1. L'Organismo di accreditamento, nello svolgimento dei compiti di cui ai paragrafi 1, 2 e 4 dell'articolo 60 del Regolamento, ed in conformita' con le disposizioni dello specifico sistema di certificazione, comunica all'Agenzia ed all'ufficio unico di collegamento designato per l'Italia ai sensi dell'articolo 10, comma 3, del regolamento (UE) 2019/1020 del Parlamento europeo e del Consiglio, del 20 giugno 2019, sulla vigilanza del mercato e sulla conformita' dei prodotti e che modifica la direttiva 2004/42/CE e i regolamenti (CE) n. 765/2008 e (UE) n. 305/2011, ogni aggiornamento in merito agli organismi di valutazione della conformita' accreditati quanto a nuovi rilasci, revoche, sospensioni e limitazioni dei certificati di accreditamento per la successiva notifica da parte dell'Agenzia alla Commissione europea ai sensi dell'articolo 61 del Regolamento.
2. L'Agenzia partecipa con propri rappresentanti alle deliberazioni dell'Organismo di accreditamento in ordine alle attivita' di cui al comma 1.
3. Qualora un sistema europeo di certificazione stabilisca requisiti specifici o supplementari a norma dell'articolo 54, paragrafo 1, lettera f), del Regolamento, solo gli organismi di valutazione della conformita' che soddisfano detti requisiti sono autorizzati dall'Agenzia a svolgere i compiti previsti da tale sistema.
4. In relazione alle attivita' di vigilanza nazionale e di rilascio dei certificati, l'Agenzia, con provvedimento adottato secondo la procedura di cui all'articolo 5, comma 3, alinea, del decreto del Presidente del Consiglio dei ministri 9 dicembre 2021, n. 223, costituisce, aggiorna e rende pubblici due elenchi di esperti e di laboratori di prova da essa abilitati ad operare rispettivamente ai sensi dell'articolo 5, comma 7, ed ai sensi dell'articolo 6, comma 1, a supporto delle attivita' di vigilanza e rilascio dei certificati in capo all'Agenzia. Gli esperti e i laboratori di prova inseriti nell'elenco dei soggetti abilitati di cui all'articolo 5, comma 7, non possono effettuare attivita' di valutazione per l'emissione di certificati con livello di affidabilita' sostanziale o di base in ambito nazionale ai sensi dell'articolo 56, paragrafo 4, o paragrafo 5, lettera b), del Regolamento, ne' possono essere accreditati come organismi di valutazione della conformita' per il rilascio di tali certificati. Con la medesima procedura di cui al primo periodo, sono individuate le modalita' per l'abilitazione e l'eventuale rinnovo, l'inserimento, la sospensione e la cancellazione di esperti e laboratori di prova dai suddetti elenchi.
5. Ai sensi dell'articolo 30, commi 4 e 5, della legge 24 dicembre 2012, n. 234, gli oneri derivanti dall'abilitazione di cui al comma 4, le spese per le eventuali attivita' di autorizzazione di cui al comma 3, e gli eventuali successivi aggiornamenti sono a carico dell'esperto o dell'organismo di valutazione della conformita' richiedente l'abilitazione o l'autorizzazione. Le somme di cui al presente comma sono determinate e sono da corrispondere ai sensi dell'articolo 13.

Note all'art. 8:
- Il regolamento (UE) 2019/1020 del Parlamento europeo
e del Consiglio del 20 giugno 2019 sulla vigilanza del
mercato e sulla conformita' dei prodotti e che modifica la
direttiva 2004/42/CE e i regolamenti (CE) n. 765/2008 e
(UE) n. 305/2011, e' pubblicato nella GUUE L 169/1 del 25
giugno 2019.
- Per il testo dell'articolo 5, comma 3, del decreto
del Presidente del Consiglio dei ministri 9 dicembre 2021,
n. 223, si rimanda nelle note all'articolo 4.
- Per il testo dell'articolo 30, commi 4 e 5, della
legge 24 dicembre 2012, n. 234, si rimanda nelle note
all'articolo 5.
 
Art. 9
Attivita' di ricerca, formazione e sperimentazione nazionale
nell'ambito della certificazione della cybersicurezza

1. Allo scopo di elevare il livello nazionale di cybersicurezza, l'Agenzia puo' realizzare progetti di ricerca, ivi inclusi quelli per lo sviluppo di software, e di formazione, anche in collaborazione con universita', centri di ricerca o laboratori specializzati nel campo della valutazione della sicurezza informatica, anche nel contesto di attivita' di supporto alla standardizzazione a livello nazionale, europeo ed internazionale.
2. L'Agenzia monitora gli sviluppi nel campo della certificazione della cybersicurezza, anche consultando i portatori di interesse nazionale del settore e scambiando informazioni, esperienze e buone pratiche con la Commissione europea e le altre autorita' nazionali della cybersicurezza.
3. Conformemente all'articolo 57 del Regolamento ed in assenza di un sistema europeo di certificazione, l'Agenzia puo' introdurre sistemi di certificazione nazionali della cybersicurezza, per prodotti TIC, servizi TIC o processi TIC.
 
Art. 10

Quadro sanzionatorio

1. L'Agenzia, anche ai sensi dell'articolo 7, comma 1, lettera e), del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, in caso di violazione degli obblighi del quadro europeo di certificazione della cybersicurezza, ai sensi degli articoli 58, paragrafo 8, lettera f), e 65 del Regolamento irroga sanzioni pecuniarie ed accessorie, chiedendo la cessazione immediata della violazione. Si applica, in quanto compatibile, la disciplina della legge 24 novembre 1981, n. 689.
2. Salvo che il fatto costituisca reato, l'organismo di valutazione della conformita' che emette un certificato di cybersicurezza non conforme e' punito con la sanzione del pagamento di una somma da 15.000 euro a 75.000 euro. In caso di omessa revoca di un certificato da parte dell'organismo su richiesta dell'Agenzia ai sensi dell'articolo 5, comma 5, si applica la sanzione del pagamento di una somma da 30.000 euro a 150.000 euro.
3. Salvo che il fatto costituisca reato, il fabbricante o fornitore che emette una dichiarazione UE di conformita' volontaria non conforme e' punito con la sanzione del pagamento di una somma da 15.000 euro a 75.000 euro. In caso di omessa revisione o revoca di dichiarazione UE di conformita' volontaria o obbligatoria ai sensi dell'articolo 7, comma 3, si applica la sanzione del pagamento di una somma da 30.000 euro a 150.000 euro.
4. Salvo che il fatto costituisca reato, in caso di obbligatorieta' di una dichiarazione UE di conformita', ai sensi dell'articolo 7, comma 4, o di un certificato di cybersicurezza, ai sensi dell'articolo 6, comma 3, il fabbricante o fornitore che mette a disposizione sul mercato un prodotto TIC o servizio TIC privo di dichiarazione UE di conformita' obbligatoria o con dichiarazione UE di conformita' obbligatoria non conforme o in assenza del certificato di cybersicurezza obbligatorio, e' punito con la sanzione del pagamento di una somma da 30.000 euro a 150.000 euro. Alla medesima sanzione e' assoggettato il fabbricante o fornitore che per la messa a disposizione sul mercato di un prodotto TIC o di un servizio TIC si avvale di un processo TIC privo di dichiarazione UE di conformita' obbligatoria o con dichiarazione UE di conformita' obbligatoria non conforme o in assenza di certificato di cybersicurezza obbligatorio.
5. Nei casi di cui al comma 4 oppure ove, in esito ad un accertamento di non conformita' ai sensi dei commi 4, 5 o 6 dell'articolo 5, sia revocato o decada un certificato obbligatorio per la messa a disposizione sul mercato di un prodotto TIC o di un servizio TIC, l'Agenzia dispone il ritiro del prodotto o l'inibizione del servizio dal mercato a carico esclusivo del fabbricante o del fornitore indicando i tempi ed eventuali modalita' per il richiamo dei prodotti gia' immessi sul mercato o per l'inibizione del servizio;
6. Salvo che il fatto costituisca reato, il fabbricante che non ottempera a quanto prescritto al comma 5 per il richiamo di prodotti gia' immessi sul mercato e' assoggettato alla sanzione del pagamento di una somma da 60.000 euro a 300.000 euro. Nel caso in cui il fabbricante non ottemperi al richiamo di prodotti dal mercato, l'Agenzia, trascorsi sei mesi dalla scadenza fissata, puo' provvedere, al sequestro dei prodotti in questione dal mercato, a spese del fabbricante.
7. Salvo che il fatto costituisca reato, il fornitore che non ottempera a quanto prescritto al comma 5 per l'inibizione del servizio dal mercato e' assoggettato alla sanzione amministrativa da 60.000 euro a 300.000 euro.
8. Salvo che il fatto costituisca reato, Il titolare di un certificato europeo di cybersicurezza che non notifichi, ai sensi dell'articolo 56, paragrafo 8, del Regolamento, eventuali vulnerabilita' o irregolarita' rilevate in relazione alla sicurezza dei prodotti TIC, servizi TIC o processi TIC certificati e' punito con la sanzione del pagamento di una somma da 60.000 euro a 300.000 euro. Alla medesima sanzione e' assoggettato l'organismo di valutazione della conformita' emittente un certificato di cybersicurezza o il suo titolare ovvero il fornitore o fabbricante emittente una dichiarazione UE di conformita', che dovesse rilevare o venire a conoscenza della presenza di vulnerabilita' nel prodotto TIC, servizio TIC o processo TIC certificato o dichiarato conforme, che non siano state riscontrate durante il processo di valutazione, e non ottemperi agli obblighi riguardanti il modo in cui segnalare e trattare le vulnerabilita' previste per lo specifico sistema di certificazione ai sensi dell'articolo 54, paragrafo 1, lettera m), del Regolamento.
9. Salvo che il fatto costituisca reato, il fabbricante o fornitore che non renda disponibile, per il periodo stabilito ai sensi dell'articolo 54, paragrafo 1, lettera q), del Regolamento, la dichiarazione UE di conformita' o la documentazione tecnica o tutte le altre informazioni pertinenti o non trasmetta una copia della dichiarazione UE di conformita' all'Agenzia o ad ENISA ai sensi dell'articolo 53, paragrafo 3, del Regolamento ovvero non renda disponibili pubblicamente una o piu' delle informazioni previste ai sensi dell'articolo 55 del Regolamento o non rispetti il formato o le procedure di aggiornamento delle stesse informazioni ai sensi dell'articolo 54, paragrafo 1, lettera v), del Regolamento o pubblichi informazioni non corrette sui certificati detenuti o sulle dichiarazioni UE di conformita' emesse, e' assoggettato alla sanzione del pagamento di una somma da 30.000 euro a 150.000 euro. Alla medesima sanzione e' assoggettato il fornitore o fabbricante che non comunichi la revisione o la revoca di una dichiarazione UE di conformita' ai sensi dell'articolo 7, comma 3, del presente decreto.
10. Salvo che il fatto costituisca reato, l'organismo di valutazione della conformita' che non ottempera agli obblighi di divulgazione dei certificati europei di cybersicurezza rilasciati, modificati o revocati come previsto nell'ambito dello specifico sistema di certificazione, ai sensi dell'articolo 54, paragrafo 1, lettera s), del Regolamento, nonche' secondo le modalita' di cui all'articolo 5, comma 6, e' assoggettato alla sanzione del pagamento di una somma da 30.000 euro a 150.000 euro. Alla medesima sanzione e' assoggettato l'organismo di valutazione della conformita' autorizzato dall'Agenzia ai sensi dell'articolo 60, paragrafo 3, del Regolamento, che non specifichi nella procedura per i reclami definita ai sensi dell'articolo 11, comma 2, l'inoltro degli stessi per conoscenza anche all'Agenzia.
11. Salvo che il fatto costituisca reato, nel caso di accertamento di esercizio di organismo di valutazione della conformita' senza autorizzazione di cui all'articolo 60, paragrafo 3, del Regolamento si applica la sanzione del pagamento di una somma da 120.000 euro a 600.000 euro e al soggetto non possono essere rilasciate ulteriori autorizzazioni nei successivi tre anni dall'accertamento della violazione. Se l'autorizzazione e' scaduta da meno di un anno la sanzione e' compresa tra 30.000 euro e 150.000 euro ed il soggetto puo' richiedere il rilascio di nuova autorizzazione.
12. Salvo che i fatti costituiscano reato, il richiedente di una certificazione che nell'ambito dello svolgimento dell'attivita' di valutazione e di rilascio dei certificati, scientemente, fornisce dati, informazioni o documentazione falsi o ometta informazioni necessarie per espletare la certificazione, in violazione dell'articolo 54, paragrafo 1, lettera h), e dell'articolo 56, paragrafo 7, del Regolamento, e' assoggettato alla sanzione del pagamento di una somma da 90.000 euro a 450.000 euro. Alla medesima sanzione e' assoggettato il soggetto che, scientemente, durante le verifiche di vigilanza, a cui e' sottoposto, ai sensi dell'articolo 5, comma 8, fornisce dati, informazioni o documentazione falsi.
13. Salvo che il fatto costituisca reato, il fabbricante che viola le condizioni di utilizzo degli eventuali marchi o etichette previste da un sistema europeo di certificazione, ai sensi dell'articolo 54, paragrafo 1, lettera i), del Regolamento, e' assoggettato alla sanzione del pagamento di una somma da 30.000 euro a 150.000 euro.
14. Salvo che il fatto costituisca reato, l'organismo di valutazione della conformita' che non ottempera agli eventuali obblighi riguardanti la conservazione dei registri di cui all'articolo 54, paragrafo 1, lettera n), del Regolamento, e' assoggettato alla sanzione del pagamento di una somma da 45.000 euro a 225.000 euro.
15. L'Agenzia puo' impartire ordini o intimare diffide ai soggetti che operano in contrasto con quanto previsto dal quadro europeo di certificazione. Ai soggetti che non ottemperano nel termine indicato nell'ordine o nella diffida l'Agenzia commina la sanzione del pagamento di una somma da 200.000 euro ad 1.000.000 di euro. Se le violazioni riguardano provvedimenti adottati dall'Agenzia nei confronti di soggetti con fatturato pari almeno a 200.000.000 euro, si applica a ciascun soggetto interessato una sanzione amministrativa pecuniaria non inferiore allo 0,3 per cento e non superiore all'1,5 per cento del fatturato, restando comunque fermo il limite massimo di 5.000.000 di euro. Come riferimento per il fatturato si assume il valore realizzato dallo stesso soggetto nell'esercizio precedente a quello in cui sia stato impartito l'ordine o sia stata intimata la diffida.
16. Fermo restando il limite massimo di 5.000.000 di euro per la sanzione, i valori minimi e massimi delle sanzioni pecuniarie dal comma 2 al comma 15, sono triplicati, se la violazione ha riguardato un certificato relativo ad un prodotto TIC, ad un servizio TIC o ad un processo TIC rilasciato nell'ambito di un sistema di certificazione destinato, ai sensi dell'articolo 54, paragrafo 1, lettere a) o b), del Regolamento, all'utilizzo con le finalita' o nell'ambito di un servizio essenziale ai sensi dell'allegato II del decreto legislativo 18 maggio 2018, n. 65, o di un servizio di comunicazione elettronica ai sensi dell'articolo 2, comma 1, lettera fff), del decreto legislativo 1° agosto 2003, n. 259.
17. I criteri di graduazione nell'irrogazione delle sanzioni pecuniarie sono definiti con successivo provvedimento dell'Agenzia, adottato secondo la procedura di cui all'articolo 5, comma 3, alinea, del decreto del Presidente del Consiglio dei ministri 9 dicembre 2021, n. 223. Nelle more dell'adozione del provvedimento di definizione dei criteri di graduazione si applicano i criteri di cui all'articolo 11 della legge 24 novembre 1981, n. 689.
18. Fermo restando il limite massimo di 5.000.000 di euro per la sanzione, le sanzioni amministrative pecuniarie previste ai commi dal 2 al 14 sono rivalutate ogni cinque anni con provvedimento dell'Agenzia, adottato secondo la procedura di cui all'articolo 5, comma 3, alinea, del regolamento adottato con decreto del Presidente del Consiglio dei ministri 9 dicembre 2021, n. 223, in misura pari all'indice ISTAT dei prezzi al consumo previo arrotondamento all'unita' di euro secondo il seguente criterio: se la parte decimale e' inferiore a 50 centesimi l'arrotondamento va effettuato per difetto, se e' uguale o superiore a 50 centesimi l'arrotondamento va effettuato per eccesso. L'importo della sanzione pecuniaria rivalutato secondo i predetti criteri si applica esclusivamente per le violazioni commesse successivamente alla data di entrata in vigore del provvedimento che lo prevede.
19. L'autorizzazione di un organismo di valutazione della conformita' ad operare nel sistema europeo di certificazione ai sensi dell'articolo 60, paragrafo 3, del Regolamento, ove prevista, e' sospesa per 6 mesi o revocata nel caso di piu' di due violazioni del quadro europeo di certificazione rispettivamente in un quinquennio o in un biennio. In caso di revoca dell'autorizzazione, il trasgressore non puo' ottenere nuova autorizzazione nei successivi cinque anni dal provvedimento di revoca.
20. L'Agenzia notifica alla Commissione europea il quadro sanzionatorio di cui al presente articolo entro sessanta giorni dalla data di entrata in vigore del presente decreto e provvede poi a dare notifica delle eventuali modifiche entro sessanta giorni successivi alle stesse.

Note all'art. 10:
- Per il testo dell'articolo 7, comma 1, lettera e),
del decreto-legge 14 giugno 2021, n. 82, si rimanda nelle
note alle premesse.
- Per i riferimenti alla legge 24 novembre 1981, n.
689, si rimanda nelle note alle premesse.
- Per i riferimenti al decreto legislativo 18 maggio
2018, n. 65, si rimanda nelle note all'articolo 5.
- Per il testo dell'articolo 2, comma 1, lettera fff),
del decreto legislativo 1° agosto 2003, n. 259, si rimanda
nelle note all'articolo 5.
- Per il testo dell'articolo 5, comma 3, del decreto
del Presidente del Consiglio dei ministri 9 dicembre 2021,
n. 223, si rimanda nelle note all'articolo 4.
- Si riporta il testo dell'articolo 11 della citata
legge 24 novembre 1981, n. 689:
«Art. 11 (Criteri per l'applicazione delle sanzioni
amministrative pecuniarie). - Nella determinazione della
sanzione amministrativa pecuniaria fissata dalla legge tra
un limite minimo ed un limite massimo e nell'applicazione
delle sanzioni accessorie facoltative, si ha riguardo alla
gravita' della violazione, all'opera svolta dall'agente per
la eliminazione o attenuazione delle conseguenze della
violazione, nonche' alla personalita' dello stesso e alle
sue condizioni economiche.».
- Per il testo all'articolo 5, comma 3, del decreto del
Presidente del Consiglio dei ministri 9 dicembre 2021, n.
223, si rimanda nelle note all'articolo 4.
 
Art. 11
Reclami sui certificati di cybersicurezza e sulle dichiarazioni UE di
conformita'

1. Le persone fisiche e giuridiche hanno il diritto di presentare un reclamo all'emittente di un certificato europeo di cybersicurezza o all'Agenzia se il reclamo riguarda un certificato europeo di cybersicurezza rilasciato dall'organismo di certificazione dell'Agenzia o da suo organismo di valutazione della conformita' che agisce in conformita' all'articolo 56, paragrafo 6, del Regolamento. L'Agenzia, ai sensi dell'articolo 58, paragrafo 7, lettera f), del Regolamento, tratta inoltre i reclami degli stessi in relazione alle dichiarazioni UE di conformita' di cui all'articolo 7.
2. Avverso le decisioni degli organismi di valutazione della conformita' diversi dall'organismo di certificazione ai sensi dell'articolo 6, comma 1, puo' essere proposta procedura di reclamo a tal fine indicata dagli stessi organismi. Nel caso di autorizzazione ai sensi dell'articolo 60, paragrafo 3, del Regolamento, la procedura di reclamo indicata dall'organismo prevede l'inoltro del reclamo da parte del reclamante oltreche' all'organismo anche per conoscenza all'Agenzia.
3. Avverso le decisioni dell'Agenzia riguardanti le certificazioni oppure le dichiarazioni UE di conformita' rilasciate ai sensi dell'articolo 53 del Regolamento puo' essere proposta procedura di reclamo. Il reclamante formula istanza all'Agenzia, identificando il certificato di cybersicurezza o la dichiarazione UE di conformita' oggetto del reclamo, le ragioni del reclamo e le azioni correttive che ritiene necessarie.
4. L'Agenzia, a seguito di un reclamo ai sensi del comma 3, informa il reclamante dello stato del procedimento e della decisione adottata e informa il reclamante del diritto a un ricorso giurisdizionale effettivo. L'Agenzia risponde ai reclami entro novanta giorni dal ricevimento dell'istanza. In caso di mancata risposta ad un reclamo inoltrato all'Agenzia entro i termini previsti, lo stesso e' da intendersi rigettato.
 
Art. 12

Ricorso all'autorita' giudiziaria

1. Fatti salvi eventuali ricorsi amministrativi o altri ricorsi extragiudiziali, le persone fisiche e giuridiche possono proporre impugnazione avverso:
a) le decisioni assunte dall'Agenzia o dagli organismi di valutazione della conformita', anche, se del caso, in relazione al rilascio improprio, al mancato rilascio o al riconoscimento di un certificato europeo di cybersicurezza detenuto da tali persone fisiche e giuridiche;
b) il mancato o parziale accoglimento di un reclamo presentato all'Agenzia o agli organismi di valutazione della conformita'.
2. A norma del presente articolo, i ricorsi contro le decisioni dell'Agenzia sono presentati dinanzi al tribunale amministrativo regionale del Lazio e quelli contro le decisioni degli altri organismi di valutazione della conformita' al tribunale amministrativo del luogo ove e' ubicata la sede di tali organismi.
 
Art. 13

Destinazione dei proventi derivanti dalle attivita' dell'Agenzia

1. Le attivita' di vigilanza di cui all'articolo 5, comma 1, di certificazione di cui all'articolo 6, comma 1, di autorizzazione di cui all'articolo 8, comma 3, di abilitazione di cui all'articolo 8, comma 4, sono sottoposte a tariffa, da calcolarsi sulla base dei costi effettivi dei servizi resi. I relativi proventi sono versati ad apposito capitolo dell'entrata del bilancio dello Stato per essere successivamente riassegnati, con decreto del Ministro dell'economia e delle finanze sul pertinente capitolo dello stato di previsione della spesa del Ministero dell'economia e delle finanze, per incrementare la dotazione degli appositi capitoli dell'Agenzia. Con decreto del Presidente del Consiglio dei ministri, di concerto con il Ministro dell'economia e delle finanze, su proposta del Direttore generale dell'Agenzia, sono determinate le tariffe e modalita' di riscossione.
2. Le spese per l'impiego di esperti o laboratori abilitati dall'Agenzia per le attivita' di vigilanza di cui all'articolo 5, comma 1, sono calcolate ai sensi del decreto di cui al comma 1.
3. Gli introiti derivanti dalle sanzioni pecuniarie di cui all'articolo 10 sono versati ad apposito capitolo dell'entrata del bilancio dello Stato per essere successivamente riassegnati con decreto del Ministro dell'economia e delle finanze sul pertinente capitolo dello stato di previsione della spesa del Ministero dell'economia e delle finanze, per incrementare la dotazione dei capitoli del bilancio dell'Agenzia destinati alle attivita' di ricerca e formazione concernenti la certificazione della cybersicurezza di prodotti TIC, servizi TIC e processi TIC di cui all'articolo 9, comma 1.
 
Art. 14

Ulteriori disposizioni finanziarie

1. Agli oneri derivanti dall'articolo 4, comma 3, pari a 657.500 euro per l'anno 2022, 592.500 euro per l'anno 2023 e 637.500 euro annui a decorrere dall'anno 2024 si provvede mediante corrispondente riduzione del Fondo per il recepimento della normativa europea di cui all'articolo 41-bis della legge 24 dicembre 2012, n. 234.
2. Le spese sostenute dall'Agenzia per l'adeguamento dei sistemi informativi all'articolo 4, comma 3, sono coerenti con il Piano triennale per l'informatica nella pubblica amministrazione ai sensi dei commi da 512 a 520, dell'articolo 1 della legge 28 dicembre 2015, n. 208.
3. Dall'attuazione del presente decreto, ad esclusione dell'articolo 4, comma 3, non devono derivare nuovi o maggiori oneri a carico della finanza pubblica e l'Agenzia provvede con le risorse umane, strumentali e finanziarie previste a legislazione vigente.
4. Il Ministro dell'economia e delle finanze e' autorizzato ad apportare le occorrenti variazioni di bilancio negli stati di previsione interessati in attuazione del presente articolo e dell'articolo 13.

Note all'art. 14:
- Si riporta il testo all'articolo 41-bis della citata
legge 24 dicembre 2012, n. 234:
«Art. 41-bis (Fondo per il recepimento della
normativa europea). - 1. Al fine di consentire il
tempestivo adeguamento dell'ordinamento interno agli
obblighi imposti dalla normativa europea, nei soli limiti
occorrenti per l'adempimento degli obblighi medesimi e in
quanto non sia possibile farvi fronte con i fondi gia'
assegnati alle competenti amministrazioni, e' autorizzata
la spesa di 10 milioni di euro per l'anno 2015 e di 50
milioni di euro annui a decorrere dall'anno 2016.
2. Per le finalita' di cui al comma 1 e' istituito
nello stato di previsione del Ministero dell'economia e
delle finanze un fondo, con una dotazione di 10 milioni di
euro per l'anno 2015 e di 50 milioni di euro annui a
decorrere dall'anno 2016, destinato alle sole spese
derivanti dagli adempimenti di cui al medesimo comma 1.
3. All'onere derivante dall'attuazione del presente
articolo, pari a 10 milioni di euro per l'anno 2015 e a 50
milioni di euro annui a decorrere dall'anno 2016, si
provvede, quanto a 10 milioni di euro per l'anno 2015,
mediante versamento all'entrata del bilancio dello Stato,
per un corrispondente importo, delle somme del fondo di cui
all'articolo 5, comma 1, della legge 16 aprile 1987, n.
183, e, quanto a 50 milioni di euro annui a decorrere
dall'anno 2016, mediante corrispondente riduzione delle
proiezioni dello stanziamento del fondo speciale di parte
corrente iscritto, ai fini del bilancio triennale
2015-2017, nell'ambito del programma "Fondi di riserva e
speciali" della missione "Fondi da ripartire" dello stato
di previsione del Ministero dell'economia e delle finanze
per l'anno 2015, allo scopo parzialmente utilizzando
l'accantonamento relativo al medesimo Ministero.
4. Il Ministro dell'economia e delle finanze e'
autorizzato ad apportare, con propri decreti, le occorrenti
variazioni di bilancio.».
- Si riporta il testo dei commi da 512 a 520,
dell'articolo 1 della legge 28 dicembre 2015, n. 208,
recante disposizioni per la formazione del bilancio annuale
e pluriennale dello Stato (legge di stabilita' 2016):
«Omissis.
512. Al fine di garantire l'ottimizzazione e la
razionalizzazione degli acquisti di beni e servizi
informatici e di connettivita', fermi restando gli obblighi
di acquisizione centralizzata previsti per i beni e servizi
dalla normativa vigente, le amministrazioni pubbliche e le
societa' inserite nel conto economico consolidato della
pubblica amministrazione, come individuate dall'Istituto
nazionale di statistica (ISTAT) ai sensi dell'articolo 1
della legge 31 dicembre 2009, n. 196, provvedono ai propri
approvvigionamenti esclusivamente tramite gli strumenti di
acquisto e di negoziazione di Consip Spa o dei soggetti
aggregatori, ivi comprese le centrali di committenza
regionali, per i beni e i servizi disponibili presso gli
stessi soggetti. Le regioni sono autorizzate ad assumere
personale strettamente necessario ad assicurare la piena
funzionalita' dei soggetti aggregatori di cui all'articolo
9 del decreto-legge 24 aprile 2014, n. 66, convertito, con
modificazioni, dalla legge 23 giugno 2014, n. 89, in deroga
ai vincoli assunzionali previsti dalla normativa vigente,
nei limiti del finanziamento derivante dal Fondo di cui al
comma 9 del medesimo articolo 9 del decreto-legge n. 66 del
2014.
513. L'Agenzia per l'Italia digitale (Agid)
predispone il Piano triennale per l'informatica nella
pubblica amministrazione che e' approvato dal Presidente
del Consiglio dei ministri o dal Ministro delegato. Il
Piano contiene, per ciascuna amministrazione o categoria di
amministrazioni, l'elenco dei beni e servizi informatici e
di connettivita' e dei relativi costi, suddivisi in spese
da sostenere per innovazione e spese per la gestione
corrente, individuando altresi' i beni e servizi la cui
acquisizione riveste particolare rilevanza strategica.
514. Ai fini di cui al comma 512, Consip SpA o il
soggetto aggregatore interessato sentita l'Agid per
l'acquisizione dei beni e servizi strategici indicati nel
Piano triennale per l'informatica nella pubblica
amministrazione di cui al comma 513, programma gli acquisti
di beni e servizi informatici e di connettivita', in
coerenza con la domanda aggregata di cui al predetto Piano.
Agid, Con-sip SpA e i soggetti aggregatori, sulla base di
analisi delle informazioni in loro possesso relative ai
contratti di acquisto di beni e servizi in materia
informatica, propongono alle amministrazioni e alle
societa' di cui al comma 512 iniziative e misure, anche
organizzative e di processo, volte al contenimento della
spesa. Consip SpA e gli altri soggetti aggregatori
promuovono l'aggregazione della domanda funzionale
all'utilizzo degli strumenti messi a disposizione delle
pubbliche amministrazioni su base nazionale, regionale o
comune a piu' amministrazioni.
514-bis. Per i beni e servizi la cui acquisizione
riveste particolare rilevanza strategica secondo quanto
indicato nel Piano triennale di cui al comma 513, le
amministrazioni statali, centrali e periferiche, ad
esclusione degli istituti e delle scuole di ogni ordine e
grado, delle istituzioni educative e delle istituzioni
universitarie, nonche' gli enti nazionali di previdenza ed
assistenza sociale pubblici e le agenzie fiscali di cui al
decreto legislativo 30 luglio 1999, n. 300, ricorrono a
Consip Spa, nell'ambito del Programma di razionalizzazione
degli acquisti della pubblica amministrazione del Ministero
dell'economia e delle finanze. A tal fine Consip Spa puo'
supportare i soggetti di cui al periodo precedente
nell'individuazione di specifici interventi di
semplificazione, innovazione e riduzione dei costi dei
processi amministrativi. Per le attivita' di cui al
presente comma e' previsto un incremento delle dotazioni
destinate al finanziamento del Programma di
razionalizzazione degli acquisti della pubblica
amministrazione del Ministero dell'economia e delle finanze
pari a euro 3.000.000 per l'anno 2017, a euro 7.000.000 per
l'anno 2018, a euro 4.300.000 per l'anno 2019 e a euro
1.500.000 annui a decorrere dal 2020.
515. La procedura di cui ai commi 512 e 514 ha un
obiettivo di risparmio di spesa annuale, da raggiungere
alla fine del triennio 2016-2018, pari al 50 per cento
della spesa annuale media per la gestione corrente del solo
settore informatico, relativa al triennio 2013-2015, al
netto dei canoni per servizi di connettivita' e della spesa
effettuata tramite Consip SpA o i soggetti aggregatori
documentata nel Piano triennale di cui al comma 513,
compresa quella relativa alle acquisizioni di particolare
rilevanza strategica di cui al comma 514-bis, nonche'
tramite la societa' di cui all'articolo 83, comma 15, del
decreto-legge 25 giugno 2008, n. 112, convertito, con
modificazioni, dalla legge 6 agosto 2008, n. 133. Sono
esclusi dal predetto obiettivo di risparmio gli enti
disciplinati dalla legge 8 marzo 1989, n. 88, nonche', per
le prestazioni e i servizi erogati alle amministrazioni
committenti, la societa' di cui all'articolo 83, comma 15,
del decreto-legge 25 giugno 2008, n. 112, convertito, con
modificazioni, dalla legge 6 agosto 2008, n. 133, la
societa' di cui all'articolo 10, comma 12, della legge 8
maggio 1998, n. 146, e la Consip SpA, nonche'
l'amministrazione della giustizia in relazione alle spese
di investimento necessarie al completamento
dell'informatizzazione del processo civile e penale negli
uffici giudiziari. I risparmi derivanti dall'attuazione del
presente comma sono utilizzati dalle medesime
amministrazioni prioritariamente per investimenti in
materia di innovazione tecnologica.
515-bis Al fine di facilitare la partecipazione ai
programmi comunitari, le amministrazioni pubbliche di cui
al comma 510, possono procedere, al di fuori delle
modalita' di cui al comma 512 e successivi, per attivita'
di ricerca, istruzione, formazione e culturali a richiedere
l'accesso alla rete del GARR in quanto unica rete nazionale
della ricerca e facente parte della rete della ricerca
Europea GEANT, ai sensi dell'articolo 40, comma 6, della
legge 1° agosto 2002, n. 166. I relativi costi non sono
inclusi nel computo della spesa annuale informatica. La
procedura di affidamento segue le disposizioni del comma
516.
516. Le amministrazioni e le societa' di cui al comma
512 possono procedere ad approvvigionamenti al di fuori
delle modalita' di cui ai commi 512 e 514 esclusivamente a
seguito di apposita autorizzazione motivata dell'organo di
vertice amministrativo, qualora il bene o il servizio non
sia disponibile o idoneo al soddisfacimento dello specifico
fabbisogno dell'amministrazione ovvero in casi di
necessita' ed urgenza comunque funzionali ad assicurare la
continuita' della gestione amministrativa. Gli
approvvigionamenti effettuati ai sensi del presente comma
sono comunicati all'Autorita' nazionale anti-corruzione e
all'Agid.
517. La mancata osservanza delle disposizioni dei
commi da 512 a 516 rileva ai fini della responsabilita'
disciplinare e per danno erariale.
518. Il comma 3-quinquies dell'articolo 4 del
decreto-legge 6 luglio 2012, n. 95, convertito, con
modificazioni, dalla legge 7 agosto 2012, n. 135, e'
abrogato.
519. Nelle acquisizioni di beni e servizi di cui ai
commi da 512 al presente comma, gli organi costituzionali
adottano le misure idonee a realizzare le economie previste
nella rispettiva autonomia, secondo le modalita' stabilite
nel proprio ordinamento.
520. Per le finalita' di cui al comma 512, al fine di
consentire l'interoperabilita' dei sistemi informativi
degli enti del Servizio sanitario nazionale e garantire
omogeneita' dei processi di approvvigionamento sul
territorio nazionale, con accordo sancito in sede di
Conferenza permanente per i rapporti tra lo Stato, le
regioni e le province autonome di Trento e di Bolzano,
previo parere dell'Agid e della Consip SpA, sono definiti
criteri uniformi per gli acquisti di beni e servizi
informatici e di connettivita' da parte degli enti del
Servizio sanitario nazionale.
Omissis.».
 
Art. 15

Successiva attuazione nazionale
dei sistemi europei di certificazione

1. Ai nuovi sistemi europei di certificazione che sono adottati dalla Commissione europea ai sensi dell'articolo 49, paragrafo 7, del Regolamento e che non siano autonomamente applicabili nel quadro di certificazione nazionale vigente, e' data attuazione modificando o integrando il provvedimento di cui all'articolo 4, comma 2, in ogni aspetto operativo necessario per dare piena attuazione al nuovo sistema europeo di certificazione.
Il presente decreto, munito del sigillo dello Stato, sara' inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.
Dato a Roma, addi' 3 agosto 2022

MATTARELLA

Draghi, Presidente del Consiglio
dei ministri

Giorgetti, Ministro dello sviluppo
economico

Di Maio, Ministro degli affari
esteri e della cooperazione
internazionale

Franco, Ministro dell'economia e
delle finanze

Cartabia, Ministro della giustizia

Lamorgese, Ministro dell'interno

Guerini, Ministro della difesa

Colao, Ministro per l'innovazione
tecnologica e la transizione
digitale
Visto, il Guardasigilli: Cartabia