Roma, 1 feb 2022 – DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 9 dicembre 2021, n. 223. Regolamento di organizzazione e funzionamento dell’Agenzia per la cybersicurezza nazionale. (21G00246)
DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 9 dicembre 2021, n. 223
Regolamento di organizzazione e funzionamento dell’Agenzia per la cybersicurezza nazionale. (21G00246)
(GU n.306 del 27-12-2021 – Suppl. Ordinario n. 47)
Vigente al: 28-12-2021
Titolo I
DISPOSIZIONI E PRINCIPI GENERALI
IL PRESIDENTE
DEL CONSIGLIO DEI MINISTRI
Vista la legge 23 agosto 1988, n. 400;
Visto il decreto-legge 14 giugno 2021, n. 82, convertito, con
modificazioni, dalla legge 4 agosto 2021, n. 109, recante
«Disposizioni urgenti in materia di cybersicurezza, definizione
dell'architettura nazionale di cybersicurezza e istituzione
dell'Agenzia per la cybersicurezza nazionale» che, in particolare,
istituisce l'Agenzia per la cybersicurezza nazionale (nel prosieguo
«Agenzia») anche ai fini della tutela della sicurezza nazionale e
dell'interesse nazionale nello spazio cibernetico e, in particolare,
l'articolo 6;
Vista la legge 7 agosto 1990, n. 241;
Visto il decreto legislativo 7 marzo 2005, n. 82, recante il
«Codice dell'amministrazione digitale»;
Visto il decreto-legge 15 marzo 2012, n. 21, convertito, con
modificazioni, dalla legge 11 maggio 2012, n. 56;
Visto il decreto legislativo 18 maggio 2018, n. 65, di attuazione
della direttiva (UE) 2016/1148 del Parlamento europeo e del
Consiglio, del 6 luglio 2016, recante misure per un livello comune
elevato di sicurezza delle reti e dei sistemi informativi
nell'Unione;
Visto il decreto-legge 21 settembre 2019, n. 105, convertito in
legge, con modificazioni, dalla legge 18 novembre 2019, n. 133,
recante «Disposizioni urgenti in materia di perimetro di sicurezza
nazionale cibernetica e di disciplina dei poteri speciali nei settori
di rilevanza strategica»;
Visti gli articoli 2, comma 2, e 5, comma 2, secondo periodo, del
decreto-legge n. 82 del 2021, che prevedono, in particolare,
rispettivamente, che il Presidente del Consiglio dei ministri,
sentito il CIC, impartisce le direttive per la cybersicurezza ed
emana ogni disposizione necessaria per l'organizzazione e il
funzionamento dell'Agenzia, e che il Presidente del Consiglio dei
ministri e l'Autorita' delegata, ove istituita, si avvalgano
dell'Agenzia per l'esercizio delle competenze di cui allo stesso
decreto-legge;
Visti altresi' gli articoli 5, comma 2, primo periodo, e 12, comma
1, del decreto-legge n. 82 del 2021, che prevedono, in particolare,
rispettivamente, che l'Agenzia e' dotata di autonomia regolamentare,
amministrativa e organizzativa e che per il personale del ruolo
dell'Agenzia, di cui all'articolo 12, comma 2, lettera a), del
richiamato decreto-legge, tenuto conto delle funzioni volte alla
tutela della sicurezza nazionale, ne sia dettata la relativa
disciplina con apposito regolamento adottato anche in deroga alle
vigenti disposizioni di legge, ivi incluso il decreto legislativo 30
marzo 2001, n. 165, nel rispetto dei principi generali
dell'ordinamento giuridico, prevedendo, infine, un trattamento
economico pari a quello in godimento da parte dei dipendenti della
Banca d'Italia, sulla scorta dell'equiparabilita' delle funzioni
svolte e del livello di responsabilita' rivestito;
Visto il regolamento adottato con decreto del Presidente del
Consiglio dei ministri 30 luglio 2020, n. 131;
Visto il decreto del Presidente del Consiglio dei ministri 13
settembre 2021, recante «Delega di funzioni in materia di
cybersicurezza all'Autorita' delegata per la sicurezza della
Repubblica, prefetto Franco Gabrielli»;
Ritenuto di dare attuazione all'articolo 6, individuando un assetto
organizzativo e funzionale dell'Agenzia efficiente, coerente con la
missione istituzionale, raccordato e compatibile con le previsioni di
cui al richiamato articolo 12, comma 1, e che consenta di disporre
delle necessarie dinamicita', modularita' e gradualita'
nell'attivazione delle strutture e articolazioni dell'Agenzia, al
fine di assicurarne un pronto avvio nel rispetto dei principi di
efficienza ed economicita';
Visto l'articolo 6, comma 3, del decreto-legge n. 82 del 2021, che
consente l'adozione del presente regolamento in deroga alle
disposizioni dell'articolo 17 della legge 23 agosto 1988, n. 400 e,
dunque, anche in assenza del parere del Consiglio di Stato;
Acquisiti i pareri delle Commissioni I (Affari costituzionali) e IX
(Trasporti) riunite, IV (Difesa) e V (Bilancio) della Camera dei
deputati, delle Commissioni 1ª (Affari costituzionali), 5ª (Bilancio)
e 8ª (Lavori pubblici, comunicazione) del Senato della Repubblica e
del Comitato parlamentare per la sicurezza della Repubblica;
Sentito il Comitato interministeriale per la cybersicurezza (CIC);
Di concerto con il Ministro dell'economia e delle finanze;
Adotta
il seguente regolamento:
Art. 1
Definizioni
1. Ai fini del presente regolamento si intende per:
a) decreto-legge, il decreto-legge 14 giugno 2021, n. 82,
convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109,
recante disposizioni urgenti in materia di cybersicurezza,
definizione dell'architettura nazionale di cybersicurezza e
istituzione dell'Agenzia per la cybersicurezza nazionale;
b) Autorita' delegata, il Sottosegretario di Stato o il Ministro
senza portafoglio di cui all'articolo 3 del decreto-legge;
c) CIC, il Comitato interministeriale per la cybersicurezza di
cui all'articolo 4 del decreto-legge;
d) decreto legislativo NIS, il decreto legislativo 18 maggio
2018, n. 65, di attuazione della direttiva (UE) 2016/1148 del
Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure
per un livello comune elevato di sicurezza delle reti e dei sistemi
informativi nell'Unione, come modificato dall'articolo 15 del
decreto-legge;
e) decreto-legge perimetro, il decreto-legge 21 settembre 2019,
n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019,
n. 133, recante disposizioni urgenti in materia di perimetro di
sicurezza nazionale cibernetica e di disciplina dei poteri speciali
nei settori di rilevanza strategica;
f) Tavolo Perimetro, il Tavolo interministeriale per l'attuazione
del perimetro di sicurezza nazionale cibernetica di cui all'articolo
6, comma 1, del regolamento adottato con decreto del Presidente del
Consiglio dei ministri 30 luglio 2020, n. 131;
g) Comitato tecnico-scientifico, il Comitato di cui all'articolo
7, comma 1-bis, del decreto-legge;
h) Comitato tecnico di raccordo, il Comitato di cui all'articolo
9, comma 1, del decreto legislativo NIS;
i) CSIRT Italia, il Computer security incident response team, di
cui all'articolo 8 del decreto legislativo NIS;
l) CVCN, il Centro di valutazione e certificazione nazionale di
cui all'articolo 1, comma 6, lettera a), del decreto-legge perimetro;
m) Centro di coordinamento, il Centro nazionale di coordinamento
ai sensi dell'articolo 6 del regolamento (UE) n. 2021/887 del
Parlamento europeo e del Consiglio del 20 maggio 2021, che istituisce
il Centro europeo di competenza per la cybersicurezza nell'ambito
industriale, tecnologico e della ricerca e la rete dei centri
nazionali di coordinamento;
n) articolazioni: le Divisioni di cui all'articolo 4, comma 4, e
gli altri gruppi di progetto, di studio e ricerca, settori e altri
gruppi di cui all'articolo 4, comma 5, secondo periodo.
Art. 2
Oggetto
1. Il presente regolamento, adottato ai sensi dell'articolo 6,
comma 1, del decreto-legge, disciplina l'organizzazione e il
funzionamento dell'Agenzia per la cybersicurezza nazionale (ACN), di
seguito «Agenzia», delineando la macrostruttura dell'Agenzia.
Art. 3
Principi ispiratori
1. L'Agenzia svolge le funzioni stabilite dal decreto-legge e da
altre disposizioni di legge, sulla base delle direttive emanate dal
Presidente del Consiglio dei ministri o dall'Autorita' delegata, ove
istituita, nel campo della cybersicurezza, anche ai fini della tutela
della sicurezza nazionale.
2. L'organizzazione e il funzionamento dell'Agenzia si ispirano ai
seguenti principi:
a) autonomia e responsabilizzazione, in relazione al corretto uso
delle risorse, al migliore conseguimento dei risultati attesi ed al
massimo livello di adesione ai principi, ai valori e alla missione
dell'Agenzia stessa;
b) efficienza e razionale impiego delle risorse disponibili;
c) imparzialita' e trasparenza dell'azione amministrativa, nel
rispetto della disciplina sulla sicurezza;
d) ottimale valorizzazione del capitale umano attraverso la
corretta valutazione dei risultati conseguiti, assicurando la
formazione e lo sviluppo professionale delle proprie risorse umane e
garantendo pari opportunita' alle lavoratrici e ai lavoratori;
e) contrasto alle situazioni di conflitto di interessi ed ai
fenomeni di corruzione e infiltrazione ad opera della criminalita'
organizzata;
f) flessibilita' e innovazione tecnologica poste a supporto dei
processi gestionali, al fine di garantire nella misura massima
l'efficacia e l'efficienza necessarie per la realizzazione degli
obiettivi strategici dell'Agenzia;
g) semplificazione dei processi di lavoro ed essenzialita' dei
percorsi amministrativi, chiarezza degli obiettivi assegnati a
ciascuna figura professionale ed efficacia delle soluzioni
organizzative da adottare, che privilegino il lavoro per processi e
di gruppo e la gestione per progetti, specie per le attivita' a
termine di carattere innovativo e di particolare rilevanza e
complessita';
h) sviluppo dei sistemi informativi a supporto delle decisioni e
pieno utilizzo nell'organizzazione delle potenzialita' offerte
dall'utilizzo delle tecnologie digitali e dei sistemi di
comunicazione via web, anche in funzione della promozione
dell'innovazione digitale e della facilita' di accesso alle
attivita', all'assistenza e all'informazione da parte delle pubbliche
amministrazioni, dei cittadini e delle imprese, secondo principi di
cybersicurezza.
Titolo II
ORGANI, STRUTTURE E FUNZIONI
Art. 4
Struttura organizzativa
1. Sono organi dell'Agenzia quelli previsti dall'articolo 6, comma
2, del decreto-legge.
2. L'Agenzia, nei limiti definiti dall'articolo 6, comma 1, del
decreto-legge, si articola in Servizi generali (di seguito «Servizi»)
e Divisioni.
3. I Servizi sono istituiti, nel numero di sette quali strutture di
livello dirigenziale generale nei limiti stabiliti dall'articolo 6,
comma 1, del decreto-legge, a presidio di ambiti di notevole ampiezza
e complessita', che sono direttamente correlati alle funzioni e alle
politiche generali dell'Agenzia. I Servizi sono posti alle dipendenze
del direttore generale dell'Agenzia e operano sulla base degli
indirizzi dallo stesso forniti.
4. Le Divisioni sono istituite per la gestione di un insieme
omogeneo di tematiche e macro-processi e operano, di norma,
all'interno dei Servizi. Nel numero massimo di trenta, sono
individuate le Divisioni di maggiore complessita', quali
articolazioni di livello dirigenziale non generale. In sede di prima
applicazione delle disposizioni del decreto-legge, fino alla
rideterminazione della dotazione organica da effettuarsi ai sensi
dell'articolo 12, comma 5, del decreto-legge, non possono essere
istituite piu' di ventiquattro Divisioni di maggiore complessita'.
5. Con provvedimento del direttore generale, rispondente a principi
di efficacia ed efficienza organizzativa, sentiti i Capi dei Servizi,
sono definiti: il numero delle Divisioni nei limiti di cui al comma 4
per quelle di maggiore complessita', le funzioni e le rispettive
competenze, le dotazioni di risorse umane e strumentali, nonche' la
loro eventuale riorganizzazione. Con analogo provvedimento puo'
essere prevista anche la costituzione:
a) di gruppi di progetto, di studio e ricerca, settori e altri
gruppi con compiti, risorse e processi operativi assegnati;
b) nell'ambito della dotazione organica dell'Agenzia, di
strutture di missione temporanea di livello dirigenziale o unita' di
progetto non aventi natura dirigenziale, dedicate all'attuazione di
un progetto di durata definita.
6. Nell'ambito di un Servizio, il direttore generale puo'
costituire, su proposta del relativo Capo Servizio, le posizioni di
Vice Capo Servizio e Vice Capo Divisione, laddove la complessita'
delle tematiche trattate richieda la previsione di una specifica
figura manageriale, nonche' posizioni di coordinamento, in relazione
a progetti o processi aventi carattere di trasversalita' tra piu'
articolazioni dello stesso o di altri Servizi. A tali posizioni,
secondo i criteri di cui al regolamento adottato ai sensi
dell'articolo 12, comma 1, del decreto-legge, e' preposto personale
dell'Agenzia nei limiti di cui agli articoli 12 e 18 del
decreto-legge.
7. Con provvedimento del direttore generale, sono disciplinati i
casi di sostituzione, in caso di assenza o impedimento, da parte dei
titolari dei Servizi o delle Divisioni.
Art. 5
Direttore generale dell'Agenzia
1. Il direttore generale e' il diretto referente del Presidente del
Consiglio dei ministri e dell'Autorita' delegata, ove istituita,
nella materia della cybersicurezza.
2. Il direttore generale, in particolare:
a) e' il legale rappresentante dell'Agenzia e ne ha la
rappresentanza esterna;
b) cura i rapporti con le pubbliche amministrazioni nazionali e
con i soggetti pubblici e privati, con le istituzioni, gli organismi
e le agenzie dell'Unione europea, nonche' con le organizzazioni
estere ed internazionali;
c) svolge le funzioni di segretario del CIC, supportandone le
funzioni di consulenza, proposta e vigilanza in materia di politiche
di cybersicurezza;
d) partecipa alle riunioni del Comitato interministeriale per la
sicurezza della Repubblica (CISR), di cui all'articolo 5 della legge
3 agosto 2007, n. 124 in materia di gestione delle situazioni di
crisi di cui all'articolo 10, comma 1, del decreto-legge;
e) presiede il Nucleo per la cybersicurezza, il Tavolo Perimetro,
il Comitato tecnico di raccordo (CTR) e il Comitato
tecnico-scientifico (CTS), istituiti presso l'Agenzia;
f) sottoscrive i contratti, ove non siano espressamente delegati
i Capi dei Servizi competenti, ovvero altro personale dell'Agenzia;
g) svolge le altre funzioni espressamente attribuite dalla legge
e dai regolamenti o dal Presidente del Consiglio dei ministri.
3. Il direttore generale, sentito il Vice direttore generale:
a) adotta i provvedimenti necessari per il funzionamento
dell'Agenzia. A tal fine, ne definisce gli indirizzi e ne coordina le
attivita', adottando ogni iniziativa idonea al miglior espletamento
delle funzioni dell'Agenzia;
b) adotta la pianificazione strategica dell'Agenzia, individuando
gli obiettivi da conseguire, assegnandoli ai Capi dei Servizi;
c) dispone le nomine, le promozioni, le assegnazioni, i
trasferimenti e gli incarichi del personale;
d) adotta i provvedimenti necessari per l'impiego delle risorse
strumentali. A tal fine, impartisce indirizzi e direttive per il loro
migliore impiego;
e) adotta il bilancio preventivo e il bilancio consuntivo
dell'Agenzia;
f) assicura, sulla base delle determinazioni del Presidente del
Consiglio dei ministri, l'attuazione degli indirizzi del CIC e
l'esecuzione delle deliberazioni assunte dagli organismi che
presiede.
4. Nello svolgimento delle funzioni attribuitegli, il Direttore
generale si avvale del Gabinetto a fini di diretto supporto, nonche'
dei competenti servizi e articolazioni dell'Agenzia.
5. Con apposito provvedimento, adottato ai sensi dell'articolo 4,
comma 5, il Direttore generale istituisce una o piu' articolazioni a
diretto supporto per lo svolgimento delle proprie funzioni
istituzionali. Tali articolazioni possono essere, in particolare:
a) la segreteria particolare, con funzioni di supporto
dell'attivita' istituzionale del Direttore generale, di segreteria e
contatto con i referenti delle altre istituzioni, con gli altri
organi dell'Agenzia, per la trattazione delle questioni e degli
approfondimenti che lo stesso intende gestire direttamente, per
l'organizzazione delle cerimonie e degli eventi istituzionali;
b) le relazioni esterne e comunicazione, con funzioni di gestione
dei rapporti con le redazioni giornalistiche e con la stampa
nazionale ed estera, redazione e diffusione dei comunicati e
organizzazione di conferenze stampa, attuazione delle attivita' di
comunicazione istituzionale, compresa la gestione del sito web e dei
canali social dell'Agenzia, curando la presenza, l'immagine e la
visibilita' dell'Agenzia e promuovendone le attivita' allo scopo di
garantire una comunicazione coerente e trasparente.
6. Il trattamento economico del direttore generale e' disciplinato
nell'ambito del regolamento di cui all'articolo 12, comma 1, del
decreto-legge.
Art. 6
Vice Direttore generale dell'Agenzia
1. Il Vice Direttore generale di cui all'articolo 5, comma 3, del
decreto-legge coadiuva il direttore generale nella direzione
dell'Agenzia. Sulla base di apposito provvedimento del direttore
generale, svolge le funzioni attribuitegli, sovrintende e coordina i
Servizi e le altre articolazioni dell'Agenzia, indicate nel medesimo
provvedimento.
2. Il Vice Direttore generale svolge altresi' le funzioni vicarie
per i casi di assenza o impedimento del direttore generale.
3. Sulla base di specifica delega del direttore generale, il Vice
Direttore generale puo' presiedere il Nucleo per la cybersicurezza
(NCS), il Tavolo Perimetro, il Comitato tecnico di raccordo (CTR) e
il Comitato tecnico-scientifico (CTS), istituiti presso l'Agenzia.
4. Con apposito provvedimento, adottato ai sensi dell'articolo 4,
comma 5, il Direttore generale istituisce una o piu' articolazioni a
diretto supporto del Vice Direttore generale per supportarlo nello
svolgimento delle proprie funzioni istituzionali.
5. Il Direttore generale, con proprio provvedimento, individua un
Capo Servizio al quale, in caso di assenza o impedimento del Vice
Direttore generale, sono attribuite le funzioni vicarie.
6. Il trattamento economico del Vice direttore generale e'
disciplinato nell'ambito del regolamento di cui all'articolo 12,
comma 1, del decreto-legge.
Art. 7
Collegio dei revisori dei conti
1. Il Collegio dei revisori dei conti e' composto da:
a) un magistrato della Corte dei conti, in servizio o in
quiescenza, che lo presiede;
b) un componente effettivo, designato dal Ministero dell'economia
e delle finanze ai sensi dell'articolo 16 della legge 31 dicembre
2009, n. 196;
c) un ulteriore componente effettivo e un componente supplente,
scelti entrambi tra soggetti, in servizio o in quiescenza,
appartenenti ai ruoli della magistratura amministrativa, contabile o
dell'Avvocatura dello Stato, ovvero tra professori universitari
ordinari di contabilita' pubblica o discipline similari, ovvero tra
alti dirigenti dello Stato.
2. Il presidente e i componenti del Collegio sono nominati con
provvedimento del direttore generale su deliberazione del Comitato di
Vertice, durano in carica quattro anni e possono essere confermati
una sola volta.
3. I compensi del presidente e dei componenti sono stabiliti con
successivo decreto del Presidente del Consiglio dei ministri, su
proposta del direttore generale, in conformita' ai criteri stabiliti
per gli enti e organismi pubblici.
4. Il presidente e i componenti sono tenuti, ai sensi della
normativa vigente, al rispetto del segreto sui fatti e sui documenti
di cui hanno conoscenza in ragione del loro ufficio.
5. Il Collegio:
a) effettua il riscontro degli atti della gestione finanziaria e
formula le proprie osservazioni;
b) svolge, almeno una volta ogni tre mesi, verifiche di cassa e
di bilancio;
c) esprime, in apposita relazione, parere sul progetto di
bilancio preventivo, nonche' sul rendiconto annuale;
d) esercita ogni altra funzione ad esso attribuita dalla
normativa vigente.
Art. 8
Controlli interni, valutazione e trasparenza
1. L'organismo indipendente di valutazione, di seguito OIV,
costituito in forma collegiale o monocratica, e' nominato con
provvedimento del direttore generale, sentito il Vice direttore
generale, ed esercita le attribuzioni di cui all'articolo 14, del
decreto legislativo 27 ottobre 2009, n. 150.
2. L'OIV si avvale del supporto di una struttura tecnica permanente
appositamente costituita con provvedimento del direttore generale.
3. L'OIV, nello svolgimento delle funzioni attribuitegli dalla
legge, si raccorda con il Vice direttore generale, anche in ottica di
coordinamento con le articolazioni interessate dell'Agenzia.
4. Il diritto di accesso di cui all'articolo 14, comma 4-ter, del
decreto legislativo 27 ottobre 2009, n. 150, si esercita nei
ristretti limiti previsti dall'articolo 24 della legge 7 agosto 1990,
n. 241, dalla legge n. 124 del 2007 e delle altre leggi a tutela
della sicurezza nazionale, con particolare riguardo allo spazio
cibernetico, e nel pieno rispetto della normativa vigente in materia
di classifiche di segretezza.
Art. 9
Comitato di Vertice
1. Con riferimento a decisioni strategiche concernenti, tra
l'altro, l'organizzazione e il funzionamento dell'Agenzia, anche in
relazione a quanto stabilito dai regolamenti di attuazione del
decreto-legge, il Direttore generale puo' richiedere la convocazione
del Comitato di Vertice al quale presentare proposte o sottoporre
questioni di particolare delicatezza.
2. Il Comitato di Vertice e' presieduto dal Presidente del
Consiglio dei ministri, ovvero dall'Autorita' delegata di cui
all'articolo 3 del decreto-legge, ove istituita, che ne dispone la
convocazione, ove ritenuta opportuna, ed e' composto dal Direttore
generale e dal Vice Direttore generale. Il Capo di Gabinetto
dell'Agenzia ne svolge le funzioni di segretario.
3. Per la partecipazione al Comitato non sono previsti gettoni di
presenza, compensi o rimborsi di spese.
Art. 10
Comitato di coordinamento e programmazione
1. Per assicurare l'unitarieta' di azione e l'allineamento
informativo dei Servizi sugli indirizzi e le decisioni strategiche in
merito all'organizzazione, al funzionamento e alle attivita'
dell'Agenzia, il direttore generale puo' convocare il Comitato di
coordinamento e programmazione.
2. Il Comitato e' presieduto dal Direttore generale ed e' composto
dal Vice Direttore generale e dai Capi dei Servizi o da loro
delegati.
3. Il Comitato si riunisce su convocazione del Direttore generale,
che ne definisce l'ordine del giorno.
4. Alle riunioni del Comitato puo' essere invitato a partecipare,
in funzione degli argomenti da trattare, anche altro personale
dell'Agenzia.
Art. 11
Comitato tecnico-scientifico
1. Ai sensi dell'articolo 7, comma 1-bis, del decreto-legge, e'
istituito presso l'Agenzia un Comitato tecnico-scientifico, di
seguito Comitato, con funzioni di consulenza e proposta, volto a
promuovere la collaborazione con il sistema dell'universita' e della
ricerca e con il sistema produttivo nazionale, nonche' a supportare
le iniziative pubblico-private in materia di cybersicurezza. Al
Comitato possono essere sottoposte, oltre alle questioni in materia
di sviluppo di competenze, innovazione, partecipazione a programmi e
progetti di cybersicurezza nazionali ed internazionali, comunicazione
e promozione della consapevolezza in materia di cybersicurezza,
formazione e qualificazione delle risorse umane, nonche' alle
questioni afferenti al Centro nazionale di coordinamento, ogni altra
tematica individuata dal direttore generale.
2. Il Comitato e' presieduto dal direttore generale, ovvero dal
Vice direttore generale o da un dirigente dell'Agenzia ove delegati
e, tenuto conto del principio di pari opportunita' tra uomini e
donne, e' composto da:
a) personale dell'Agenzia in numero non superiore a quattro;
b) quattro dirigenti, preferibilmente individuati tra quelli
chiamati a riferire in via immediata e diretta al vertice gerarchico,
in rappresentanza dell'industria operativa negli ambiti di attivita'
dell'Agenzia, comprese le piccole e medie imprese;
c) quattro professori universitari ordinari o equivalenti, in
rappresentanza del sistema dell'universita' e della ricerca;
d) un esponente di associazioni del settore della sicurezza delle
aziende strategiche del Paese.
3. I componenti del Comitato:
a) devono possedere indiscussa competenza, tanto a livello
nazionale quanto internazionale, negli ambiti di attivita'
dell'Agenzia, in particolare nel contesto della definizione e
dell'attuazione di progetti di ricerca e sviluppo tecnologico,
industriale e scientifico, nei campi, tra gli altri, del quantum
computing, dell'intelligenza artificiale, della crittografia,
dell'Internet of things, delle reti e del software, nonche' negli
ambiti della formazione e qualificazione delle risorse umane, della
promozione e diffusione della cultura della cybersicurezza;
b) devono possedere riscontrabili requisiti di onorabilita'.
4. I componenti del Comitato sono designati con decreto del
Presidente del Consiglio dei ministri, sentito il Comitato di
Vertice, su proposta del direttore generale, restano in carica per
due anni e possono essere rinnovati, con la medesima procedura, per
un ulteriore anno.
5. Per la partecipazione al Comitato non sono previsti gettoni di
presenza, compensi o rimborsi di spese.
6. Il Comitato si riunisce, almeno due volte l'anno, su
convocazione del presidente o anche su richiesta di almeno tre
componenti esterni all'Agenzia.
7. Il presidente ne definisce l'ordine del giorno, anche sulla base
delle proposte dei componenti del Comitato.
Art. 12
Organizzazione
1. L'Agenzia, nei limiti stabiliti dall'articolo 6, comma 1, del
decreto-legge, e fatto salvo quanto previsto dall'articolo 17, si
articola nei seguenti servizi:
a) Gabinetto;
b) Autorita' e sanzioni;
c) Certificazione e vigilanza;
d) Operazioni;
e) Programmi industriali, tecnologici, di ricerca e formazione;
f) Risorse umane e strumentali;
g) Strategie e cooperazione.
2. Nell'ambito delle competenze e delle funzioni che sono
attribuite per legge all'Agenzia e tenuto conto degli indirizzi che
saranno progressivamente definiti dal Direttore generale:
a) il Gabinetto assicura, a supporto del Direttore generale, il
coordinamento tra i diversi Servizi e articolazioni dell'Agenzia e il
raccordo tra le relative attivita', e svolge funzioni a valenza
generale. In particolare, per tali ultime funzioni, operando in
stretto raccordo con i Servizi e avvalendosi del relativo supporto:
1) assicura le funzioni di gestione dei flussi documentali,
raccolta e canalizzazione di notizie, conoscenze ed esperienze,
gestione del protocollo informatico e degli archivi dati, nonche' di
eventi suscettibili di immediato superiore apprezzamento;
2) assicura il supporto necessario ai fini della tutela della
riservatezza dei dati personali;
3) assolve agli obblighi di informazione e comunicazione al
Parlamento e al Comitato parlamentare per la sicurezza della
Repubblica (COPASIR) di cui all'articolo 30 della legge 3 agosto
2007, n. 124;
4) cura e promuove, anche attraverso il costante monitoraggio
dell'attivita' parlamentare e di Governo, l'espressione di pareri non
vincolanti su rilevanti iniziative legislative o regolamentari,
ovvero ne propone l'adozione, al fine della definizione e del
mantenimento di un quadro giuridico nazionale aggiornato e coerente
nel dominio della cybersicurezza, tenendo anche conto degli
orientamenti e degli sviluppi in ambito internazionale;
5) sulla base delle attivita' di competenza del Nucleo per la
cybersicurezza, cura le attivita' di cui all'articolo 7, comma 1,
lettera l), del decreto-legge;
6) supporta il Nucleo per la cybersicurezza, fermo restando
quanto previsto dalla lettera d), numero 5);
7) cura le collaborazioni istituzionali con altri organi dello
Stato e in generale con le altre amministrazioni, ivi compreso il
Garante per la protezione dei dati personali e le altre Autorita'
indipendenti, le Forze armate e di polizia e gli altri enti pubblici;
8) svolge studi e analisi su rilevanti iniziative, politiche e
strategie in materia di cybersicurezza, laddove necessari per
informare e supportare i processi decisionali dell'Agenzia;
b) il Servizio autorita' e sanzioni assicura lo svolgimento della
funzione di regolamentazione e la connessa attivita' sanzionatoria
attribuite all'Agenzia dalla normativa vigente. A tal fine, in
particolare:
1) cura gli adempimenti delle disposizioni del decreto
legislativo NIS, con particolare riferimento a quanto previsto in
materia di identificazione degli operatori di servizi essenziali e
fornitori di servizi digitali e gestione dei rispettivi elenchi,
determinazione delle soglie di incidenti, definizione delle misure di
sicurezza, raccordo con le autorita' di settore, presidenza del
Comitato tecnico di raccordo;
2) cura gli adempimenti delle disposizioni del decreto-legge
perimetro;
3) cura la definizione delle misure di sicurezza e delle soglie
di significativita' degli incidenti riguardanti le reti pubbliche di
comunicazione o servizi di comunicazione elettronica accessibili al
pubblico, ai sensi del Codice delle comunicazioni elettroniche;
4) cura l'attuazione degli articoli 51 e 71 del Codice
dell'amministrazione digitale di cui al decreto legislativo 7 marzo
2005, n. 82, con particolare riferimento alla previsione di linee
guida contenenti regole tecniche di cybersicurezza della pubblica
amministrazione;
5) stabilisce i livelli minimi di sicurezza, capacita'
elaborativa, risparmio energetico e affidabilita' delle
infrastrutture digitali per la pubblica amministrazione;
6) provvede all'irrogazione delle sanzioni in caso di
inadempimento degli obblighi stabiliti dalle normative vigenti in
materia di cybersicurezza di competenza dell'Agenzia, garantendo la
necessaria partecipazione procedimentale degli interessati ed una
adeguata terzieta' rispetto all'articolazione a cui spettano compiti
ispettivi;
7) cura il contenzioso dell'Agenzia, con particolare riguardo a
quello connesso ai procedimenti sanzionatori, assicurando il supporto
all'Avvocatura dello Stato;
c) il Servizio Certificazione e vigilanza sovrintende ai processi
di certificazione, qualificazione e valutazione, nonche' cura
l'attivita' ispettiva e di verifica attribuiti all'Agenzia dalla
normativa vigente. A tal fine, in particolare:
1) cura le attivita' svolte dall'Agenzia in materia di
certificazione di sicurezza cibernetica;
2) cura le attivita' dell'Agenzia quale CVCN, anche ai sensi
del decreto-legge perimetro e del decreto-legge 15 marzo 2012, n. 21,
convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56;
3) cura e svolge l'attivita' ispettiva e di verifica di
competenza dell'Agenzia concernente gli adempimenti di cybersicurezza
nei confronti dei soggetti pubblici e privati;
4) cura le attivita' dell'Agenzia volte and assicurare
l'attuazione del regolamento (UE) n. 2019/881 e, in particolare,
garantisce che l'Agenzia assolva al ruolo di autorita' nazionale di
certificazione in materia di cybersicurezza, ai sensi dell'articolo
58 del regolamento (UE) n. 2019/881, e partecipi ai lavori del Gruppo
europeo per la certificazione della cybersicurezza, ai sensi
dell'articolo 62 del regolamento (UE) n. 2019/881;
5) e' responsabile della promozione e dello svolgimento delle
attivita' volte alla qualificazione dei servizi cloud per la pubblica
amministrazione;
6) cura e promuove le attivita' volte allo sviluppo di
algoritmi proprietari e alla valorizzazione della crittografia come
strumento di cybersicurezza;
d) il Servizio Operazioni contribuisce alla preparazione,
prevenzione, gestione e risposta a eventi cibernetici. Nell'ambito
del Servizio Operazioni e' collocato il CSIRT Italia. Il Servizio
Operazioni, a tal fine, in particolare:
1) assicura il funzionamento del CSIRT Italia sulla base dei
compiti che sono ad esso attribuiti per legge, tra i quali il
monitoraggio e l'analisi dei rischi e delle minacce cyber a livello
nazionale, l'emissione di preallarmi, allerte, annunci e la
divulgazione di rilevanti informazioni agli operatori interessati, la
ricezione di notifiche obbligatorie e volontarie di incidenti cyber,
l'analisi degli incidenti e la definizione di modalita' di intervento
e risposta;
2) cura lo sviluppo e il mantenimento di capacita' nazionali di
prevenzione, monitoraggio, rilevamento, analisi e risposta, per
prevenire e gestire gli incidenti di sicurezza informatica e gli
attacchi informatici, anche attraverso il CSIRT Italia;
3) e' responsabile per le attivita' inerenti alla preparazione,
prevenzione, gestione e risposta a eventi cibernetici di natura
critica, supportando le attivita' volte al piu' celere ripristino
della situazione ante-evento da parte dei soggetti interessati;
4) coordina e partecipa a esercitazioni nazionali e
internazionali che riguardano aspetti tecnici e operativi di gestione
di eventi o crisi con profili di cybersicurezza;
5) supporta il Nucleo per la cybersicurezza nella
programmazione e pianificazione operativa della risposta a situazioni
di crisi cibernetica da parte delle amministrazioni e degli operatori
privati interessati, nonche' nelle attivita' cui all'articolo 10,
comma 4, del decreto-legge, curando gli opportuni raccordi con il
Gabinetto;
6) valuta e promuove, in raccordo con le amministrazioni
competenti per specifici profili della cybersicurezza, procedure di
condivisione delle informazioni, anche con gli operatori privati
interessati, ai fini della diffusione di allarmi relativi ad eventi
cibernetici e per la gestione delle crisi;
e) il Servizio Programmi industriali, tecnologici, di ricerca e
formazione svolge funzioni di indirizzo e gestione delle attivita'
svolte dall'Agenzia per promuovere l'autonomia strategica e la
sovranita' tecnologica nazionale. A tal fine, in particolare:
1) cura le attivita' dell'Agenzia volte alla promozione, allo
sviluppo e al finanziamento di specifici progetti e iniziative
nazionali e internazionali in materia di cybersicurezza, volti anche
a favorire il trasferimento tecnologico dei risultati della ricerca;
cura la partecipazione dell'Agenzia a progetti europei e
internazionali, nonche' l'utilizzazione dei fondi europei;
2) si occupa dello sviluppo di competenze e capacita'
industriali, tecnologiche e scientifiche, mediante il coinvolgimento
del sistema dell'universita' e della ricerca, nonche' del sistema
produttivo nazionale;
3) e' responsabile per la promozione e la costituzione di aree
dedicate allo sviluppo di capacita' e competenze nei settori avanzati
della cybersicurezza, nonche' alla realizzazione di studi di
fattibilita' e di analisi valutative finalizzati a tale scopo;
4) svolge i compiti necessari ad assicurare il funzionamento
del Centro nazionale di coordinamento in materia di cybersicurezza
nell'ambito industriale, tecnologico e della ricerca;
5) cura le attivita' necessarie alla costituzione ed alla
partecipazione a partenariati pubblico-privato sul territorio
nazionale, nonche' - previa autorizzazione del Presidente del
Consiglio dei ministri, resa anche in seno al Comitato di Vertice - a
consorzi, fondazioni o societa' con soggetti pubblici e privati,
italiani e stranieri;
6) promuove iniziative di formazione, tra le quali quelle
riservate ai giovani che aderiscono al servizio civile, nonche' di
crescita tecnico-professionale e qualificazione delle risorse umane
in materia di cybersicurezza, anche sulla base di convenzioni con
soggetti pubblici e privati;
f) il Servizio risorse umane e strumentali svolge funzioni di
indirizzo e gestione dell'attivita' amministrativa dell'Agenzia. A
tal fine, in particolare:
1) assicura la corretta ed efficace gestione del personale
dell'Agenzia, svolgendo funzioni di carattere ordinamentale e
procedurale in materia di reclutamento, incarichi, mobilita',
formazione, sviluppo professionale, valutazione del personale,
gestione dello stato giuridico, trattamento economico e di fine
rapporto, trattamento pensionistico;
2) cura e coordina l'acquisizione, la gestione, la crescita e
lo sviluppo professionale del personale dell'Agenzia, nonche' la
promozione delle pari opportunita';
3) provvede alle ispezioni, inchieste e controlli interni su
richiesta del direttore generale o del Vice direttore generale;
4) definisce il sistema di valutazione del personale, i piani
di assunzione e formazione, al fine di garantirne lo sviluppo
professionale e di assicurare la presenza delle competenze necessarie
ai fabbisogni dell'Agenzia, nonche' di migliorare le prestazioni
nell'ambito delle posizioni organizzative di appartenenza e
sviluppare le potenzialita' dei singoli dipendenti, secondo un
processo di adeguamento delle competenze funzionale all'evoluzione
dell'Agenzia;
5) assicura l'applicazione del decreto legislativo 9 aprile
2008, n. 81, in materia di tutela della salute e della sicurezza nei
luoghi di lavoro;
6) sovrintende alle politiche di bilancio, agli obblighi
contabili, agli adempimenti fiscali e alla gestione degli aspetti
finanziari e di tesoreria, curandone i relativi processi e procedure,
anche con l'eventuale supporto degli altri Servizi interessati;
7) cura e coordina le politiche di approvvigionamento e i
relativi processi sulla base delle esigenze manifestate dai Servizi
interessati;
8) gestisce le attivita' relative alla logistica e alla
manutenzione degli immobili e delle dotazioni dell'Agenzia;
9) cura i processi di pianificazione, sviluppo, ottimizzazione,
elaborazione delle future esigenze e manutenzione delle
infrastrutture, dei sistemi tecnologici e di telecomunicazione in
dotazione all'Agenzia, assicurandone la gestione tecnica ed il
funzionamento, anche in relazione al rispetto delle norme e dei
requisiti in materia di sicurezza informatica e di tutela dei dati
personali;
10) cura il contenzioso in materia di personale e di attivita'
negoziale, assicurando il supporto all'Avvocatura dello Stato;
g) il Servizio Strategie e cooperazione definisce gli indirizzi
strategici e gli strumenti di policy nazionali in materia di
cybersicurezza, ne monitora l'attuazione, nonche' mantiene e sviluppa
le relazioni e la cooperazione internazionale dell'Agenzia. A tal
fine, in particolare:
1) elabora le politiche nazionali in materia di cybersicurezza
e, in particolare, predispone ed aggiorna la strategia nazionale di
cybersicurezza, monitorandone la concreta attuazione;
2) contribuisce all'organizzazione di esercitazioni nazionali e
internazionali in materia di cybersicurezza, definendo gli scenari di
riferimento;
3) promuove, gestisce e supporta le relazioni internazionali
dell'Agenzia, sia a livello bilaterale sia multilaterale, anche
attraverso l'individuazione o la proposizione di rilevanti
iniziative;
4) coordina e svolge attivita' di cooperazione internazionale
in materia di cybersicurezza in cui e' coinvolta l'Agenzia, in
particolare, curando i rapporti con i competenti organismi,
istituzioni ed enti dell'Unione europea e di altre organizzazioni
internazionali, seguendo nelle competenti sedi istituzionali
internazionali le tematiche di cybersicurezza, nonche' assicurando,
attraverso il raccordo con le altre amministrazioni nazionali, la
definizione e il mantenimento di posizioni nazionali unitarie e
coerenti in materia di cybersicurezza;
5) promuove, nei confronti delle altre amministrazioni, delle
organizzazioni private, incluse le piccole e le medie imprese, e
della societa' civile nel pertinente insieme, la consapevolezza in
materia di cybersicurezza, al fine di contribuire allo sviluppo di
una cultura nazionale in materia.
Art. 13
Codice etico
1. Con provvedimento del Direttore generale e' adottato il codice
etico dell'Agenzia che individua i principi guida del comportamento
dei dipendenti di ruolo e di tutti coloro che operino a qualsiasi
titolo presso l'Agenzia ed e' istituito un garante del codice etico
ai fini del controllo della sua osservanza, individuato nell'ambito
del personale di ruolo dell'Agenzia. Al garante medesimo non sono
attribuiti compensi, gettoni di presenza, rimborsi spese indennita' o
emolumenti comunque denominati.
Art. 14
Comitati e commissioni
1. Al fine di assicurare l'efficace svolgimento di attivita' che
possano richiedere temporaneamente l'apporto di conoscenze,
competenze e professionalita' diversificate, il Direttore generale
puo' costituire, anche al di fuori delle strutture di cui
all'articolo 4, comma 5, specifici comitati e commissioni, con la
possibilita' di prevedere anche la partecipazione di soggetti
estranei alla pubblica amministrazione.
2. Per la partecipazione ai comitati e alle commissioni di cui al
comma 1 non sono previsti gettoni di presenza, compensi o rimborsi di
spese.
Art. 15
Sedi principale e secondarie
1. Ai sensi dell'articolo 5, comma 1, del decreto-legge, l'Agenzia
ha sede principale in Roma.
2. Per motivate esigenze istituzionali e nel rispetto dei vincoli
di bilancio e tenuto conto della dotazione organica dell'Agenzia, su
proposta del Direttore generale, il Comitato di Vertice puo'
stabilire la costituzione di una o piu' sedi secondarie in Italia.
3. Lo svolgimento delle funzioni dell'Agenzia di natura
internazionale possono essere assicurate anche mediante apposite
unita' distaccate presso enti e istituzioni dell'Unione europea
ovvero, d'intesa con il Ministero degli affari esteri e della
cooperazione internazionale, presso le Ambasciate e le Rappresentanze
italiane operanti nel contesto dell'Unione europea e delle
organizzazioni internazionali.
Titolo III
DISPOSIZIONI TRANSITORIE E FINALI
Art. 16
Regolamenti e disciplinari
1. Il Direttore generale adotta ogni provvedimento, tra cui
regolamenti e disciplinari, necessario all'attuazione delle funzioni
dell'Agenzia, anche in attuazione della normativa vigente.
Art. 17
Attuazione
1. In sede di prima applicazione, sino al raggiungimento della
dotazione organica complessiva prevista dall'articolo 12, comma 4,
del decreto-legge, l'organizzazione dell'Agenzia definita dal
presente regolamento, con particolare riferimento alle modalita' di
attivazione delle articolazioni di cui agli articoli 4 e 12, viene
progressivamente disposta, con provvedimento del direttore generale,
secondo criteri di economicita', efficienza ed efficacia dell'azione
amministrativa.
Art. 18
Entrata in vigore
1. Il presente regolamento entra in vigore il giorno successivo a
quello della sua pubblicazione nella Gazzetta Ufficiale della
Repubblica italiana.
Il presente decreto munito del sigillo dello Stato sara' inserito
nella Raccolta ufficiale degli atti normativi della Repubblica
italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo
osservare.
Roma, 9 dicembre 2021
Il Presidente
del Consiglio dei ministri
Draghi
Il Ministro dell'economia
e delle finanze
Franco
Visto, il Guardasigilli: Cartabia
Registrato alla Corte dei conti il 22 dicembre 2021
Ufficio di controllo sugli atti della Presidenza del Consiglio, del
Ministero della giustizia e del Ministero degli affari esteri,
registrazione n. 3022