Doctrine
Doctrine
AccediRegistratiAccediRegistrati
Decreto legislativo 4 settembre 2024, n. 138

Informazioni sulla legge

Data d'entrata in vigore : 16 ottobre 2024
Data dell'ultima modifica : 16 ottobre 2024

Commentari86

Mostra tutto (86)
  • 1il primo codice dall'UE
    Luisa Di Giacomo · https://www.diritto.it/ · 26 dicembre 2025
  • 2in vigore i divieti dell'Europa
    Annamaria Villafrate · https://ildiritto.it/ · 4 febbraio 2025
  • 3Art. 30 codice delle comunicazioni elettroniche
    https://www.brocardi.it/
  • 4Direttiva Nis 2 e linee guida ACN: ambiti di applicazione e misure di sicurezza per i soggetti obbligatiAccesso limitato
    Luca Iadecola · https://www.altalex.com/ · 20 dicembre 2024
  • 5IL DLGS CYBERSICUREZZA - Cybersicurezza: operativa dal 16 ottobre la disciplina di sistema che riordina il settoreAccesso limitato
    https://ntplusdiritto.ilsole24ore.com/ · 20 novembre 2024
Mostra tutto (86)

Giurisprudenza8

Mostra tutto (8)
  • 1Corte d'Appello Caltanissetta, sentenza 14/04/2025, n. 144
    Provvedimento: REPUBBLICA ITALIANA IN NOME DEL POPOLO ITALIANO LA CORTE DI APPELLO DI CALTANISSETTA composta dai Magistrati dr. Roberto Rezzonico Presidente dr. Emanuele De Gregorio Consigliere dr.ssa Maria UC NG Consigliere rel. riunito in camera di consiglio ha pronunciato la seguente SENTENZA nel procedimento civile iscritto al n. 4/2020 da (C.F. ), nata a [...] il Parte_1 C.F._1 09/99/1973 ed ivi residente in [...], elettivamente domiciliata in Niscemi presso lo studio del difensore, Via Sampieri n. 309, rappresentata e difesa dall'Avv. UC Antonella Spata; Appellante contro (già (C.F. ), in persona Controparte_1 Controparte_2 P.IVA_1 del procuratore Avv. rappresentata e difesa …
     Leggi di più...
    • autorizzazione amministrativa·
    • contributo unificato·
    • giurisdizione civile·
    • spese processuali·
    • danno non patrimoniale·
    • installazione su suolo pubblico·
    • actio negatoria servitutis·
    • mutamento del rito·
    • Codice delle Comunicazioni Elettroniche·
    • onere della prova
  • 2TAR Firenze, sez. I, sentenza 27/04/2026, n. 787
    Provvedimento: Pubblicato il 27/04/2026 N. 00787/2026 REG.PROV.COLL. N. 00172/2026 REG.RIC. REPUBBLICA ITALIANA IN NOME DEL POPOLO ITALIANO Il Tribunale Amministrativo Regionale per la Toscana (Sezione Prima) ha pronunciato la presente SENTENZA sul ricorso numero di registro generale 172 DE 2026, proposto da MA S.r.l., GO S.r.l. e Pharma AL RO S.r.l., in persona dei rispettivi legali rappresentanti pro tempore , in relazione alla procedura CIG N.D., rappresentate e difese dagli avvocati Fabio Diozzi, Francesco Fonnesu e Miria DE Pace, con domicilio digitale come da PEC da Registri di Giustizia; contro CQ DE IO S.p.A., in persona DE legale rappresentante pro tempore , …
     Leggi di più...
    • art. 133 cod. proc. amm.·
    • inammissibilità ricorso·
    • giurisdizione esclusiva giudice amministrativo·
    • strumentalità funzionale·
    • difetto di giurisdizione·
    • art. 11 cod. proc. amm.·
    • art. 148 d.lgs. n. 36/2023·
    • giurisdizione ordinaria·
    • giurisdizione amministrativa·
    • core business·
    • appalti settori speciali·
    • art. 141 d.lgs. n. 36/2023·
    • compensazione spese lite
  • 3TAR Roma, sez. III, sentenza 15/01/2026, n. 786
    Provvedimento: Pubblicato il 15/01/2026 N. 00786/2026 REG.PROV.COLL. N. 09994/2025 REG.RIC. REPUBBLICA ITALIANA IN NOME DEL POPOLO ITALIANO Il Tribunale Amministrativo Regionale per il Lazio (Sezione Terza) ha pronunciato la presente SENTENZA sul ricorso numero di registro generale 9994 del 2025, proposto da EP Produzione S.p.A., in persona del legale rappresentante pro tempore , rappresentata e difesa dall'avvocato Gianluigi Pellegrino, con domicilio digitale come da PEC da Registri di Giustizia; contro Ministero delle Infrastrutture e dei Trasporti, in persona del legale rappresentante pro tempore , rappresentato e difeso dall'Avvocatura Generale dello Stato, domiciliataria …
     Leggi di più...
    • proprietà intellettuale·
    • diritto amministrativo·
    • art. 20 L.P. 20/2023·
    • accesso agli atti·
    • sicurezza pubblica·
    • accesso difensivo·
    • art. 18 D.M. 94/2024·
    • riservatezza informazioni commerciali·
    • giurisdizione amministrativa·
    • accesso ambientale·
    • art. 5-bis D.Lgs. 33/2013·
    • art. 116 c.p.a.·
    • art. 5 D.Lgs. 195/2005·
    • art. 24 L. 241/1990·
    • accesso civico generalizzato
  • 4TAR Venezia, sez. III, sentenza breve 03/04/2026, n. 730
    Provvedimento: Pubblicato il 03/04/2026 N. 00730/2026 REG.PROV.COLL. N. 00532/2026 REG.RIC. REPUBBLICA ITALIANA IN NOME DEL POPOLO ITALIANO Il Tribunale Amministrativo Regionale per il Veneto (Sezione Terza) ha pronunciato la presente SENTENZA ex art. 60 del cod. proc. amm.; sul ricorso numero di registro generale 532 del 2026, proposto dalla Veasyt s.r.l., in persona del legale rappresentante pro tempore , rappresentata e difesa dall'avvocato Alessandro Cocola, con domicilio digitale come da PEC da Registri di Giustizia; contro Azienda U.L.S.S. n. 3 “SS”, in persona del Direttore Generale pro tempore , rappresentata e difesa dall'avvocato Stefano Mirate, con domicilio …
     Leggi di più...
    • art. 60 cod. proc. amm.·
    • art. 50 D.Lgs. 36/2023·
    • art. 3 L. 241/1990·
    • spese processuali·
    • art. 108 D.Lgs. 36/2023·
    • Regolamento ACN·
    • art. 97 Cost.·
    • NIS 2·
    • cybersicurezza·
    • eccesso di potere·
    • difetto di istruttoria·
    • annullamento atti amministrativi·
    • affidamento diretto·
    • on premises vs cloud
  • 5TAR Roma, sez. I, decreto decisorio 24/10/2025, n. 3592
    Provvedimento: N. 07269/2025 REG.RIC. Pubblicato il 24/10/2025 N. 03592 /2025 REG.PROV.PRES. N. 07269/2025 REG.RIC. R E P U B B L I C A I T A L I A N A Tribunale Amministrativo Regionale per il Lazio (Sezione Prima) Il Presidente ha pronunciato il presente DECRETO sul ricorso numero di registro generale 7269 del 2025, proposto da A.Se.R S.p.A. - Azienda Servizi del Rhodense, in persona del legale rappresentante pro tempore, rappresentata e difesa dagli avvocati Paolo Re, Nicolò Adavastro, con domicilio digitale come da Registri di Giustizia; nei confronti Agenzia per la Cybersicurezza Nazionale, in persona del legale rappresentante pro tempore, rappresentata e difesa dall'Avvocatura Generale …
     Leggi di più...
Mostra tutto (8)

Versioni del testo

  • Capo I : Disposizioni generali
  • Articolo 1
    Art. 1. Oggetto 1. Il presente decreto stabilisce misure volte a garantire un livello elevato di sicurezza informatica in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell'Unione europea in modo da migliorare il funzionamento del mercato interno.
    2. Ai fini del comma 1, il presente decreto prevede:
    a) la Strategia nazionale di cybersicurezza, recante previsioni volte a garantire un livello elevato di sicurezza informatica;
    b) l'integrazione del quadro di gestione delle crisi informatiche, nel contesto dell'organizzazione nazionale per la gestione delle crisi che coinvolgono aspetti di cybersicurezza, di cui all' articolo 10 del decreto-legge 4 giugno 2021, n. 82 , convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109 ;
    c) la conferma dell'Agenzia per la cybersicurezza nazionale quale:
    1) Autorita' nazionale competente NIS, disciplinandone i poteri inerenti all'implementazione e all'attuazione del presente decreto;
    2) Punto di contatto unico NIS, assicurando il raccordo nazionale e transfrontaliero;
    3) Gruppo di intervento nazionale per la sicurezza informatica in caso di incidente in ambito nazionale (CSIRT Italia);
    d) la designazione dell'Agenzia per la cybersicurezza nazionale, con funzioni di coordinatore ai sensi dell' articolo 9, paragrafo 2, della direttiva (UE) 2022/2555 , e del Ministero della difesa, ciascuno per gli ambiti di competenza indicati all'articolo 2, comma 1, lettera g), quali Autorita' nazionali di gestione delle crisi informatiche su vasta scala, assicurando la coerenza con il quadro nazionale esistente in materia di gestione generale delle crisi informatiche, fermi restando i compiti del Nucleo per la cybersicurezza di cui all' articolo 9 del decreto-legge 14 giugno 2021, n. 82 ;
    e) l'individuazione di Autorita' di settore NIS che collaborano con l'Agenzia per la cybersicurezza nazionale, supportandone le funzioni svolte quale Autorita' nazionale competente NIS e Punto di contatto unico NIS;
    f) l'indicazione dei criteri per l'individuazione dei soggetti a cui si applica il presente decreto e la definizione dei relativi obblighi in materia di misure di gestione dei rischi per la sicurezza informatica e di notifica di incidente;
    g) l'adozione di misure in materia di cooperazione e di condivisione delle informazioni ai fini dell'applicazione del presente decreto, in particolare, attraverso la partecipazione nazionale a livello dell'Unione europea:
    1) al Gruppo di cooperazione NIS tra autorita' competenti NIS e tra punti di contatto unici degli Stati membri dell'Unione europea, nell'ottica di incrementare la fiducia e la collaborazione a livello unionale;
    2) alla Rete delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe) al fine di sostenere la gestione coordinata a livello operativo degli incidenti e delle crisi cibernetiche su vasta scala e di garantire il regolare scambio di informazioni pertinenti tra gli Stati membri e le istituzioni, gli organi e gli organismi dell'Unione europea;
    3) alla Rete di CSIRT nazionali nell'ottica di assicurare una cooperazione, sul piano tecnico, rapida ed efficace.
    NOTE

    Avvertenza:
    Il testo delle note qui pubblicato e' stato redatto dall'amministrazione competente per materia, ai sensi dell'art. 10, commi 2 e 3, del testo unico delle disposizioni sulla promulgazione delle leggi, sull'emanazione dei decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali della Repubblica italiana, approvato con D.P.R. 28 dicembre 1985, n. 1092 , al solo fine di facilitare la lettura delle disposizioni di legge, modificate o alle quali e' operato il rinvio. Restano invariati il valore e l'efficacia degli atti legislativi qui trascritti.
    Per le direttive CEE vengono forniti gli estremi di pubblicazione nella Gazzetta Ufficiale delle Comunita' europee (GUUE).
    Note alle premesse:
    L' art. 76 della Costituzione stabilisce che l'esercizio della funzione legislativa non puo' essere delegato al Governo se non con determinazione di principi e criteri direttivi e soltanto per tempo limitato e per oggetti definiti.
    L' art. 87, quinto comma, della Costituzione conferisce al Presidente della Repubblica il potere di promulgare le leggi ed emanare i decreti aventi valore di legge e i regolamenti.
    - Si riporta l' articolo 14 della legge 23 agosto 1988, n. 400 (Disciplina dell'attivita' di Governo e ordinamento della Presidenza del Consiglio dei Ministri), pubblicata nella Gazzetta Ufficiale 12 settembre 1988, n. 214, S.O. :
    «Art. 14 (Decreti legislativi). - 1. I decreti legislativi adottati dal Governo ai sensi dell' articolo 76 della Costituzione sono emanati dal Presidente della Repubblica con la denominazione di "decreto legislativo" e con l'indicazione, nel preambolo, della legge di delegazione, della deliberazione del Consiglio dei ministri e degli altri adempimenti del procedimento prescritti dalla legge di delegazione.
    2. L'emanazione del decreto legislativo deve avvenire entro il termine fissato dalla legge di delegazione; il testo del decreto legislativo adottato dal Governo e' trasmesso al Presidente della Repubblica, per la emanazione, almeno venti giorni prima della scadenza.
    3. Se la delega legislativa si riferisce ad una pluralita' di oggetti distinti suscettibili di separata disciplina, il Governo puo' esercitarla mediante piu' atti successivi per uno o piu' degli oggetti predetti. In relazione al termine finale stabilito dalla legge di delegazione, il Governo informa periodicamente le Camere sui criteri che segue nell'organizzazione dell'esercizio della delega.
    4. In ogni caso, qualora il termine previsto per l'esercizio della delega ecceda in due anni, il Governo e' tenuto a richiedere il parere delle Camere sugli schemi dei decreti delegati. Il parere e' espresso dalle Commissioni permanenti delle due Camere competenti per materia entro sessanta giorni, indicando specificamente le eventuali disposizioni non ritenute corrispondenti alle direttive della legge di delegazione. Il Governo, nei trenta giorni successivi, esaminato il parere, ritrasmette, con le sue osservazioni e con eventuali modificazioni, i testi alle Commissioni per il parere definitivo che deve essere espresso entro trenta giorni.».
    - Si riportano gli articoli 31 e 32 della legge 24 dicembre 2012, n. 234 (Norme generali sulla partecipazione dell'Italia alla formazione e all'attuazione della normativa e delle politiche dell'Unione europea), pubblicata nella Gazzetta Ufficiale 4 gennaio 2013, n. 3:
    «Art. 31 (Procedure per l'esercizio delle deleghe legislative conferite al Governo con la legge di delegazione europea). - 1. In relazione alle deleghe legislative conferite con la legge di delegazione europea per il recepimento delle direttive, il Governo adotta i decreti legislativi entro il termine di quattro mesi antecedenti a quello di recepimento indicato in ciascuna delle direttive; per le direttive il cui termine cosi' determinato sia gia' scaduto alla data di entrata in vigore della legge di delegazione europea, ovvero scada nei tre mesi successivi, il Governo adotta i decreti legislativi di recepimento entro tre mesi dalla data di entrata in vigore della medesima legge; per le direttive che non prevedono un termine di recepimento, il Governo adotta i relativi decreti legislativi entro dodici mesi dalla data di entrata in vigore della legge di delegazione europea.
    2. I decreti legislativi sono adottati, nel rispetto dell' articolo 14 della legge 23 agosto 1988, n. 400 , su proposta del Presidente del Consiglio dei Ministri o del Ministro per gli affari europei e del Ministro con competenza prevalente nella materia, di concerto con i Ministri degli affari esteri, della giustizia, dell'economia e delle finanze e con gli altri Ministri interessati in relazione all'oggetto della direttiva. I decreti legislativi sono accompagnati da una tabella di concordanza tra le disposizioni in essi previste e quelle della direttiva da recepire, predisposta dall'amministrazione con competenza istituzionale prevalente nella materia.
    3. La legge di delegazione europea indica le direttive in relazione alle quali sugli schemi dei decreti legislativi di recepimento e' acquisito il parere delle competenti Commissioni parlamentari della Camera dei deputati e del Senato della Repubblica. In tal caso gli schemi dei decreti legislativi sono trasmessi, dopo l'acquisizione degli altri pareri previsti dalla legge, alla Camera dei deputati e al Senato della Repubblica affinche' su di essi sia espresso il parere delle competenti Commissioni parlamentari. Decorsi quaranta giorni dalla data di trasmissione, i decreti sono emanati anche in mancanza del parere. Qualora il termine per l'espressione del parere parlamentare di cui al presente comma ovvero i diversi termini previsti dai commi 4 e 9 scadano nei trenta giorni che precedono la scadenza dei termini di delega previsti ai commi 1 o 5 o successivamente, questi ultimi sono prorogati di tre mesi.
    4. Gli schemi dei decreti legislativi recanti recepimento delle direttive che comportino conseguenze finanziarie sono corredati della relazione tecnica di cui all' articolo 17, comma 3, della legge 31 dicembre 2009, n. 196 . Su di essi e' richiesto anche il parere delle Commissioni parlamentari competenti per i profili finanziari. Il Governo, ove non intenda conformarsi alle condizioni formulate con riferimento all'esigenza di garantire il rispetto dell' articolo 81, quarto comma, della Costituzione , ritrasmette alle Camere i testi, corredati dei necessari elementi integrativi d'informazione, per i pareri definitivi delle Commissioni parlamentari competenti per i profili finanziari, che devono essere espressi entro venti giorni.
    5. Entro ventiquattro mesi dalla data di entrata in vigore di ciascuno dei decreti legislativi di cui al comma 1, nel rispetto dei principi e criteri direttivi fissati dalla legge di delegazione europea, il Governo puo' adottare, con la procedura indicata nei commi 2, 3 e 4, disposizioni integrative e correttive dei decreti legislativi emanati ai sensi del citato comma 1, fatto salvo il diverso termine previsto dal comma 6.
    6. Con la procedura di cui ai commi 2, 3 e 4 il Governo puo' adottare disposizioni integrative e correttive di decreti legislativi emanati ai sensi del comma 1, al fine di recepire atti delegati dell'Unione europea di cui all'articolo 290 del Trattato sul funzionamento dell'Unione europea, che modificano o integrano direttive recepite con tali decreti legislativi. Le disposizioni integrative e correttive di cui al primo periodo sono adottate nel termine di cui al comma 5 o nel diverso termine fissato dalla legge di delegazione europea. Resta ferma la disciplina di cui all'articolo 36 per il recepimento degli atti delegati dell'Unione europea che recano meri adeguamenti tecnici.
    7. I decreti legislativi di recepimento delle direttive previste dalla legge di delegazione europea, adottati, ai sensi dell' articolo 117, quinto comma, della Costituzione , nelle materie di competenza legislativa delle regioni e delle province autonome, si applicano alle condizioni e secondo le procedure di cui all'articolo 41, comma 1.
    8. I decreti legislativi adottati ai sensi dell'articolo 33 e attinenti a materie di competenza legislativa delle regioni e delle province autonome sono emanati alle condizioni e secondo le procedure di cui all'articolo 41, comma 1.
    9. Il Governo, quando non intende conformarsi ai pareri parlamentari di cui al comma 3, relativi a sanzioni penali contenute negli schemi di decreti legislativi recanti attuazione delle direttive, ritrasmette i testi, con le sue osservazioni e con eventuali modificazioni, alla Camera dei deputati e al Senato della Repubblica. Decorsi venti giorni dalla data di ritrasmissione, i decreti sono emanati anche in mancanza di nuovo parere.»
    «Art. 32 (Principi e criteri direttivi generali di delega per l'attuazione del diritto dell'Unione europea). - 1. Salvi gli specifici principi e criteri direttivi stabiliti dalla legge di delegazione europea e in aggiunta a quelli contenuti nelle direttive da attuare, i decreti legislativi di cui all'articolo 31 sono informati ai seguenti principi e criteri direttivi generali:
    a) le amministrazioni direttamente interessate provvedono all'attuazione dei decreti legislativi con le ordinarie strutture amministrative, secondo il principio della massima semplificazione dei procedimenti e delle modalita' di organizzazione e di esercizio delle funzioni e dei servizi;
    b) ai fini di un migliore coordinamento con le discipline vigenti per i singoli settori interessati dalla normativa da attuare, sono introdotte le occorrenti modificazioni alle discipline stesse, anche attraverso il riassetto e la semplificazione normativi con l'indicazione esplicita delle norme abrogate, fatti salvi i procedimenti oggetto di semplificazione amministrativa ovvero le materie oggetto di delegificazione;
    c) gli atti di recepimento di direttive dell'Unione europea non possono prevedere l'introduzione o il mantenimento di livelli di regolazione superiori a quelli minimi richiesti dalle direttive stesse, ai sensi dell' articolo 14, commi 24-bis , 24-ter e 24-quater, della legge 28 novembre 2005, n. 246 ;
    d) al di fuori dei casi previsti dalle norme penali vigenti, ove necessario per assicurare l'osservanza delle disposizioni contenute nei decreti legislativi, sono previste sanzioni amministrative e penali per le infrazioni alle disposizioni dei decreti stessi. Le sanzioni penali, nei limiti, rispettivamente, dell'ammenda fino a 150.000 euro e dell'arresto fino a tre anni, sono previste, in via alternativa o congiunta, solo nei casi in cui le infrazioni ledano o espongano a pericolo interessi costituzionalmente protetti. In tali casi sono previste: la pena dell'ammenda alternativa all'arresto per le infrazioni che espongano a pericolo o danneggino l'interesse protetto; la pena dell'arresto congiunta a quella dell'ammenda per le infrazioni che rechino un danno di particolare gravita'.
    Nelle predette ipotesi, in luogo dell'arresto e dell'ammenda, possono essere previste anche le sanzioni alternative di cui agli articoli 53 e seguenti del decreto legislativo 28 agosto 2000, n. 274 , e la relativa competenza del giudice di pace. La sanzione amministrativa del pagamento di una somma non inferiore a 150 euro e non superiore a 150.000 euro e' prevista per le infrazioni che ledono o espongono a pericolo interessi diversi da quelli indicati dalla presente lettera. Nell'ambito dei limiti minimi e massimi previsti, le sanzioni indicate dalla presente lettera sono determinate nella loro entita', tenendo conto della diversa potenzialita' lesiva dell'interesse protetto che ciascuna infrazione presenta in astratto, di specifiche qualita' personali del colpevole, comprese quelle che impongono particolari doveri di prevenzione, controllo o vigilanza, nonche' del vantaggio patrimoniale che l'infrazione puo' recare al colpevole ovvero alla persona o all'ente nel cui interesse egli agisce. Ove necessario per assicurare l'osservanza delle disposizioni contenute nei decreti legislativi, sono previste inoltre le sanzioni amministrative accessorie della sospensione fino a sei mesi e, nei casi piu' gravi, della privazione definitiva di facolta' e diritti derivanti da provvedimenti dell'amministrazione, nonche' sanzioni penali accessorie nei limiti stabiliti dal codice penale .
    Al medesimo fine e' prevista la confisca obbligatoria delle cose che servirono o furono destinate a commettere l'illecito amministrativo o il reato previsti dai medesimi decreti legislativi, nel rispetto dei limiti stabiliti dall' articolo 240, terzo e quarto comma, del codice penale e dall' articolo 20 della legge 24 novembre 1981, n. 689 , e successive modificazioni. Entro i limiti di pena indicati nella presente lettera sono previste sanzioni anche accessorie identiche a quelle eventualmente gia' comminate dalle leggi vigenti per violazioni omogenee e di pari offensivita' rispetto alle infrazioni alle disposizioni dei decreti legislativi. Nelle materie di cui all' articolo 117, quarto comma, della Costituzione , le sanzioni amministrative sono determinate dalle regioni;
    e) al recepimento di direttive o all'attuazione di altri atti dell'Unione europea che modificano precedenti direttive o atti gia' attuati con legge o con decreto legislativo si procede, se la modificazione non comporta ampliamento della materia regolata, apportando le corrispondenti modificazioni alla legge o al decreto legislativo di attuazione della direttiva o di altro atto modificato;
    f) nella redazione dei decreti legislativi di cui all'articolo 31 si tiene conto delle eventuali modificazioni delle direttive dell'Unione europea comunque intervenute fino al momento dell'esercizio della delega;
    g) quando si verifichino sovrapposizioni di competenze tra amministrazioni diverse o comunque siano coinvolte le competenze di piu' amministrazioni statali, i decreti legislativi individuano, attraverso le piu' opportune forme di coordinamento, rispettando i principi di sussidiarieta', differenziazione, adeguatezza e leale collaborazione e le competenze delle regioni e degli altri enti territoriali, le procedure per salvaguardare l'unitarieta' dei processi decisionali, la trasparenza, la celerita', l'efficacia e l'economicita' nell'azione amministrativa e la chiara individuazione dei soggetti responsabili;
    h) qualora non siano di ostacolo i diversi termini di recepimento, vengono attuate con un unico decreto legislativo le direttive che riguardano le stesse materie o che comunque comportano modifiche degli stessi atti normativi;
    i) e' assicurata la parita' di trattamento dei cittadini italiani rispetto ai cittadini degli altri Stati membri dell'Unione europea e non puo' essere previsto in ogni caso un trattamento sfavorevole dei cittadini italiani.»
    - Si riporta l' articolo 3 della legge 21 febbraio 2024, n. 15 (Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti normativi dell'Unione europea - Legge di delegazione europea 2022-2023), pubblicata nella Gazzetta Ufficiale 24 febbraio 2024, n. 46:
    «Art. 3. (Principi e criteri direttivi per l'esercizio della delega per il recepimento della direttiva (UE) 2022/2555 , relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS2)). - 1. Nell'esercizio della delega per il recepimento della direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022 , il Governo, sentita l'Agenzia per la cybersicurezza nazionale, osserva, oltre ai principi e criteri direttivi generali di cui all' articolo 32 della legge 24 dicembre 2012, n. 234 , anche i seguenti principi e criteri direttivi specifici:
    a) individuare i criteri in base ai quali un ente pubblico puo' essere considerato pubblica amministrazione ai fini dell'applicazione delle disposizioni della direttiva (UE) 2022/2555 , anche considerando la possibilita' di applicazione della direttiva medesima ai comuni e alle province secondo principi di gradualita', proporzionalita' e adeguatezza;
    b) escludere dall'ambito di applicazione delle disposizioni della direttiva (UE) 2022/2555 gli enti della pubblica amministrazione operanti nei settori di cui all'articolo 2, paragrafo 7, della direttiva medesima, compresi gli organismi di informazione per la sicurezza ai quali si applicano le disposizioni della legge 3 agosto 2007, n. 124 ;
    c) avvalersi della facolta' di cui all' articolo 2, paragrafo 8, della direttiva (UE) 2022/2555 , prevedendo che con uno o piu' decreti del Presidente del Consiglio dei ministri, adottati su proposta delle competenti amministrazioni, siano esentati soggetti specifici che svolgono attivita' nei settori ivi indicati o che forniscono servizi esclusivamente agli enti della pubblica amministrazione di cui all'articolo 2, paragrafo 7, della medesima direttiva;
    d) confermare la distinzione tra l'Agenzia per la cybersicurezza nazionale, quale autorita' nazionale competente e punto di contatto, ai sensi dell' articolo 8 della direttiva (UE) 2022/2555 , e le autorita' di settore operanti negli ambiti di cui agli allegati I e II alla medesima direttiva;
    e) in relazione all'istituzione del team di risposta agli incidenti di sicurezza informatica (CSIRT), di cui all' articolo 10 della direttiva (UE) 2022/2555 , confermare le disposizioni dell' articolo 8 del decreto legislativo 18 maggio 2018, n. 65 , in materia di istituzione del CSIRT Italia, nonche' ampliare quanto previsto dal medesimo decreto legislativo prevedendo la collaborazione tra tutte le strutture pubbliche con funzioni di Computer Emergency Response Team (CERT) coinvolte in caso di eventi malevoli per la sicurezza informatica;
    f) prevedere un regime transitorio per i soggetti gia' sottoposti alla disciplina del decreto legislativo 18 maggio 2018, n. 65 , recante attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016 , garantendo termini congrui di adeguamento, ai fini della migliore applicazione delle disposizioni previste dalla direttiva (UE) 2022/2555 ;
    g) prevedere meccanismi che consentano la registrazione dei soggetti essenziali e importanti, di cui all' articolo 3 della direttiva (UE) 2022/2555 , per la comunicazione dei dati previsti dal paragrafo 4 del medesimo articolo 3, compresi i soggetti che gestiscono servizi connessi o strumentali alle attivita' oggetto delle disposizioni della direttiva medesima relative al settore della cultura;
    h) in relazione alle misure di cui all' articolo 21, paragrafo 2, della direttiva (UE) 2022/2555 , prevedere l'individuazione, attraverso l'utilizzo di strumenti flessibili atti a corrispondere al rapido sviluppo tecnologico, delle tecnologie necessarie ad assicurare l'effettiva attivazione delle misure stesse. L'autorita' amministrativa individuata come responsabile di tale procedimento provvede altresi' all'aggiornamento degli strumenti adottati;
    i) introdurre nella legislazione vigente, anche in materia penale, le modifiche necessarie al fine di assicurare il corretto recepimento nell'ordinamento nazionale delle disposizioni della direttiva (UE) 2022/2555 in materia di divulgazione coordinata delle vulnerabilita';
    l) definire le competenze dell'Agenzia per l'Italia digitale e dell'Agenzia per la cybersicurezza nazionale in relazione alle attivita' previste dal regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014;
    m) individuare criteri oggettivi e proporzionati ai fini dell'applicazione degli obblighi informativi di cui all' articolo 23, paragrafo 2, della direttiva (UE) 2022/2555 ;
    n) rivedere il sistema sanzionatorio e il sistema di vigilanza ed esecuzione, in particolare:
    1) prevedendo sanzioni effettive, proporzionate e dissuasive rispetto alla gravita' della violazione degli obblighi derivanti dalla direttiva (UE) 2022/2555 , anche in deroga ai criteri e ai limiti previsti dall' articolo 32, comma 1, lettera d), della legge 24 dicembre 2012, n. 234 , e alla legge 24 novembre 1981, n. 689 , introducendo strumenti deflativi del contenzioso, quali la diffida ad adempiere;
    2) prevedendo che gli introiti derivanti dall'irrogazione delle sanzioni siano versati all'entrata del bilancio dello Stato per essere riassegnati all'apposito capitolo dello stato di previsione della spesa del Ministero dell'economia e delle finanze, di cui all' articolo 18 del decreto-legge 14 giugno 2021, n. 82 , convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109 , per incrementare la dotazione del bilancio dell'Agenzia per la cybersicurezza nazionale;
    o) assicurare il migliore coordinamento tra le disposizioni adottate ai sensi del presente articolo per il recepimento della direttiva (UE) 2022/2555 , le disposizioni adottate ai sensi dell'articolo 5 della presente legge per il recepimento della direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022 , nonche' le disposizioni del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, e quelle adottate ai sensi dell'articolo 16 della presente legge per l'adeguamento a quest'ultimo e per il recepimento della direttiva (UE) 2022/2556 del Parlamento europeo e del Consiglio, del 14 dicembre 2022 ;
    p) apportare alla normativa vigente tutte le modificazioni e le integrazioni occorrenti ad assicurare il coordinamento con le disposizioni emanate in attuazione del presente articolo.».
    - La direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022 , relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 e' pubblicata nella GUUE n. 17 del 27 dicembre 2022, serie L.
    - La comunicazione della Commissione, del 13 settembre 2023, relativa all'applicazione dell' articolo 4, paragrafi 1 e 2, della direttiva (UE) 2022/2555 e' pubblicata nella GUUE n. 328 del 18 settembre 2023, serie C;
    - La direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002 , relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) e' pubblicata nella G.U.C.E. 31 luglio 2002, n. 201, serie L;
    - Il regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE e' pubblicato nella GUUE del 28 agosto 2014 n. 257, serie L;
    - Il regolamento (UE) 2024/1183 del Parlamento europeo e del Consiglio, dell'11 aprile 2024, che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l'istituzione del quadro europeo relativo a un'identita' digitale e' pubblicato nella GUUE del 30 aprile 2024 serie L;
    - Il regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza») e' pubblicato nella GUUE del 7 giugno 2019 151 serie L;
    - La raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese e' pubblicata nella Gazzetta Ufficiale dell'Unione Europea del 20 maggio 2003, n. 124, serie L.
    - La direttiva 2013/40/UE del Parlamento europeo e del Consiglio, del 12 agosto 2013 , relativa agli attacchi contro i sistemi di informazione e che sostituisce la decisione quadro 2005/222/GAI del Consiglio e' pubblicata nella Gazzetta Ufficiale dell'Unione Europea del 14 agosto 2013;
    - Il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 e' pubblicato nella GUUE del 27 dicembre 2022 n. 133 serie L;
    - La direttiva (UE) 2022/2556 del Parlamento europeo e del Consiglio, del 14 dicembre 2022 , che modifica le direttive 2009/65/CE , 2009/138/CE , 2011/61/UE , 2013/36/UE , 2014/59/UE , 2014/65/UE , (UE) 2015/2366 e (UE) 2016/2341 per quanto riguarda la resilienza operativa digitale per il settore finanziario e' pubblicata nella GUUE del 27 dicembre 2022 n. 333;
    - La direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022 , relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio e' pubblicata nella GUUE del 27 dicembre 2022 n. 333, serie L;
    - Si riportano gli articoli 1 e 2 del decreto legislativo 23 giugno 2011, n. 118 (Disposizioni in materia di armonizzazione dei sistemi contabili e degli schemi di bilancio delle Regioni, degli enti locali e dei loro organismi, a norma degli articoli 1 e 2 della legge 5 maggio 2009, n. 42 ), pubblicato nella Gazzetta Ufficiale 26 luglio 2011, n. 172:
    «Art. 1 (Oggetto e ambito di applicazione). - 1. Ai sensi dell' art. 117, secondo comma, lettera e), della Costituzione , il presente titolo e il titolo III disciplinano l'armonizzazione dei sistemi contabili e degli schemi di bilancio delle Regioni, ad eccezione dei casi in cui il Titolo II disponga diversamente, con particolare riferimento alla fattispecie di cui all'art. 19, comma 2, lettera b), degli enti locali di cui all' art. 2 del decreto legislativo 18 agosto 2000, n. 267 , e dei loro enti e organismi strumentali, esclusi gli enti di cui al titolo II del presente decreto. A decorrere dal 1° gennaio 2015 cessano di avere efficacia le disposizioni legislative regionali incompatibili con il presente decreto.
    2. Ai fini del presente decreto:
    a) per enti strumentali si intendono gli enti di cui all'art. 11-ter, distinti nelle tipologie definite in corrispondenza delle missioni del bilancio;
    b) per organismi strumentali delle regioni e degli enti locali si intendono le loro articolazioni organizzative, anche a livello territoriale, dotate di autonomia gestionale e contabile, prive di personalita' giuridica. Le gestioni fuori bilancio autorizzate da legge e le istituzioni di cui all' art. 114, comma 2, del decreto legislativo 18 agosto 2000, n. 267 , sono organismi strumentali. Gli organismi strumentali sono distinti nelle tipologie definite in corrispondenza delle missioni del bilancio.
    3.
    4.
    5. Per gli enti coinvolti nella gestione della spesa sanitaria finanziata con le risorse destinate al Servizio sanitario nazionale, come individuati all'articolo 19, si applicano le disposizioni recate dal Titolo II.»
    «Art. 2 (Adozione di sistemi contabili omogenei). - 1. Le Regioni e gli enti locali di cui all' articolo 2 del decreto legislativo 18 agosto 2000, n. 267 adottano la contabilita' finanziaria cui affiancano, ai fini conoscitivi, un sistema di contabilita' economico-patrimoniale, garantendo la rilevazione unitaria dei fatti gestionali sia sotto il profilo finanziario che sotto il profilo economico-patrimoniale.
    2. Gli enti strumentali delle amministrazioni di cui al comma 1 che adottano la contabilita' finanziaria affiancano alla stessa, ai fini conoscitivi, un sistema di contabilita' economico-patrimoniale, garantendo la rilevazione unitaria dei fatti gestionali, sia sotto il profilo finanziario che sotto il profilo economico-patrimoniale.
    3. Le istituzioni degli enti locali di cui all' articolo 114 del decreto legislativo 18 agosto 2000, n. 267 e gli altri organismi strumentali delle amministrazioni pubbliche di cui al comma 1 adottano il medesimo sistema contabile dell'amministrazione di cui fanno parte.
    4.»
    - Si riporta l' articolo 19 del decreto-legge 22 giugno 2012, n. 83 (Misure urgenti per la crescita del Paese), convertito, con modificazioni, dalla legge 7 agosto 2012, n. 134 , pubblicato nella Gazzetta Ufficiale 26 giugno 2012, n. 147, S.O.:
    «Art. 19 (Istituzione dell'Agenzia per l'Italia digitale). - 1. E' istituita l'Agenzia per l'Italia Digitale, sottoposta alla vigilanza del Presidente del Consiglio dei Ministri o del Ministro da lui delegato.
    2. L'Agenzia opera sulla base di principi di autonomia organizzativa, tecnico-operativa, gestionale, di trasparenza e di economicita' e persegue gli obiettivi di efficacia, efficienza, imparzialita', semplificazione e partecipazione dei cittadini e delle imprese. Per quanto non previsto dal presente decreto all'Agenzia si applicano gli articoli 8 e 9 del decreto legislativo 30 luglio 1999, n. 300 .».
    - Si riporta l'articolo 3 della legge L. 21 febbraio 2024, n. 15 (Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea - Legge di delegazione europea 2022-2023), pubblicata nella Gazzetta Ufficiale 24 febbraio 2024, n. 46:
    «Art. 3 (Principi e criteri direttivi per l'esercizio della delega per il recepimento della direttiva (UE) 2022/2555 , relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS2)). - 1. Nell'esercizio della delega per il recepimento della direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022 , il Governo, sentita l'Agenzia per la cybersicurezza nazionale, osserva, oltre ai principi e criteri direttivi generali di cui all' articolo 32 della legge 24 dicembre 2012, n. 234 , anche i seguenti principi e criteri direttivi specifici:
    a) individuare i criteri in base ai quali un ente pubblico puo' essere considerato pubblica amministrazione ai fini dell'applicazione delle disposizioni della direttiva (UE) 2022/2555 , anche considerando la possibilita' di applicazione della direttiva medesima ai comuni e alle province secondo principi di gradualita', proporzionalita' e adeguatezza;
    b) escludere dall'ambito di applicazione delle disposizioni della direttiva (UE) 2022/2555 gli enti della pubblica amministrazione operanti nei settori di cui all'articolo 2, paragrafo 7, della direttiva medesima, compresi gli organismi di informazione per la sicurezza ai quali si applicano le disposizioni della legge 3 agosto 2007, n. 124 ;
    c) avvalersi della facolta' di cui all' articolo 2, paragrafo 8, della direttiva (UE) 2022/2555 , prevedendo che con uno o piu' decreti del Presidente del Consiglio dei ministri, adottati su proposta delle competenti amministrazioni, siano esentati soggetti specifici che svolgono attivita' nei settori ivi indicati o che forniscono servizi esclusivamente agli enti della pubblica amministrazione di cui all'articolo 2, paragrafo 7, della medesima direttiva;
    d) confermare la distinzione tra l'Agenzia per la cybersicurezza nazionale, quale autorita' nazionale competente e punto di contatto, ai sensi dell' articolo 8 della direttiva (UE) 2022/2555 , e le autorita' di settore operanti negli ambiti di cui agli allegati I e II alla medesima direttiva;
    e) in relazione all'istituzione del team di risposta agli incidenti di sicurezza informatica (CSIRT), di cui all' articolo 10 della direttiva (UE) 2022/2555 , confermare le disposizioni dell' articolo 8 del decreto legislativo 18 maggio 2018, n. 65 , in materia di istituzione del CSIRT Italia, nonche' ampliare quanto previsto dal medesimo decreto legislativo prevedendo la collaborazione tra tutte le strutture pubbliche con funzioni di Computer Emergency Response Team (CERT) coinvolte in caso di eventi malevoli per la sicurezza informatica;
    f) prevedere un regime transitorio per i soggetti gia' sottoposti alla disciplina del decreto legislativo 18 maggio 2018, n. 65 , recante attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016 , garantendo termini congrui di adeguamento, ai fini della migliore applicazione delle disposizioni previste dalla direttiva (UE) 2022/2555 ;
    g) prevedere meccanismi che consentano la registrazione dei soggetti essenziali e importanti, di cui all' articolo 3 della direttiva (UE) 2022/2555 , per la comunicazione dei dati previsti dal paragrafo 4 del medesimo articolo 3, compresi i soggetti che gestiscono servizi connessi o strumentali alle attivita' oggetto delle disposizioni della direttiva medesima relative al settore della cultura;
    h) in relazione alle misure di cui all' articolo 21, paragrafo 2, della direttiva (UE) 2022/2555 , prevedere l'individuazione, attraverso l'utilizzo di strumenti flessibili atti a corrispondere al rapido sviluppo tecnologico, delle tecnologie necessarie ad assicurare l'effettiva attivazione delle misure stesse. L'autorita' amministrativa individuata come responsabile di tale procedimento provvede altresi' all'aggiornamento degli strumenti adottati;
    i) introdurre nella legislazione vigente, anche in materia penale, le modifiche necessarie al fine di assicurare il corretto recepimento nell'ordinamento nazionale delle disposizioni della direttiva (UE) 2022/2555 in materia di divulgazione coordinata delle vulnerabilita';
    l) definire le competenze dell'Agenzia per l'Italia digitale e dell'Agenzia per la cybersicurezza nazionale in relazione alle attivita' previste dal regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014;
    m) individuare criteri oggettivi e proporzionati ai fini dell'applicazione degli obblighi informativi di cui all' articolo 23, paragrafo 2, della direttiva (UE) 2022/2555 ;
    n) rivedere il sistema sanzionatorio e il sistema di vigilanza ed esecuzione, in particolare:
    1) prevedendo sanzioni effettive, proporzionate e dissuasive rispetto alla gravita' della violazione degli obblighi derivanti dalla direttiva (UE) 2022/2555 , anche in deroga ai criteri e ai limiti previsti dall' articolo 32, comma 1, lettera d), della legge 24 dicembre 2012, n. 234 , e alla legge 24 novembre 1981, n. 689 , introducendo strumenti deflativi del contenzioso, quali la diffida ad adempiere;
    2) prevedendo che gli introiti derivanti dall'irrogazione delle sanzioni siano versati all'entrata del bilancio dello Stato per essere riassegnati all'apposito capitolo dello stato di previsione della spesa del Ministero dell'economia e delle finanze, di cui all' articolo 18 del decreto-legge 14 giugno 2021, n. 82 , convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109 , per incrementare la dotazione del bilancio dell'Agenzia per la cybersicurezza nazionale;
    o) assicurare il migliore coordinamento tra le disposizioni adottate ai sensi del presente articolo per il recepimento della direttiva (UE) 2022/2555 , le disposizioni adottate ai sensi dell'articolo 5 della presente legge per il recepimento della direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022 , nonche' le disposizioni del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, e quelle adottate ai sensi dell'articolo 16 della presente legge per l'adeguamento a quest'ultimo e per il recepimento della direttiva (UE) 2022/2556 del Parlamento europeo e del Consiglio, del 14 dicembre 2022 ;
    p) apportare alla normativa vigente tutte le modificazioni e le integrazioni occorrenti ad assicurare il coordinamento con le disposizioni emanate in attuazione del presente articolo.».
    - Si riporta il testo dell' articolo 8 del decreto legislativo 28 agosto 1997, n. 281 (Definizione ed ampliamento delle attribuzioni della Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e Bolzano ed unificazione, per le materie ed i compiti di interesse comune delle regioni, delle province e dei comuni, con la Conferenza Stato-citta' ed autonomie locali) pubblicato nella Gazzetta Ufficiale 30 agosto 1997, n. 202:
    «Art. 8. (Conferenza Stato-citta' ed autonomie locali e Conferenza unificata). - 1. La Conferenza Stato-citta' ed autonomie locali e' unificata per le materie ed i compiti di interesse comune delle regioni, delle province, dei comuni e delle comunita' montane, con la Conferenza Stato-regioni.
    2. La Conferenza Stato-citta' ed autonomie locali e' presieduta dal Presidente del Consiglio dei Ministri o, per sua delega, dal Ministro dell'interno o dal Ministro per gli affari regionali nella materia di rispettiva competenza; ne fanno parte altresi' il Ministro del tesoro e del bilancio e della programmazione economica, il Ministro delle finanze, il Ministro dei lavori pubblici, il Ministro della sanita', il presidente dell'Associazione nazionale dei comuni d'Italia - ANCI, il presidente dell'Unione province d'Italia - UPI ed il presidente dell'Unione nazionale comuni, comunita' ed enti montani - UNCEM. Ne fanno parte inoltre quattordici sindaci designati dall'ANCI e sei presidenti di provincia designati dall'UPI.
    Dei quattordici sindaci designati dall'ANCI cinque rappresentano le citta' individuate dall' articolo 17 della legge 8 giugno 1990, n. 142 . Alle riunioni possono essere invitati altri membri del Governo, nonche' rappresentanti di amministrazioni statali, locali o di enti pubblici.
    3. La Conferenza Stato-citta' ed autonomie locali e' convocata almeno ogni tre mesi, e comunque in tutti i casi il presidente ne ravvisi la necessita' o qualora ne faccia richiesta il presidente dell'ANCI, dell'UPI o dell'UNCEM.
    4. La Conferenza unificata di cui al comma 1 e' convocata dal Presidente del Consiglio dei Ministri. Le sedute sono presiedute dal Presidente del Consiglio dei Ministri o, su sua delega, dal Ministro per gli affari regionali o, se tale incarico non e' conferito, dal Ministro dell'interno.».

    Note all'art. 1:
    - Si riportano gli articoli 9 e 10 del decreto-legge 14 giugno 2021, n. 82 (Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale), pubblicato nella Gazzetta ufficiale 14 giugno 2021, n. 140, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109 (pubblicato nella Gazzetta Ufficiale del 4 agosto 2021, n. 185):
    «Art. 9 (Compiti del Nucleo per la cybersicurezza). - 1. Per le finalita' di cui all'articolo 8, il Nucleo per la cybersicurezza svolge i seguenti compiti:
    a) puo' formulare proposte di iniziative in materia di cybersicurezza del Paese, anche nel quadro del contesto internazionale in materia;
    b) promuove, sulla base delle direttive di cui all'articolo 2, comma 2, la programmazione e la pianificazione operativa della risposta a situazioni di crisi cibernetica da parte delle amministrazioni e degli operatori privati interessati e l'elaborazione delle necessarie procedure di coordinamento interministeriale, in raccordo con le pianificazioni di difesa civile e di protezione civile, anche nel quadro di quanto previsto dall' articolo 7-bis, comma 5, del decreto-legge 30 ottobre 2015, n. 174 , convertito, con modificazioni, dalla legge 11 dicembre 2015, n. 198 ;
    c) promuove e coordina lo svolgimento di esercitazioni interministeriali, ovvero la partecipazione nazionale a esercitazioni internazionali che riguardano la simulazione di eventi di natura cibernetica al fine di innalzare la resilienza del Paese;
    d) valuta e promuove, in raccordo con le amministrazioni competenti per specifici profili della cybersicurezza, procedure di condivisione delle informazioni, anche con gli operatori privati interessati, ai fini della diffusione di allarmi relativi ad eventi cibernetici e per la gestione delle crisi;
    e) acquisisce, anche per il tramite del CSIRT Italia, le comunicazioni circa i casi di violazioni o tentativi di violazione della sicurezza o di perdita dell'integrita' significativi ai fini del corretto funzionamento delle reti e dei servizi dagli organismi di informazione di cui agli articoli 4 , 6 e 7 della legge 3 agosto 2007, n. 124 , dalle Forze di polizia e, in particolare, dall'organo del Ministero dell'interno di cui all' articolo 7-bis del decreto-legge 27 luglio 2005, n. 144 , convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155 , dalle strutture del Ministero della difesa, nonche' dalle altre amministrazioni che compongono il Nucleo e dai gruppi di intervento per le emergenze informatiche (Computer Emergency Response Team - CERT) istituiti ai sensi della normativa vigente;
    f) riceve dal CSIRT Italia le notifiche di incidente ai sensi delle disposizioni vigenti;
    g) valuta se gli eventi di cui alle lettere e) e f) assumono dimensioni, intensita' o natura tali da non poter essere fronteggiati dalle singole amministrazioni competenti in via ordinaria, ma richiedono l'assunzione di decisioni coordinate in sede interministeriale, provvedendo in tal caso a informare tempestivamente il Presidente del Consiglio dei ministri, ovvero l'Autorita' delegata, ove istituita, sulla situazione in atto e allo svolgimento delle attivita' di raccordo e coordinamento di cui all'articolo 10, nella composizione ivi prevista.».
    «Art. 10 (Gestione delle crisi che coinvolgono aspetti di cybersicurezza). - 1. Nelle situazioni di crisi che coinvolgono aspetti di cybersicurezza, nei casi in cui il Presidente del Consiglio dei ministri convochi il CISR in materia di gestione delle predette situazioni di crisi, alle sedute del Comitato sono chiamati a partecipare il Ministro delegato per l'innovazione tecnologica e la transizione digitale e il direttore generale dell'Agenzia.
    2.
    3. In situazioni di crisi di natura cibernetica il Nucleo e' integrato, in ragione della necessita', con un rappresentante, rispettivamente, del Ministero della salute e del Ministero dell'interno-Dipartimento dei Vigili del fuoco, del soccorso pubblico e della difesa civile, in rappresentanza anche della Commissione interministeriale tecnica di difesa civile, autorizzati ad assumere decisioni che impegnano la propria amministrazione. Alle riunioni i componenti possono farsi accompagnare da altri funzionari della propria amministrazione. Alle stesse riunioni possono essere chiamati a partecipare rappresentanti di altre amministrazioni, anche locali, ed enti, anche essi autorizzati ad assumere decisioni, e di altri soggetti pubblici o privati eventualmente interessati. Per la partecipazione non sono previsti compensi, gettoni di presenza, rimborsi di spese o altri emolumenti comunque denominati.
    4. E' compito del Nucleo, nella composizione per la gestione delle crisi, di cui al comma 3, assicurare che le attivita' di reazione e stabilizzazione di competenza delle diverse amministrazioni ed enti rispetto a situazioni di crisi di natura cibernetica vengano espletate in maniera coordinata secondo quanto previsto dall'articolo 9, comma 1, lettera b).
    5. Il Nucleo, per l'espletamento delle proprie funzioni e fermo restando quanto previsto ai sensi dell' articolo 7-bis, comma 5, del decreto-legge 30 ottobre 2015, n. 174 , convertito, con modificazioni, dalla legge 11 dicembre 2015, n. 198 :
    a) mantiene costantemente informato il Presidente del Consiglio dei ministri, ovvero l'Autorita' delegata, ove istituita, sulla crisi in atto, predisponendo punti aggiornati di situazione;
    b) assicura il coordinamento per l'attuazione a livello interministeriale delle determinazioni del Presidente del Consiglio dei ministri per il superamento della crisi;
    c) raccoglie tutti i dati relativi alla crisi;
    d) elabora rapporti e fornisce informazioni sulla crisi e li trasmette ai soggetti pubblici e privati interessati;
    e) partecipa ai meccanismi europei di gestione delle crisi cibernetiche, assicurando altresi' i collegamenti finalizzati alla gestione della crisi con gli omologhi organismi di altri Stati, della NATO, dell'Unione europea o di organizzazioni internazionali di cui l'Italia fa parte.».
    - Per i riferimenti della direttiva (UE) 2022/2555 (misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) si veda nelle note alle premesse.
  • Articolo 2
    Art. 2. Definizioni 1. Ai fini del presente decreto si applicano le definizioni seguenti:
    a) «Strategia nazionale di cybersicurezza»: il quadro coerente che prevede gli obiettivi strategici e le priorita' in materia di cybersicurezza, nonche' la governance per il loro conseguimento, di cui all'articolo 9;
    b) «Agenzia per la cybersicurezza nazionale»: l'Agenzia per la cybersicurezza nazionale di cui all' articolo 5, comma 1, del decreto-legge 14 giugno 2021, n. 82 , convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109 ;
    c) «Nucleo per la cybersicurezza»: il Nucleo per la cybersicurezza di cui all' articolo 8 del decreto-legge 14 giugno 2021, n. 82 , convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109 ;
    d) «Autorita' nazionale competente NIS»: l'Agenzia per la cybersicurezza nazionale, quale Autorita' nazionale competente NIS di cui all'articolo 10, comma 1;
    e) «Punto di contatto unico NIS»: l'Agenzia per la cybersicurezza nazionale, quale Punto di contatto unico NIS di cui all'articolo 10, comma 2;
    f) «Autorita' di settore NIS»: le Amministrazioni designate quali Autorita' di settore di cui all'articolo 11, commi 1 e 2;
    g) «Autorita' nazionali di gestione delle crisi informatiche»: per la parte relativa alla resilienza nazionale di cui all' articolo 1 del decreto-legge n. 82 del 2021 , l'Agenzia per la cybersicurezza nazionale, con funzioni di coordinatore ai sensi dell' articolo 9, paragrafo 2, della direttiva (UE) 2022/2555 , e, per la parte relativa alla difesa dello Stato, il Ministero della difesa, quali Autorita' nazionali responsabili della gestione degli incidenti e delle crisi di cybersicurezza su vasta scala, di cui all' articolo 9 della direttiva (UE) 2022/2555 ;
    h) «CSIRT nazionali»: i Gruppi nazionali di risposta agli incidenti di sicurezza informatica di cui all' articolo 10, paragrafo 1, della direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022 ;
    i) «CSIRT Italia»: il Gruppo nazionale di risposta agli incidenti di sicurezza informatica ai sensi dell'articolo 15, comma 1, operante all'interno dell'Agenzia per la cybersicurezza nazionale;
    l) «Gruppo di cooperazione NIS»: il Gruppo di cooperazione di cui all'articolo 18, istituito ai sensi dell' articolo 14 della direttiva (UE) 2022/2555 ;
    m) «EU-CyCLONe»: la Rete delle organizzazioni di collegamento per le crisi informatiche di cui all'articolo 19, istituita ai sensi dell' articolo 16 della direttiva (UE) 2022/2555 ;
    n) «Rete di CSIRT nazionali»: la Rete di CSIRT nazionali di cui all'articolo 20, istituita ai sensi dell' articolo 15 della direttiva (UE) 2022/2555 ;
    o) «ENISA»: l'Agenzia dell'Unione europea per la sicurezza informatica, di cui all'articolo 3 del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019;
    p) «sistema informativo e di rete»:
    1) una rete di comunicazione elettronica ai sensi dell'articolo 2, comma 1, lettera vv), del decreto legislativo 1° agosto 2003, n. 259 ;
    2) qualsiasi dispositivo o gruppo di dispositivi interconnessi o collegati, uno o piu' dei quali eseguono, in base ad un programma, un trattamento automatico di dati digitali;
    3) i dati digitali conservati, elaborati, estratti o trasmessi per mezzo di reti o dispositivi di cui ai numeri 1) e 2), per il loro funzionamento, uso, protezione e manutenzione;
    q) «sicurezza dei sistemi informativi e di rete»: la capacita' dei sistemi informativi e di rete di resistere, con un determinato livello di affidabilita', agli eventi che potrebbero compromettere la disponibilita', l'autenticita', l'integrita' o la riservatezza dei dati conservati, trasmessi o elaborati o dei servizi offerti da tali sistemi informativi e di rete o accessibili attraverso di essi;
    r) «sicurezza informatica»: l'insieme delle attivita' necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche, cosi' come definito dall'articolo 2, punto 1), del regolamento (UE) 2019/881 ;
    s) «cybersicurezza»: ferme restando le definizioni di cui alle lettere q) e r), l'insieme delle attivita' di cui all' articolo 1, comma 1, lettera a), del decreto-legge 14 giugno 2021, n. 82 , convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109 ;
    t) «incidente»: un evento che compromette la disponibilita', l'autenticita', l'integrita' o la riservatezza di dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informativi e di rete o accessibili attraverso di essi;
    u) «quasi-incidente»: cd. near-miss, un evento che avrebbe potuto configurare un incidente senza che quest'ultimo si sia tuttavia verificato, ivi incluso il caso in cui l'incidente sia stato efficacemente evitato;
    v) «incidente di sicurezza informatica su vasta scala»: un incidente che causa un livello di perturbazione superiore alla capacita' di uno Stato membro di rispondervi o che ha un impatto significativo su almeno due Stati membri;
    z) «gestione degli incidenti»: le azioni e le procedure volte a prevenire, rilevare, analizzare e contenere un incidente o a rispondervi e recuperare da esso;
    aa) «rischio»: la combinazione dell'entita' dell'impatto di un incidente, in termini di danno o di perturbazione, e della probabilita' che quest'ultimo si verifichi;
    bb) «minaccia informatica»: qualsiasi circostanza, evento o azione che potrebbe danneggiare, perturbare o avere un impatto negativo di altro tipo su sistemi informativi e di rete, sugli utenti di tali sistemi e altre persone, cosi' come definita dall'articolo 2, punto 8), del regolamento (UE) 2019/881 ;
    cc) «minaccia informatica significativa»: una minaccia informatica che, in base alle sue caratteristiche tecniche, si presume possa avere un grave impatto sui sistemi informativi e di rete di un soggetto o sugli utenti dei servizi erogati da un soggetto causando perdite materiali o immateriali considerevoli;
    dd) «approccio multi-rischio»: cosiddetto approccio all-hazards, l'approccio alla gestione dei rischi che considera quelli derivanti da tutte le tipologie di minaccia ai sistemi informativi e di rete nonche' al loro contesto fisico, quali furti, incendi, inondazioni, interruzioni, anche parziali, delle telecomunicazioni e della corrente elettrica, e in generale accessi fisici non autorizzati;
    ee) «singoli punti di malfunzionamento»: cosiddetto single points of failure, singolo componente di un sistema da cui dipende il funzionamento del sistema stesso;
    ff) «prodotto TIC»: un elemento o un gruppo di elementi di un sistema informativo o di rete, cosi' come definito dall'articolo 2, punto 12), del regolamento (UE) 2019/881 ;
    gg) «servizio TIC»: un servizio consistente interamente o prevalentemente nella trasmissione, conservazione, recupero o elaborazione di informazioni per mezzo dei sistemi informativi e di rete cosi' come definito dall'articolo 2, punto 13), del regolamento (UE) 2019/881 ;
    hh) «processo TIC»: un insieme di attivita' svolte per progettare, sviluppare, fornire o mantenere un prodotto TIC o servizio TIC, cosi' come definito dall'articolo 2, punto 14), del regolamento (UE) 2019/881 ;
    ii) «vulnerabilita'»: un punto debole, una suscettibilita' o un difetto di prodotti TIC o servizi TIC che puo' essere sfruttato da una minaccia informatica;
    ll) «specifica tecnica»: una specifica tecnica quale definita all'articolo 2, punto 4), del regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio, del 25 ottobre 2012;
    mm) «punto di interscambio internet»: cosiddetto internet exchange point (IXP), un'infrastruttura di rete che consente l'interconnessione di piu' di due reti indipendenti (sistemi autonomi), principalmente al fine di agevolare lo scambio del traffico internet, che fornisce interconnessione soltanto ai sistemi autonomi e che non richiede che il traffico internet che passa tra qualsiasi coppia di sistemi autonomi partecipanti passi attraverso un terzo sistema autonomo ne' altera o interferisce altrimenti con tale traffico;
    nn) «sistema dei nomi di dominio»: cosiddetto domain name system (DNS), un sistema di nomi gerarchico e distribuito che consente l'identificazione di servizi e risorse su internet, permettendo ai dispositivi degli utenti finali di utilizzare i servizi di instradamento e connettivita' di internet al fine di accedere a tali servizi e risorse;
    oo) «fornitore di servizi di sistema dei nomi di dominio»: un soggetto che fornisce alternativamente:
    1) servizi di risoluzione dei nomi di dominio ricorsivi accessibili al pubblico per gli utenti finali di internet;
    2) servizi di risoluzione dei nomi di dominio autoritativi per uso da parte di terzi, fatta eccezione per i server dei nomi radice (cosiddetto root nameserver);
    pp) «gestore di registro dei nomi di dominio di primo livello»: cosiddetto registro dei nomi TLD (top level domain) o registry, soggetto cui e' stato delegato uno specifico dominio di primo livello e che e' responsabile dell'amministrazione di tale dominio di primo livello, compresa la registrazione dei nomi di dominio sotto tale dominio di primo livello, e del funzionamento tecnico di tale dominio di primo livello, compresi il funzionamento dei server dei nomi, la manutenzione delle banche dati e la distribuzione dei file di zona del dominio di primo livello tra i server dei nomi, indipendentemente dal fatto che una qualsiasi di tali operazioni sia effettuata dal soggetto stesso o sia esternalizzata, ma escludendo le situazioni in cui i nomi di dominio di primo livello sono utilizzati da un registro esclusivamente per uso proprio;
    qq) «fornitore di servizi di registrazione di nomi di dominio»: un registrar o un agente che agisce per conto di registrar, come un fornitore o un rivenditore di servizi di registrazione per la privacy o di proxy;
    rr) «servizio digitale»: qualsiasi servizio della societa' dell'informazione, vale a dire qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi, quale definito all' articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio, del 9 settembre 2015 ;
    ss) «servizio fiduciario»: un servizio fiduciario quale definito all'articolo 3, punto 16), del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2024;
    tt) «prestatore di servizi fiduciari»: una persona fisica o giuridica che presta uno o piu' servizi fiduciari, o come prestatore di servizi fiduciari qualificato o come prestatore di servizi fiduciari non qualificato, quale definito all'articolo 3, punto 19), del regolamento (UE) n. 910/2014;
    uu) «servizio fiduciario qualificato»: un servizio fiduciario che soddisfa i requisiti pertinenti stabiliti nel regolamento (UE) n. 910/2014, ai sensi dell'articolo 3, punto 17) dello stesso;
    vv) «prestatore di servizi fiduciari qualificato»: un prestatore di servizi fiduciari che presta uno o piu' servizi fiduciari qualificati e cui l'organismo di vigilanza assegna la qualifica di prestatore di servizi fiduciari qualificato, quale definito all'articolo 3, punto 20), del regolamento (UE) n. 910/2014;
    zz) «mercato online»: un servizio che utilizza un software, compresi siti web, parte di siti web o un'applicazione, gestito da o per conto del professionista, che permette ai consumatori di concludere contratti a distanza con altri professionisti o consumatori, quale definito all' articolo 2, lettera n), della direttiva 2005/29/CE del Parlamento europeo e del Consiglio, dell'11 maggio 2005 ;
    aaa) «motore di ricerca online»: un servizio digitale che consente all'utente di formulare domande al fine di effettuare ricerche, in linea di principio, su tutti i siti web, o su tutti i siti web in una lingua particolare, sulla base di un'interrogazione su qualsiasi tema sotto forma di parola chiave, richiesta vocale, frase o di altro input, e che restituisce i risultati in qualsiasi formato in cui possono essere trovate le informazioni relative al contenuto richiesto, quale definito all'articolo 2, punto 5), del regolamento (UE) 2019/1150 del Parlamento europeo e del Consiglio, del 20 giugno 2019;
    bbb) «servizio di cloud computing»: un servizio digitale che consente l'amministrazione su richiesta di un pool scalabile ed elastico di risorse di calcolo condivisibili e l'ampio accesso remoto a quest'ultimo, anche ove tali risorse sono distribuite in varie ubicazioni;
    ccc) «servizio di data center»: un servizio che comprende strutture, o gruppi di strutture, dedicate a ospitare in modo centralizzato, interconnettere e far funzionare apparecchiature informatiche e di rete che forniscono servizi di conservazione, elaborazione e trasporto di dati insieme a tutti gli impianti e le infrastrutture per la distribuzione dell'energia e il controllo ambientale;
    ddd) «rete di distribuzione dei contenuti»: cosiddetta content delivery network (CDN), una rete di server distribuiti geograficamente allo scopo di garantire l'elevata disponibilita', l'accessibilita' o la rapida distribuzione di contenuti e servizi digitali agli utenti di internet per conto di fornitori di contenuti e servizi;
    eee) «piattaforma di servizi di social network»: una piattaforma che consente agli utenti finali di entrare in contatto, condividere, scoprire e comunicare gli uni con gli altri su molteplici dispositivi, in particolare, attraverso chat, post, video e raccomandazioni;
    fff) «rete pubblica di comunicazione elettronica»: una rete di comunicazione elettronica, utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico, che supporta il trasferimento di informazioni tra i punti terminali di rete, quale definita all'articolo 2, punto 8), della direttiva (UE) 2018/1972 del Parlamento europeo e del Consiglio, dell'11 dicembre 2018 ;
    ggg) «servizio di comunicazione elettronica»: un servizio di comunicazione elettronica quale definito all'articolo 2, punto 4), della direttiva (UE) 2018/1972 ;
    hhh) «soggetto»: una persona fisica o giuridica, costituita e riconosciuta come tale conformemente al diritto nazionale applicabile nel suo luogo di stabilimento, che puo', agendo in nome proprio, esercitare diritti ed essere soggetta a obblighi;
    iii) «fornitore di servizi gestiti»: un soggetto che fornisce servizi relativi all'installazione, alla gestione, al funzionamento o alla manutenzione di prodotti, reti, infrastrutture, applicazioni TIC o di qualsiasi altro sistema informativo e di rete, tramite assistenza o amministrazione attiva effettuata nei locali dei clienti o a distanza;
    lll) «fornitore di servizi di sicurezza gestiti»: un fornitore di servizi gestiti che svolge o fornisce assistenza per attivita' relative alla gestione dei rischi di sicurezza informatica;
    mmm) «organismo di ricerca»: un soggetto che ha come obiettivo principale lo svolgimento di attivita' di ricerca applicata o di sviluppo sperimentale al fine di sfruttare i risultati di tale ricerca a fini commerciali, ma che non comprende gli istituti di istruzione;
    nnn) «audit»: attivita' di verifica, a distanza o in loco, sistematica, documentata e indipendente che ha come scopo quello di vagliare la corrispondenza agli obblighi di cui al capo IV del presente decreto, effettuata da un organismo indipendente qualificato o dall'Autorita' nazionale competente NIS.
    Note all'art. 2:
    - Si riportano gli articoli 1, come modificato dal presente decreto, nonche' 5 e 8, del citato decreto-legge 14 giugno 2021, n. 82 , convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109 :
    «Art. 1 (Definizioni). - 1. Ai fini del presente decreto si intende per:
    a) cybersicurezza, l'insieme delle attivita', fermi restando le attribuzioni di cui alla legge 3 agosto 2007, n. 124 , e gli obblighi derivanti da trattati internazionali, necessarie per proteggere dalle minacce informatiche reti, sistemi informativi, servizi informatici e comunicazioni elettroniche, assicurandone la disponibilita', la confidenzialita' e l'integrita' e garantendone la resilienza, anche ai fini della tutela della sicurezza nazionale e dell'interesse nazionale nello spazio cibernetico;
    b) resilienza nazionale nello spazio cibernetico, le attivita' volte a prevenire un pregiudizio per la sicurezza nazionale come definito dall'articolo 1, comma 1, lettera f), del regolamento di cui al decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131 ;
    c) decreto-legge perimetro, il decreto-legge 14 giugno 2021, n. 82 , convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133 , recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica;
    d) decreto legislativo NIS, il decreto legislativo di recepimento della direttiva (UE) 2022/2555, del Parlamento europeo e del Consiglio, del 14 dicembre 2022 relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 ;
    e) strategia nazionale di cybersicurezza, la strategia di cui all'articolo 9 del decreto legislativo NIS.»
    «Art. 5 (Agenzia per la cybersicurezza nazionale). - 1. E' istituita, a tutela degli interessi nazionali nel campo della cybersicurezza, l'Agenzia per la cybersicurezza nazionale, denominata ai fini del presente decreto «Agenzia», con sede in Roma.
    2. L'Agenzia ha personalita' giuridica di diritto pubblico ed e' dotata di autonomia regolamentare, amministrativa, patrimoniale, organizzativa, contabile e finanziaria, nei limiti di quanto previsto dal presente decreto. Il Presidente del Consiglio dei ministri e l'Autorita' delegata, ove istituita, si avvalgono dell'Agenzia per l'esercizio delle competenze di cui al presente decreto.
    3. Il direttore generale dell'Agenzia e' nominato tra soggetti appartenenti a una delle categorie di cui all' articolo 18, comma 2, della legge 23 agosto 1988, n. 400 , in possesso di una documentata esperienza di elevato livello nella gestione di processi di innovazione. Gli incarichi del direttore generale e del vice direttore generale hanno la durata massima di quattro anni e sono rinnovabili, con successivi provvedimenti, per una durata complessiva massima di ulteriori quattro anni. Il direttore generale ed il vice direttore generale, ove provenienti da pubbliche amministrazioni di cui all' articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165 , sono collocati fuori ruolo o in posizione di comando o altra analoga posizione, secondo gli ordinamenti di appartenenza.
    Per quanto previsto dal presente decreto, il direttore generale dell'Agenzia e' il diretto referente del Presidente del Consiglio dei ministri e dell'Autorita' delegata, ove istituita, ed e' gerarchicamente e funzionalmente sovraordinato al personale dell'Agenzia. Il direttore generale ha la rappresentanza legale dell'Agenzia.
    4. L'attivita' dell'Agenzia e' regolata dal presente decreto e dalle disposizioni la cui adozione e' prevista dallo stesso.
    5. L'Agenzia puo' richiedere, anche sulla base di apposite convenzioni e nel rispetto degli ambiti di precipua competenza, la collaborazione di altri organi dello Stato, di altre amministrazioni, delle Forze armate, delle forze di polizia o di enti pubblici per lo svolgimento dei suoi compiti istituzionali.
    6. Il COPASIR, ai sensi di quanto previsto dall' articolo 31, comma 3, della legge 3 agosto 2007, n. 124 , puo' chiedere l'audizione del direttore generale dell'Agenzia su questioni di propria competenza.»
    «Art. 8 (Nucleo per la cybersicurezza). - 1. Presso l'Agenzia e' costituito, in via permanente, il Nucleo per la cybersicurezza, a supporto del Presidente del Consiglio dei ministri nella materia della cybersicurezza, per gli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi e per l'attivazione delle procedure di allertamento.
    2. Il Nucleo per la cybersicurezza e' presieduto dal direttore generale dell'Agenzia o, per sua delega, dal vice direttore generale ed e' composto dal Consigliere militare del Presidente del Consiglio dei ministri, da un rappresentante, rispettivamente, del DIS, dell'Agenzia informazioni e sicurezza esterna (AISE), di cui all' articolo 6 della legge 3 agosto 2007, n. 124 , dell'Agenzia informazioni e sicurezza interna (AISI), di cui all' articolo 7 della legge n. 124 del 2007 , di ciascuno dei Ministeri rappresentati nel CIC e del Dipartimento della protezione civile della Presidenza del Consiglio dei ministri. Per gli aspetti relativi alla trattazione di informazioni classificate il Nucleo e' integrato da un rappresentante dell'Ufficio centrale per la segretezza di cui all' articolo 9 della legge n. 124 del 2007 .
    3. I componenti del Nucleo possono farsi assistere alle riunioni da altri rappresentanti delle rispettive amministrazioni in relazione alle materie oggetto di trattazione. In base agli argomenti delle riunioni possono anche essere chiamati a partecipare rappresentanti di altre amministrazioni, di universita' o di enti e istituti di ricerca, nonche' di operatori privati interessati alla materia della cybersicurezza.
    4. Il Nucleo puo' essere convocato in composizione ristretta con la partecipazione dei rappresentanti delle sole amministrazioni e soggetti interessati, anche relativamente ai compiti di gestione delle crisi di cui all'articolo 10.
    4.1. In relazione a specifiche questioni di particolare rilevanza concernenti i compiti di cui all'articolo 9, comma 1, lettera a), il Nucleo puo' essere convocato nella composizione di cui al comma 4 del presente articolo, di volta in volta estesa alla partecipazione di un rappresentante della Direzione nazionale antimafia e antiterrorismo, della Banca d'Italia o di uno o piu' operatori di cui all'articolo 1, comma 2-bis, del decreto-legge perimetro, nonche' di eventuali altri soggetti, interessati alle stesse questioni. Le amministrazioni e i soggetti convocati partecipano alle suddette riunioni a livello di vertice.
    4-bis. Ai componenti del Nucleo non spettano compensi, gettoni di presenza, rimborsi di spese o altri emolumenti comunque denominati.».
    - Per la direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 si veda nelle note alle premesse.
    - Per il regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019 relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza») si veda nelle note alle premesse.
    - Si riporta il testo dell'articolo 2, comma 1, lettera vv) del decreto legislativo 1° agosto 2003, n. 259 ( Codice delle comunicazioni elettroniche ) pubblicato nella Gazzetta Ufficiale 15 settembre 2003, n. 214
    «Art. 2 (Definizioni). - 1. Ai fini del presente decreto si intende per:
    (Omissis)
    vv) reti di comunicazione elettronica: i sistemi di trasmissione, basati o meno su un'infrastruttura permanente o una capacita' di amministrazione centralizzata e, se del caso, le apparecchiature di commutazione o di instradamento e altre risorse, inclusi gli elementi di rete non attivi, che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, comprese le reti satellitari, le reti mobili e fisse (a commutazione di circuito e a commutazione di pacchetto, compresa internet), i sistemi per il trasporto via cavo della corrente elettrica, nella misura in cui siano utilizzati per trasmettere i segnali, le reti utilizzate per la diffusione radiotelevisiva e le reti televisive via cavo, indipendentemente dal tipo di informazione trasportato;
    (Omissis).».
    - Il regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio del 25 ottobre 2012 sulla normazione europea, che modifica le direttive 89/686/CEE e 93/15/CEE del Consiglio nonche' le direttive 94/9/CE , 94/25/CE , 95/16/CE , 97/23/CE , 98/34/CE , 2004/22/CE , 2007/23/CE , 2009/23/CE e 2009/105/CE del Parlamento europeo e del Consiglio e che abroga la decisione 87/95/CEE del Consiglio e la decisione n. 1673/2006/CE del Parlamento europeo e del Consiglio e' pubblicato nella GUUE del 14 novembre 2012 n. 316, serie L.
    - La direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio del 9 settembre 2015 e' pubblicata nella GUUE del 17 settembre 2015 n. 241, serie L.
    - Il regolamento (UE) 910/2014 del Parlamento europeo e del Consiglio del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE e' pubblicata nella GUUE del 28 luglio 2014 n. 257, serie L.
    - La direttiva 2005/29/CE del Parlamento europeo e del Consiglio dell'11 maggio 2005 relativa alle pratiche commerciali sleali tra imprese e consumatori nel mercato interno e che modifica la direttiva 84/450/CEE del Consiglio e le direttive 97/7/CE , 98/27/CE e 2002/65/CE del Parlamento europeo e del Consiglio e il regolamento (CE) n. 2006/2004 del Parlamento europeo e del Consiglio («direttiva sulle pratiche commerciali sleali») e' pubblicata nella GUUE del 11 giugno 2005 n. 149, serie L.
    - La direttiva (UE) 2018/1972 del Parlamento europeo e del Consiglio dell'11 dicembre 2018 e' pubblicata nella GUUE del 17 dicembre 2018 n. 321, serie L.