Art. 28. Disposizioni finali 1. All' articolo 7, comma 1, del decreto-legge 14 giugno 2021, n. 82 , convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, la lettera z) e' sostituita dalla seguente:
« z) per le finalita' di cui al presente articolo, puo' concludere accordi di collaborazione, comunque denominati, con soggetti privati, costituire e partecipare a partenariati pubblico-privato nel territorio nazionale, nonche', previa autorizzazione del Presidente del Consiglio dei ministri, a consorzi, fondazioni o societa' con soggetti pubblici e privati, italiani o di Paesi appartenenti all'Unione europea. Sulla base dell'interesse nazionale e previa autorizzazione del Presidente del Consiglio dei ministri, puo' altresi' partecipare a consorzi, fondazioni o societa' con soggetti pubblici e privati di Paesi della NATO ovvero di Paesi extraeuropei con i quali siano stati sottoscritti accordi di cooperazione o di partenariato per lo sviluppo di sistemi di intelligenza artificiale ». 2. Alla legge 28 giugno 2024, n. 90 , sono apportate le seguenti modificazioni:
a) all'articolo 1, comma 1, le parole: « di cui all' articolo 1, comma 3-bis, del decreto-legge 21 settembre 2019, n. 105 , convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133 , come modificato dall'articolo 3 della presente legge » sono sostituite dalle seguenti: « adottata con determinazione tecnica del direttore generale dell'Agenzia per la cybersicurezza nazionale »; b) nel capo I, dopo l'articolo 15 e' aggiunto il seguente:
« Art. 15-bis (Disposizioni di coordinamento). - 1. Ogni riferimento al decreto legislativo 18 maggio 2018, n. 65 , e' da intendersi alle corrispondenti disposizioni di cui al decreto legislativo 4 settembre 2024, n. 138 , a decorrere dalla data in cui le stesse acquistano efficacia ». Note all'art. 28:
- Si riporta il testo dell'articolo 7, comma 1, lettera z), del citato decreto-legge 14 giugno 2021, n. 82 :
«Art. 7 (Funzioni dell'Agenzia per la cybersicurezza nazionale). - 1. L'Agenzia:
a) e' Autorita' nazionale per la cybersicurezza e, in relazione a tale ruolo, assicura, nel rispetto delle competenze attribuite dalla normativa vigente ad altre amministrazioni, ferme restando le attribuzioni del Ministro dell'interno in qualita' di autorita' nazionale di pubblica sicurezza, ai sensi della legge 1° aprile 1981, n. 121 , il coordinamento tra i soggetti pubblici coinvolti in materia di cybersicurezza a livello nazionale e promuove la realizzazione di azioni comuni dirette ad assicurare la sicurezza e la resilienza cibernetiche per lo sviluppo della digitalizzazione del Paese, del sistema produttivo e delle pubbliche amministrazioni, nonche' per il conseguimento dell'autonomia, nazionale ed europea, riguardo a prodotti e processi informatici di rilevanza strategica a tutela degli interessi nazionali nel settore.
Per le reti, i sistemi informativi e i servizi informatici attinenti alla gestione delle informazioni classificate restano fermi sia quanto previsto dal regolamento adottato ai sensi dell' articolo 4, comma 3, lettera l), della legge n. 124 del 2007 , sia le competenze dell'Ufficio centrale per la segretezza di cui all'articolo 9 della medesima legge n. 124 del 2007 ;
b) predispone la strategia nazionale di cybersicurezza;
c) svolge ogni necessaria attivita' di supporto al funzionamento del Nucleo per la cybersicurezza, di cui all'articolo 8;
d) e' Autorita' nazionale competente NIS e Punto di contatto unico NIS di cui all'articolo 2, comma 1, lettere d) ed e), del decreto legislativo NIS, a tutela dell'unita' giuridica dell'ordinamento;
d-bis) e' Autorita' nazionale di gestione delle crisi informatiche di cui all'articolo 2, comma 1, lettera g), del decreto legislativo NIS;
d-ter) e' CSIRT nazionale, denominato CSIRT Italia, di cui all'articolo 2, comma 1, lettera i), del decreto legislativo NIS;
e) e' Autorita' nazionale di certificazione della cybersicurezza ai sensi dell'articolo 58 del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, e assume tutte le funzioni in materia di certificazione di sicurezza cibernetica gia' attribuite al Ministero dello sviluppo economico dall'ordinamento vigente, comprese quelle relative all'accertamento delle violazioni e all'irrogazione delle sanzioni; nello svolgimento dei compiti di cui alla presente lettera:
1) accredita, ai sensi dell'articolo 60, paragrafo 1, del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, le strutture specializzate del Ministero della difesa e del Ministero dell'interno quali organismi di valutazione della conformita' per i sistemi di rispettiva competenza;
2) delega, ai sensi dell'articolo 56, paragrafo 6, lettera b), del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, il Ministero della difesa e il Ministero dell'interno, attraverso le rispettive strutture accreditate di cui al numero 1) della presente legge, al rilascio del certificato europeo di sicurezza cibernetica;
e-bis) e' Autorita' competente per l'esecuzione dei compiti previsti dal regolamento delegato (UE) 2024/1366 della Commissione, dell'11 marzo 2024, che integra il regolamento (UE) 2019/943 del Parlamento europeo e del Consiglio
f) assume tutte le funzioni in materia di cybersicurezza gia' attribuite dalle disposizioni vigenti al Ministero dello sviluppo economico, ivi comprese quelle relative:
1) al perimetro di sicurezza nazionale cibernetica, di cui al decreto-legge perimetro e ai relativi provvedimenti attuativi, ivi incluse le funzioni attribuite al Centro di valutazione e certificazione nazionale ai sensi del decreto-legge perimetro, le attivita' di ispezione e verifica di cui all'articolo 1, comma 6, lettera c), del decreto-legge perimetro e quelle relative all'accertamento delle violazioni e all'irrogazione delle sanzioni amministrative previste dal medesimo decreto, fatte salve quelle di cui all'articolo 3 del regolamento adottato con decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131 ;
2) alla sicurezza e all'integrita' delle comunicazioni elettroniche, di cui agli articoli 16-bis e 16-ter del decreto legislativo 1° agosto 2003, n. 259 , e relative disposizioni attuative;
3) alla sicurezza delle reti e dei sistemi informativi, di cui al decreto legislativo NIS;
g) partecipa, per gli ambiti di competenza, al gruppo di coordinamento istituito ai sensi dei regolamenti di cui all' articolo 1, comma 8, del decreto-legge 15 marzo 2012, n. 21 , convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56 ;
h) assume tutte le funzioni attribuite alla Presidenza del Consiglio dei ministri in materia di perimetro di sicurezza nazionale cibernetica, di cui al decreto-legge perimetro e ai relativi provvedimenti attuativi, ivi incluse le attivita' di ispezione e verifica di cui all'articolo 1, comma 6, lettera c), del decreto-legge perimetro e quelle relative all'accertamento delle violazioni e all'irrogazione delle sanzioni amministrative previste dal medesimo decreto, fatte salve quelle di cui all'articolo 3 del regolamento adottato con decreto del Presidente del Consiglio dei ministri n. 131 del 2020 ;
i) assume tutte le funzioni gia' attribuite al Dipartimento delle informazioni per la sicurezza (DIS), di cui all' articolo 4 della legge 3 agosto 2007, n. 124 , dal decreto-legge perimetro e dai relativi provvedimenti attuativi e supporta il Presidente del Consiglio dei ministri ai fini dell'articolo 1, comma 19-bis, del decreto-legge perimetro;
l) provvede, sulla base delle attivita' di competenza del Nucleo per la cybersicurezza di cui all'articolo 8, alle attivita' necessarie per l'attuazione e il controllo dell'esecuzione dei provvedimenti assunti dal Presidente del Consiglio dei ministri ai sensi dell'articolo 5 del decreto-legge perimetro;
m) assume tutte le funzioni in materia di cybersicurezza gia' attribuite all'Agenzia per l'Italia digitale dalle disposizioni vigenti e, in particolare, quelle di cui all' articolo 51 del decreto legislativo 7 marzo 2005, n. 82 , nonche' quelle in materia di adozione di linee guida contenenti regole tecniche di cybersicurezza ai sensi dell'articolo 71 del medesimo decreto legislativo.
L'Agenzia assume, altresi', i compiti di cui all' articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179 , convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221 , gia' attribuiti all'Agenzia per l'Italia digitale;
m-bis) provvede, anche attraverso un'apposita sezione nell'ambito della strategia di cui alla lettera b), allo sviluppo e alla diffusione di standard, linee guida e raccomandazioni al fine di rafforzare la cybersicurezza dei sistemi informatici, alla valutazione della sicurezza dei sistemi crittografici nonche' all'organizzazione e alla gestione di attivita' di divulgazione finalizzate a promuovere l'utilizzo della crittografia, anche a vantaggio della tecnologia blockchain, come strumento di cybersicurezza. L'Agenzia, anche per il rafforzamento dell'autonomia industriale e tecnologica dell'Italia, promuove altresi' la collaborazione con centri universitari e di ricerca per la valorizzazione dello sviluppo di nuovi algoritmi proprietari, la ricerca e il conseguimento di nuove capacita' crittografiche nazionali nonche' la collaborazione internazionale con gli organismi esteri che svolgono analoghe funzioni. A tale fine, e' istituito presso l'Agenzia, nell'ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente e senza nuovi o maggiori oneri a carico della finanza pubblica, il Centro nazionale di crittografia, il cui funzionamento e' disciplinato con provvedimento del direttore generale dell'Agenzia stessa. Il Centro nazionale di crittografia svolge le funzioni di centro di competenza nazionale per tutti gli aspetti della crittografia in ambito non classificato, ferme restando le competenze dell'Ufficio centrale per la segretezza, di cui all' articolo 9 della legge 3 agosto 2007, n. 124 , con riferimento alle informazioni e alle attivita' previste dal regolamento adottato ai sensi dell'articolo 4, comma 3, lettera l), della citata legge n. 124 del 2007 , nonche' le competenze degli organismi di cui agli articoli 4, 6 e 7 della medesima legge;
m-ter) provvede alla qualificazione dei servizi cloud per la pubblica amministrazione nel rispetto della disciplina dell'Unione europea e del regolamento di cui all' articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179 , convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221 ;
n) sviluppa capacita' nazionali di prevenzione, monitoraggio, rilevamento, analisi e risposta, per prevenire e gestire gli incidenti di sicurezza informatica e gli attacchi informatici, anche attraverso il CSIRT Italia di cui all'articolo 2, comma 1, lettera i) del decreto legislativo NIS. A tale fine, promuove iniziative di partenariato pubblico-privato per rendere effettive tali capacita';
n-bis) nell'ambito delle funzioni di cui al primo periodo della lettera n), svolge ogni attivita' diretta all'analisi e al supporto per il contenimento e il ripristino dell'operativita' dei sistemi compromessi, con la collaborazione dei soggetti pubblici o privati che hanno subito incidenti di sicurezza informatica o attacchi informatici. La mancata collaborazione di cui al primo periodo e' valutata ai fini dell'applicazione delle sanzioni previste dall'articolo 1, commi 10 e 14, del decreto-legge perimetro, per i soggetti di cui all'articolo 1, comma 2-bis, del medesimo decreto-legge perimetro, i soggetti essenziali e i soggetti importanti di cui all'articolo 6 del decreto legislativo NIS, del decreto legislativo NIS e di cui all'articolo 40, comma 3, alinea, del codice delle comunicazioni elettroniche , di cui al decreto legislativo 1° agosto 2003, n. 259 ; restano esclusi gli organi dello Stato preposti alla prevenzione, all'accertamento e alla repressione dei reati, alla tutela dell'ordine e della sicurezza pubblica e alla difesa e sicurezza militare dello Stato, nonche' gli organismi di informazione per la sicurezza di cui agli articoli 4 , 6 e 7 della legge 3 agosto 2007, n. 124 ;
n-ter) provvede alla raccolta, all'elaborazione e alla classificazione dei dati relativi alle notifiche di incidenti ricevute dai soggetti che a cio' siano tenuti in osservanza delle disposizioni vigenti. Tali dati sono resi pubblici nell'ambito della relazione prevista dall'articolo 14, comma 1, quali dati ufficiali di riferimento degli attacchi informatici portati ai soggetti che operano nei settori rilevanti per gli interessi nazionali nel campo della cybersicurezza. Agli adempimenti previsti dalla presente lettera si provvede con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente;
o) partecipa alle esercitazioni nazionali e internazionali che riguardano la simulazione di eventi di natura cibernetica al fine di innalzare la resilienza del Paese;
p) cura e promuove la definizione ed il mantenimento di un quadro giuridico nazionale aggiornato e coerente nel dominio della cybersicurezza, tenendo anche conto degli orientamenti e degli sviluppi in ambito internazionale. A tal fine, l'Agenzia esprime pareri non vincolanti sulle iniziative legislative o regolamentari concernenti la cybersicurezza;
q) coordina, in raccordo con il Ministero degli affari esteri e della cooperazione internazionale, la cooperazione internazionale nella materia della cybersicurezza. Nell'ambito dell'Unione europea e a livello internazionale, l'Agenzia cura i rapporti con i competenti organismi, istituzioni ed enti, nonche' segue nelle competenti sedi istituzionali le tematiche di cybersicurezza, fatta eccezione per gli ambiti in cui la legge attribuisce specifiche competenze ad altre amministrazioni. In tali casi, e' comunque assicurato il raccordo con l'Agenzia al fine di garantire posizioni nazionali unitarie e coerenti con le politiche di cybersicurezza definite dal Presidente del Consiglio dei ministri;
r) perseguendo obiettivi di eccellenza, supporta negli ambiti di competenza, mediante il coinvolgimento del sistema dell'universita' e della ricerca nonche' del sistema produttivo nazionali, lo sviluppo di competenze e capacita' industriali, tecnologiche e scientifiche. A tali fini, l'Agenzia puo' promuovere, sviluppare e finanziare specifici progetti ed iniziative, volti anche a favorire il trasferimento tecnologico dei risultati della ricerca nel settore.
L'Agenzia assicura il necessario raccordo con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza e, in particolare, con il Ministero della difesa per gli aspetti inerenti alla ricerca militare. L'Agenzia puo' altresi' promuovere la costituzione di aree dedicate allo sviluppo dell'innovazione finalizzate a favorire la formazione e il reclutamento di personale nei settori avanzati dello sviluppo della cybersicurezza, nonche' promuovere la realizzazione di studi di fattibilita' e di analisi valutative finalizzati a tale scopo;
s) stipula accordi bilaterali e multilaterali, anche mediante il coinvolgimento del settore privato e industriale, con istituzioni, enti e organismi di altri Paesi per la partecipazione dell'Italia a programmi di cybersicurezza, assicurando il necessario raccordo con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza, ferme restando le competenze del Ministero degli affari esteri e della cooperazione internazionale;
t) promuove, sostiene e coordina la partecipazione italiana a progetti e iniziative dell'Unione europea e internazionali, anche mediante il coinvolgimento di soggetti pubblici e privati nazionali, nel campo della cybersicurezza e dei correlati servizi applicativi, ferme restando le competenze del Ministero degli affari esteri e della cooperazione internazionale. L'Agenzia assicura il necessario raccordo con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza e, in particolare, con il Ministero della difesa per gli aspetti inerenti a progetti e iniziative in collaborazione con la NATO e con l'Agenzia europea per la difesa;
u) svolge attivita' di comunicazione e promozione della consapevolezza in materia di cybersicurezza, al fine di contribuire allo sviluppo di una cultura nazionale in materia;
v) promuove la formazione, la crescita tecnico-professionale e la qualificazione delle risorse umane nel campo della cybersicurezza, in particolare favorendo l'attivazione di percorsi formativi universitari in materia, anche attraverso l'assegnazione di borse di studio, di dottorato e assegni di ricerca, sulla base di apposite convenzioni con soggetti pubblici e privati; nello svolgimento di tali compiti, l'Agenzia puo' avvalersi anche delle strutture formative e delle capacita' della Presidenza del Consiglio dei ministri, del Ministero della difesa e del Ministero dell'interno, secondo termini e modalita' da definire con apposito decreto del Presidente del Consiglio dei ministri, di concerto con i Ministri interessati;
v-bis) puo' predisporre attivita' di formazione specifica riservate ai giovani che aderiscono al servizio civile regolate sulla base di apposite convenzioni. In ogni caso, il servizio prestato e', a tutti gli effetti, riconosciuto come servizio civile;
z) per le finalita' di cui al presente articolo, puo' concludere accordi di collaborazione, comunque denominati, con soggetti privati, costituire e partecipare a partenariati pubblico-privato nel territorio nazionale, nonche', previa autorizzazione del Presidente del Consiglio dei ministri, a consorzi, fondazioni o societa' con soggetti pubblici e privati, italiani o di Paesi appartenenti all'Unione europea. Sulla base dell'interesse nazionale e previa autorizzazione del Presidente del Consiglio dei ministri, puo' altresi' partecipare a consorzi, fondazioni o societa' con soggetti pubblici e privati di Paesi della NATO ovvero di Paesi extraeuropei con i quali siano stati sottoscritti accordi di cooperazione o di partenariato per lo sviluppo di sistemi di intelligenza artificiale.
aa) e' designata quale Centro nazionale di coordinamento ai sensi dell'articolo 6 del regolamento (UE) 2021/887 del Parlamento europeo e del Consiglio del 20 maggio 2021, che istituisce il Centro europeo di competenza per la cybersicurezza nell'ambito industriale, tecnologico e della ricerca e la rete dei centri nazionali di coordinamento.
1-bis. Anche ai fini dell'esercizio delle funzioni di cui al comma 1, lettere r), s), t), u), v), z) e aa), presso l'Agenzia e' istituito, con funzioni di consulenza e di proposta, un Comitato tecnico-scientifico, presieduto dal direttore generale della medesima Agenzia, o da un dirigente da lui delegato, e composto da personale della stessa Agenzia e da qualificati rappresentanti dell'industria, degli enti di ricerca, dell'accademia e delle associazioni del settore della sicurezza, designati con decreto del Presidente del Consiglio dei ministri. La composizione e l'organizzazione del Comitato tecnico-scientifico sono disciplinate secondo le modalita' e i criteri definiti dal regolamento di cui all'articolo 6, comma 1.
Per la partecipazione al Comitato tecnico-scientifico non sono previsti gettoni di presenza, compensi o rimborsi di spese.
2. Nell'ambito dell'Agenzia sono nominati, con decreto del Presidente del Consiglio dei ministri, il rappresentante nazionale, e il suo sostituto, nel Consiglio di direzione del Centro europeo di competenza per la cybersicurezza nell'ambito industriale, tecnologico e della ricerca, ai sensi dell' articolo 12 del regolamento (UE) 2021/887 .
3.
4. Il Centro di valutazione e certificazione nazionale, istituito presso il Ministero dello sviluppo economico, e' trasferito presso l'Agenzia.
5. Nel rispetto delle competenze del Garante per la protezione dei dati personali, l'Agenzia, per le finalita' di cui al presente decreto, consulta il Garante e collabora con esso, anche in relazione agli incidenti che comportano violazioni di dati personali. L'Agenzia e il Garante possono stipulare appositi protocolli d'intenti che definiscono altresi' le modalita' della loro collaborazione nell'ambito delle risorse disponibili a legislazione vigente e senza nuovi o maggiori oneri per la finanza pubblica.».
- Si riporta il testo degli articoli 1 della legge 28 giugno 2024 n. 901 , recante: «Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici.», pubblicata nella Gazzetta Ufficiale 2 luglio 2024, n. 153, come modificato dalla presente legge:
«Art. 1 (Obblighi di notifica di incidenti). - 1. Le pubbliche amministrazioni centrali individuate ai sensi dell' articolo 1, comma 3, della legge 31 dicembre 2009, n. 196 , le regioni e le province autonome di Trento e di Bolzano, le citta' metropolitane, i comuni con popolazione superiore a 100.000 abitanti e, comunque, i comuni capoluoghi di regione, nonche' le societa' di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti, le societa' di trasporto pubblico extraurbano operanti nell'ambito delle citta' metropolitane e le aziende sanitarie locali segnalano e notificano, con le modalita' e nei termini di cui al comma 2 del presente articolo, gli incidenti indicati nella tassonomia adottata con determinazione tecnica del direttore generale dell'Agenzia per la cybersicurezza nazionale, aventi impatto su reti, sistemi informativi e servizi informatici.
Tra i soggetti di cui al presente comma sono altresi' comprese le rispettive societa' in house che forniscono servizi informatici, i servizi di trasporto di cui al primo periodo del presente comma ovvero servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali, come definite ai sensi dell'articolo 2, punti 1), 2) e 3), della direttiva 91/271/CEE del Consiglio, del 21 maggio 1991 , o di gestione dei rifiuti, come definita ai sensi dell'articolo 3, punto 9), della direttiva 2008/98/CE del Parlamento europeo e del Consiglio, del 19 novembre 2008 .
2. I soggetti di cui al comma 1 segnalano, senza ritardo e comunque entro il termine massimo di ventiquattro ore dal momento in cui ne sono venuti a conoscenza a seguito delle evidenze comunque ottenute, qualunque incidente riconducibile a una delle tipologie individuate nella tassonomia di cui al comma 1 ed effettuano, entro settantadue ore a decorrere dal medesimo momento, la notifica completa di tutti gli elementi informativi disponibili. La segnalazione e la successiva notifica sono effettuate tramite le apposite procedure disponibili nel sito internet istituzionale dell'Agenzia per la cybersicurezza nazionale.
3. Per i comuni con popolazione superiore a 100.000 abitanti e i comuni capoluoghi di regione, per le societa' di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti, per le societa' di trasporto pubblico extraurbano operanti nell'ambito delle citta' metropolitane, per le aziende sanitarie locali e per le societa' in house che forniscono servizi informatici, i servizi di trasporto di cui al presente comma ovvero servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali, come definite ai sensi dell'articolo 2, punti 1), 2) e 3), della direttiva 91/271/CEE del Consiglio, del 21 maggio 1991 , o di gestione dei rifiuti, come definita ai sensi dell'articolo 3, punto 9), della direttiva 2008/98/CE del Parlamento europeo e del Consiglio, del 19 novembre 2008 , gli obblighi di cui ai commi 1 e 2 del presente articolo si applicano a decorrere dal centottantesimo giorno successivo alla data di entrata in vigore della presente legge.
4. Qualora i soggetti di cui al comma 1 effettuino notifiche volontarie di incidenti al di fuori dei casi indicati nella tassonomia di cui al medesimo comma 1, si applicano le disposizioni dell' articolo 18, commi 3 , 4 e 5, del decreto legislativo 18 maggio 2018, n. 65 .
5. Nel caso di inosservanza dell'obbligo di notifica di cui ai commi 1 e 2, l'Agenzia per la cybersicurezza nazionale comunica all'interessato che la reiterazione dell'inosservanza, nell'arco di cinque anni, comportera' l'applicazione delle disposizioni di cui al comma 6 e puo' disporre, nei dodici mesi successivi all'accertamento del ritardo o dell'omissione, l'invio di ispezioni, anche al fine di verificare l'attuazione, da parte dei soggetti interessati dall'incidente, di interventi di rafforzamento della resilienza agli stessi, direttamente indicati dall'Agenzia per la cybersicurezza nazionale ovvero previsti da apposite linee guida adottate dalla medesima Agenzia. Le modalita' di tali ispezioni sono disciplinate con determinazione del direttore generale dell'Agenzia per la cybersicurezza nazionale, pubblicata nella Gazzetta Ufficiale.
6. Nei casi di reiterata inosservanza, nell'arco di cinque anni, dell'obbligo di notifica di cui ai commi 1 e 2, l'Agenzia per la cybersicurezza nazionale applica altresi', nel rispetto delle disposizioni dell' articolo 17, comma 4-quater, del decreto-legge 14 giugno 2021, n. 82 , convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109 , introdotto dall'articolo 11 della presente legge, una sanzione amministrativa pecuniaria da euro 25.000 a euro 125.000 a carico dei soggetti di cui al comma 1 del presente articolo. La violazione delle disposizioni del comma 1 del presente articolo puo' costituire causa di responsabilita' disciplinare e amministrativo-contabile per i funzionari e i dirigenti responsabili.
7. Fermi restando gli obblighi e le sanzioni, anche penali, previsti da altre norme di legge, le disposizioni del presente articolo non si applicano:
a) ai soggetti di cui all' articolo 3, comma 1, lettere g) e i), del decreto legislativo 18 maggio 2018, n. 65 , e a quelli di cui all' articolo 1, comma 2-bis, del decreto-legge 21 settembre 2019, n. 105 , convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133 ;
b) agli organi dello Stato preposti alla prevenzione, all'accertamento e alla repressione dei reati, alla tutela dell'ordine e della sicurezza pubblica e alla difesa e sicurezza militare dello Stato e agli organismi di informazione per la sicurezza di cui agli articoli 4 , 6 e 7 della legge 3 agosto 2007, n. 124 .».
« z) per le finalita' di cui al presente articolo, puo' concludere accordi di collaborazione, comunque denominati, con soggetti privati, costituire e partecipare a partenariati pubblico-privato nel territorio nazionale, nonche', previa autorizzazione del Presidente del Consiglio dei ministri, a consorzi, fondazioni o societa' con soggetti pubblici e privati, italiani o di Paesi appartenenti all'Unione europea. Sulla base dell'interesse nazionale e previa autorizzazione del Presidente del Consiglio dei ministri, puo' altresi' partecipare a consorzi, fondazioni o societa' con soggetti pubblici e privati di Paesi della NATO ovvero di Paesi extraeuropei con i quali siano stati sottoscritti accordi di cooperazione o di partenariato per lo sviluppo di sistemi di intelligenza artificiale ». 2. Alla legge 28 giugno 2024, n. 90 , sono apportate le seguenti modificazioni:
a) all'articolo 1, comma 1, le parole: « di cui all' articolo 1, comma 3-bis, del decreto-legge 21 settembre 2019, n. 105 , convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133 , come modificato dall'articolo 3 della presente legge » sono sostituite dalle seguenti: « adottata con determinazione tecnica del direttore generale dell'Agenzia per la cybersicurezza nazionale »; b) nel capo I, dopo l'articolo 15 e' aggiunto il seguente:
« Art. 15-bis (Disposizioni di coordinamento). - 1. Ogni riferimento al decreto legislativo 18 maggio 2018, n. 65 , e' da intendersi alle corrispondenti disposizioni di cui al decreto legislativo 4 settembre 2024, n. 138 , a decorrere dalla data in cui le stesse acquistano efficacia ». Note all'art. 28:
- Si riporta il testo dell'articolo 7, comma 1, lettera z), del citato decreto-legge 14 giugno 2021, n. 82 :
«Art. 7 (Funzioni dell'Agenzia per la cybersicurezza nazionale). - 1. L'Agenzia:
a) e' Autorita' nazionale per la cybersicurezza e, in relazione a tale ruolo, assicura, nel rispetto delle competenze attribuite dalla normativa vigente ad altre amministrazioni, ferme restando le attribuzioni del Ministro dell'interno in qualita' di autorita' nazionale di pubblica sicurezza, ai sensi della legge 1° aprile 1981, n. 121 , il coordinamento tra i soggetti pubblici coinvolti in materia di cybersicurezza a livello nazionale e promuove la realizzazione di azioni comuni dirette ad assicurare la sicurezza e la resilienza cibernetiche per lo sviluppo della digitalizzazione del Paese, del sistema produttivo e delle pubbliche amministrazioni, nonche' per il conseguimento dell'autonomia, nazionale ed europea, riguardo a prodotti e processi informatici di rilevanza strategica a tutela degli interessi nazionali nel settore.
Per le reti, i sistemi informativi e i servizi informatici attinenti alla gestione delle informazioni classificate restano fermi sia quanto previsto dal regolamento adottato ai sensi dell' articolo 4, comma 3, lettera l), della legge n. 124 del 2007 , sia le competenze dell'Ufficio centrale per la segretezza di cui all'articolo 9 della medesima legge n. 124 del 2007 ;
b) predispone la strategia nazionale di cybersicurezza;
c) svolge ogni necessaria attivita' di supporto al funzionamento del Nucleo per la cybersicurezza, di cui all'articolo 8;
d) e' Autorita' nazionale competente NIS e Punto di contatto unico NIS di cui all'articolo 2, comma 1, lettere d) ed e), del decreto legislativo NIS, a tutela dell'unita' giuridica dell'ordinamento;
d-bis) e' Autorita' nazionale di gestione delle crisi informatiche di cui all'articolo 2, comma 1, lettera g), del decreto legislativo NIS;
d-ter) e' CSIRT nazionale, denominato CSIRT Italia, di cui all'articolo 2, comma 1, lettera i), del decreto legislativo NIS;
e) e' Autorita' nazionale di certificazione della cybersicurezza ai sensi dell'articolo 58 del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, e assume tutte le funzioni in materia di certificazione di sicurezza cibernetica gia' attribuite al Ministero dello sviluppo economico dall'ordinamento vigente, comprese quelle relative all'accertamento delle violazioni e all'irrogazione delle sanzioni; nello svolgimento dei compiti di cui alla presente lettera:
1) accredita, ai sensi dell'articolo 60, paragrafo 1, del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, le strutture specializzate del Ministero della difesa e del Ministero dell'interno quali organismi di valutazione della conformita' per i sistemi di rispettiva competenza;
2) delega, ai sensi dell'articolo 56, paragrafo 6, lettera b), del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, il Ministero della difesa e il Ministero dell'interno, attraverso le rispettive strutture accreditate di cui al numero 1) della presente legge, al rilascio del certificato europeo di sicurezza cibernetica;
e-bis) e' Autorita' competente per l'esecuzione dei compiti previsti dal regolamento delegato (UE) 2024/1366 della Commissione, dell'11 marzo 2024, che integra il regolamento (UE) 2019/943 del Parlamento europeo e del Consiglio
f) assume tutte le funzioni in materia di cybersicurezza gia' attribuite dalle disposizioni vigenti al Ministero dello sviluppo economico, ivi comprese quelle relative:
1) al perimetro di sicurezza nazionale cibernetica, di cui al decreto-legge perimetro e ai relativi provvedimenti attuativi, ivi incluse le funzioni attribuite al Centro di valutazione e certificazione nazionale ai sensi del decreto-legge perimetro, le attivita' di ispezione e verifica di cui all'articolo 1, comma 6, lettera c), del decreto-legge perimetro e quelle relative all'accertamento delle violazioni e all'irrogazione delle sanzioni amministrative previste dal medesimo decreto, fatte salve quelle di cui all'articolo 3 del regolamento adottato con decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131 ;
2) alla sicurezza e all'integrita' delle comunicazioni elettroniche, di cui agli articoli 16-bis e 16-ter del decreto legislativo 1° agosto 2003, n. 259 , e relative disposizioni attuative;
3) alla sicurezza delle reti e dei sistemi informativi, di cui al decreto legislativo NIS;
g) partecipa, per gli ambiti di competenza, al gruppo di coordinamento istituito ai sensi dei regolamenti di cui all' articolo 1, comma 8, del decreto-legge 15 marzo 2012, n. 21 , convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56 ;
h) assume tutte le funzioni attribuite alla Presidenza del Consiglio dei ministri in materia di perimetro di sicurezza nazionale cibernetica, di cui al decreto-legge perimetro e ai relativi provvedimenti attuativi, ivi incluse le attivita' di ispezione e verifica di cui all'articolo 1, comma 6, lettera c), del decreto-legge perimetro e quelle relative all'accertamento delle violazioni e all'irrogazione delle sanzioni amministrative previste dal medesimo decreto, fatte salve quelle di cui all'articolo 3 del regolamento adottato con decreto del Presidente del Consiglio dei ministri n. 131 del 2020 ;
i) assume tutte le funzioni gia' attribuite al Dipartimento delle informazioni per la sicurezza (DIS), di cui all' articolo 4 della legge 3 agosto 2007, n. 124 , dal decreto-legge perimetro e dai relativi provvedimenti attuativi e supporta il Presidente del Consiglio dei ministri ai fini dell'articolo 1, comma 19-bis, del decreto-legge perimetro;
l) provvede, sulla base delle attivita' di competenza del Nucleo per la cybersicurezza di cui all'articolo 8, alle attivita' necessarie per l'attuazione e il controllo dell'esecuzione dei provvedimenti assunti dal Presidente del Consiglio dei ministri ai sensi dell'articolo 5 del decreto-legge perimetro;
m) assume tutte le funzioni in materia di cybersicurezza gia' attribuite all'Agenzia per l'Italia digitale dalle disposizioni vigenti e, in particolare, quelle di cui all' articolo 51 del decreto legislativo 7 marzo 2005, n. 82 , nonche' quelle in materia di adozione di linee guida contenenti regole tecniche di cybersicurezza ai sensi dell'articolo 71 del medesimo decreto legislativo.
L'Agenzia assume, altresi', i compiti di cui all' articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179 , convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221 , gia' attribuiti all'Agenzia per l'Italia digitale;
m-bis) provvede, anche attraverso un'apposita sezione nell'ambito della strategia di cui alla lettera b), allo sviluppo e alla diffusione di standard, linee guida e raccomandazioni al fine di rafforzare la cybersicurezza dei sistemi informatici, alla valutazione della sicurezza dei sistemi crittografici nonche' all'organizzazione e alla gestione di attivita' di divulgazione finalizzate a promuovere l'utilizzo della crittografia, anche a vantaggio della tecnologia blockchain, come strumento di cybersicurezza. L'Agenzia, anche per il rafforzamento dell'autonomia industriale e tecnologica dell'Italia, promuove altresi' la collaborazione con centri universitari e di ricerca per la valorizzazione dello sviluppo di nuovi algoritmi proprietari, la ricerca e il conseguimento di nuove capacita' crittografiche nazionali nonche' la collaborazione internazionale con gli organismi esteri che svolgono analoghe funzioni. A tale fine, e' istituito presso l'Agenzia, nell'ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente e senza nuovi o maggiori oneri a carico della finanza pubblica, il Centro nazionale di crittografia, il cui funzionamento e' disciplinato con provvedimento del direttore generale dell'Agenzia stessa. Il Centro nazionale di crittografia svolge le funzioni di centro di competenza nazionale per tutti gli aspetti della crittografia in ambito non classificato, ferme restando le competenze dell'Ufficio centrale per la segretezza, di cui all' articolo 9 della legge 3 agosto 2007, n. 124 , con riferimento alle informazioni e alle attivita' previste dal regolamento adottato ai sensi dell'articolo 4, comma 3, lettera l), della citata legge n. 124 del 2007 , nonche' le competenze degli organismi di cui agli articoli 4, 6 e 7 della medesima legge;
m-ter) provvede alla qualificazione dei servizi cloud per la pubblica amministrazione nel rispetto della disciplina dell'Unione europea e del regolamento di cui all' articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179 , convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221 ;
n) sviluppa capacita' nazionali di prevenzione, monitoraggio, rilevamento, analisi e risposta, per prevenire e gestire gli incidenti di sicurezza informatica e gli attacchi informatici, anche attraverso il CSIRT Italia di cui all'articolo 2, comma 1, lettera i) del decreto legislativo NIS. A tale fine, promuove iniziative di partenariato pubblico-privato per rendere effettive tali capacita';
n-bis) nell'ambito delle funzioni di cui al primo periodo della lettera n), svolge ogni attivita' diretta all'analisi e al supporto per il contenimento e il ripristino dell'operativita' dei sistemi compromessi, con la collaborazione dei soggetti pubblici o privati che hanno subito incidenti di sicurezza informatica o attacchi informatici. La mancata collaborazione di cui al primo periodo e' valutata ai fini dell'applicazione delle sanzioni previste dall'articolo 1, commi 10 e 14, del decreto-legge perimetro, per i soggetti di cui all'articolo 1, comma 2-bis, del medesimo decreto-legge perimetro, i soggetti essenziali e i soggetti importanti di cui all'articolo 6 del decreto legislativo NIS, del decreto legislativo NIS e di cui all'articolo 40, comma 3, alinea, del codice delle comunicazioni elettroniche , di cui al decreto legislativo 1° agosto 2003, n. 259 ; restano esclusi gli organi dello Stato preposti alla prevenzione, all'accertamento e alla repressione dei reati, alla tutela dell'ordine e della sicurezza pubblica e alla difesa e sicurezza militare dello Stato, nonche' gli organismi di informazione per la sicurezza di cui agli articoli 4 , 6 e 7 della legge 3 agosto 2007, n. 124 ;
n-ter) provvede alla raccolta, all'elaborazione e alla classificazione dei dati relativi alle notifiche di incidenti ricevute dai soggetti che a cio' siano tenuti in osservanza delle disposizioni vigenti. Tali dati sono resi pubblici nell'ambito della relazione prevista dall'articolo 14, comma 1, quali dati ufficiali di riferimento degli attacchi informatici portati ai soggetti che operano nei settori rilevanti per gli interessi nazionali nel campo della cybersicurezza. Agli adempimenti previsti dalla presente lettera si provvede con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente;
o) partecipa alle esercitazioni nazionali e internazionali che riguardano la simulazione di eventi di natura cibernetica al fine di innalzare la resilienza del Paese;
p) cura e promuove la definizione ed il mantenimento di un quadro giuridico nazionale aggiornato e coerente nel dominio della cybersicurezza, tenendo anche conto degli orientamenti e degli sviluppi in ambito internazionale. A tal fine, l'Agenzia esprime pareri non vincolanti sulle iniziative legislative o regolamentari concernenti la cybersicurezza;
q) coordina, in raccordo con il Ministero degli affari esteri e della cooperazione internazionale, la cooperazione internazionale nella materia della cybersicurezza. Nell'ambito dell'Unione europea e a livello internazionale, l'Agenzia cura i rapporti con i competenti organismi, istituzioni ed enti, nonche' segue nelle competenti sedi istituzionali le tematiche di cybersicurezza, fatta eccezione per gli ambiti in cui la legge attribuisce specifiche competenze ad altre amministrazioni. In tali casi, e' comunque assicurato il raccordo con l'Agenzia al fine di garantire posizioni nazionali unitarie e coerenti con le politiche di cybersicurezza definite dal Presidente del Consiglio dei ministri;
r) perseguendo obiettivi di eccellenza, supporta negli ambiti di competenza, mediante il coinvolgimento del sistema dell'universita' e della ricerca nonche' del sistema produttivo nazionali, lo sviluppo di competenze e capacita' industriali, tecnologiche e scientifiche. A tali fini, l'Agenzia puo' promuovere, sviluppare e finanziare specifici progetti ed iniziative, volti anche a favorire il trasferimento tecnologico dei risultati della ricerca nel settore.
L'Agenzia assicura il necessario raccordo con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza e, in particolare, con il Ministero della difesa per gli aspetti inerenti alla ricerca militare. L'Agenzia puo' altresi' promuovere la costituzione di aree dedicate allo sviluppo dell'innovazione finalizzate a favorire la formazione e il reclutamento di personale nei settori avanzati dello sviluppo della cybersicurezza, nonche' promuovere la realizzazione di studi di fattibilita' e di analisi valutative finalizzati a tale scopo;
s) stipula accordi bilaterali e multilaterali, anche mediante il coinvolgimento del settore privato e industriale, con istituzioni, enti e organismi di altri Paesi per la partecipazione dell'Italia a programmi di cybersicurezza, assicurando il necessario raccordo con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza, ferme restando le competenze del Ministero degli affari esteri e della cooperazione internazionale;
t) promuove, sostiene e coordina la partecipazione italiana a progetti e iniziative dell'Unione europea e internazionali, anche mediante il coinvolgimento di soggetti pubblici e privati nazionali, nel campo della cybersicurezza e dei correlati servizi applicativi, ferme restando le competenze del Ministero degli affari esteri e della cooperazione internazionale. L'Agenzia assicura il necessario raccordo con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza e, in particolare, con il Ministero della difesa per gli aspetti inerenti a progetti e iniziative in collaborazione con la NATO e con l'Agenzia europea per la difesa;
u) svolge attivita' di comunicazione e promozione della consapevolezza in materia di cybersicurezza, al fine di contribuire allo sviluppo di una cultura nazionale in materia;
v) promuove la formazione, la crescita tecnico-professionale e la qualificazione delle risorse umane nel campo della cybersicurezza, in particolare favorendo l'attivazione di percorsi formativi universitari in materia, anche attraverso l'assegnazione di borse di studio, di dottorato e assegni di ricerca, sulla base di apposite convenzioni con soggetti pubblici e privati; nello svolgimento di tali compiti, l'Agenzia puo' avvalersi anche delle strutture formative e delle capacita' della Presidenza del Consiglio dei ministri, del Ministero della difesa e del Ministero dell'interno, secondo termini e modalita' da definire con apposito decreto del Presidente del Consiglio dei ministri, di concerto con i Ministri interessati;
v-bis) puo' predisporre attivita' di formazione specifica riservate ai giovani che aderiscono al servizio civile regolate sulla base di apposite convenzioni. In ogni caso, il servizio prestato e', a tutti gli effetti, riconosciuto come servizio civile;
z) per le finalita' di cui al presente articolo, puo' concludere accordi di collaborazione, comunque denominati, con soggetti privati, costituire e partecipare a partenariati pubblico-privato nel territorio nazionale, nonche', previa autorizzazione del Presidente del Consiglio dei ministri, a consorzi, fondazioni o societa' con soggetti pubblici e privati, italiani o di Paesi appartenenti all'Unione europea. Sulla base dell'interesse nazionale e previa autorizzazione del Presidente del Consiglio dei ministri, puo' altresi' partecipare a consorzi, fondazioni o societa' con soggetti pubblici e privati di Paesi della NATO ovvero di Paesi extraeuropei con i quali siano stati sottoscritti accordi di cooperazione o di partenariato per lo sviluppo di sistemi di intelligenza artificiale.
aa) e' designata quale Centro nazionale di coordinamento ai sensi dell'articolo 6 del regolamento (UE) 2021/887 del Parlamento europeo e del Consiglio del 20 maggio 2021, che istituisce il Centro europeo di competenza per la cybersicurezza nell'ambito industriale, tecnologico e della ricerca e la rete dei centri nazionali di coordinamento.
1-bis. Anche ai fini dell'esercizio delle funzioni di cui al comma 1, lettere r), s), t), u), v), z) e aa), presso l'Agenzia e' istituito, con funzioni di consulenza e di proposta, un Comitato tecnico-scientifico, presieduto dal direttore generale della medesima Agenzia, o da un dirigente da lui delegato, e composto da personale della stessa Agenzia e da qualificati rappresentanti dell'industria, degli enti di ricerca, dell'accademia e delle associazioni del settore della sicurezza, designati con decreto del Presidente del Consiglio dei ministri. La composizione e l'organizzazione del Comitato tecnico-scientifico sono disciplinate secondo le modalita' e i criteri definiti dal regolamento di cui all'articolo 6, comma 1.
Per la partecipazione al Comitato tecnico-scientifico non sono previsti gettoni di presenza, compensi o rimborsi di spese.
2. Nell'ambito dell'Agenzia sono nominati, con decreto del Presidente del Consiglio dei ministri, il rappresentante nazionale, e il suo sostituto, nel Consiglio di direzione del Centro europeo di competenza per la cybersicurezza nell'ambito industriale, tecnologico e della ricerca, ai sensi dell' articolo 12 del regolamento (UE) 2021/887 .
3.
4. Il Centro di valutazione e certificazione nazionale, istituito presso il Ministero dello sviluppo economico, e' trasferito presso l'Agenzia.
5. Nel rispetto delle competenze del Garante per la protezione dei dati personali, l'Agenzia, per le finalita' di cui al presente decreto, consulta il Garante e collabora con esso, anche in relazione agli incidenti che comportano violazioni di dati personali. L'Agenzia e il Garante possono stipulare appositi protocolli d'intenti che definiscono altresi' le modalita' della loro collaborazione nell'ambito delle risorse disponibili a legislazione vigente e senza nuovi o maggiori oneri per la finanza pubblica.».
- Si riporta il testo degli articoli 1 della legge 28 giugno 2024 n. 901 , recante: «Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici.», pubblicata nella Gazzetta Ufficiale 2 luglio 2024, n. 153, come modificato dalla presente legge:
«Art. 1 (Obblighi di notifica di incidenti). - 1. Le pubbliche amministrazioni centrali individuate ai sensi dell' articolo 1, comma 3, della legge 31 dicembre 2009, n. 196 , le regioni e le province autonome di Trento e di Bolzano, le citta' metropolitane, i comuni con popolazione superiore a 100.000 abitanti e, comunque, i comuni capoluoghi di regione, nonche' le societa' di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti, le societa' di trasporto pubblico extraurbano operanti nell'ambito delle citta' metropolitane e le aziende sanitarie locali segnalano e notificano, con le modalita' e nei termini di cui al comma 2 del presente articolo, gli incidenti indicati nella tassonomia adottata con determinazione tecnica del direttore generale dell'Agenzia per la cybersicurezza nazionale, aventi impatto su reti, sistemi informativi e servizi informatici.
Tra i soggetti di cui al presente comma sono altresi' comprese le rispettive societa' in house che forniscono servizi informatici, i servizi di trasporto di cui al primo periodo del presente comma ovvero servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali, come definite ai sensi dell'articolo 2, punti 1), 2) e 3), della direttiva 91/271/CEE del Consiglio, del 21 maggio 1991 , o di gestione dei rifiuti, come definita ai sensi dell'articolo 3, punto 9), della direttiva 2008/98/CE del Parlamento europeo e del Consiglio, del 19 novembre 2008 .
2. I soggetti di cui al comma 1 segnalano, senza ritardo e comunque entro il termine massimo di ventiquattro ore dal momento in cui ne sono venuti a conoscenza a seguito delle evidenze comunque ottenute, qualunque incidente riconducibile a una delle tipologie individuate nella tassonomia di cui al comma 1 ed effettuano, entro settantadue ore a decorrere dal medesimo momento, la notifica completa di tutti gli elementi informativi disponibili. La segnalazione e la successiva notifica sono effettuate tramite le apposite procedure disponibili nel sito internet istituzionale dell'Agenzia per la cybersicurezza nazionale.
3. Per i comuni con popolazione superiore a 100.000 abitanti e i comuni capoluoghi di regione, per le societa' di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti, per le societa' di trasporto pubblico extraurbano operanti nell'ambito delle citta' metropolitane, per le aziende sanitarie locali e per le societa' in house che forniscono servizi informatici, i servizi di trasporto di cui al presente comma ovvero servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali, come definite ai sensi dell'articolo 2, punti 1), 2) e 3), della direttiva 91/271/CEE del Consiglio, del 21 maggio 1991 , o di gestione dei rifiuti, come definita ai sensi dell'articolo 3, punto 9), della direttiva 2008/98/CE del Parlamento europeo e del Consiglio, del 19 novembre 2008 , gli obblighi di cui ai commi 1 e 2 del presente articolo si applicano a decorrere dal centottantesimo giorno successivo alla data di entrata in vigore della presente legge.
4. Qualora i soggetti di cui al comma 1 effettuino notifiche volontarie di incidenti al di fuori dei casi indicati nella tassonomia di cui al medesimo comma 1, si applicano le disposizioni dell' articolo 18, commi 3 , 4 e 5, del decreto legislativo 18 maggio 2018, n. 65 .
5. Nel caso di inosservanza dell'obbligo di notifica di cui ai commi 1 e 2, l'Agenzia per la cybersicurezza nazionale comunica all'interessato che la reiterazione dell'inosservanza, nell'arco di cinque anni, comportera' l'applicazione delle disposizioni di cui al comma 6 e puo' disporre, nei dodici mesi successivi all'accertamento del ritardo o dell'omissione, l'invio di ispezioni, anche al fine di verificare l'attuazione, da parte dei soggetti interessati dall'incidente, di interventi di rafforzamento della resilienza agli stessi, direttamente indicati dall'Agenzia per la cybersicurezza nazionale ovvero previsti da apposite linee guida adottate dalla medesima Agenzia. Le modalita' di tali ispezioni sono disciplinate con determinazione del direttore generale dell'Agenzia per la cybersicurezza nazionale, pubblicata nella Gazzetta Ufficiale.
6. Nei casi di reiterata inosservanza, nell'arco di cinque anni, dell'obbligo di notifica di cui ai commi 1 e 2, l'Agenzia per la cybersicurezza nazionale applica altresi', nel rispetto delle disposizioni dell' articolo 17, comma 4-quater, del decreto-legge 14 giugno 2021, n. 82 , convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109 , introdotto dall'articolo 11 della presente legge, una sanzione amministrativa pecuniaria da euro 25.000 a euro 125.000 a carico dei soggetti di cui al comma 1 del presente articolo. La violazione delle disposizioni del comma 1 del presente articolo puo' costituire causa di responsabilita' disciplinare e amministrativo-contabile per i funzionari e i dirigenti responsabili.
7. Fermi restando gli obblighi e le sanzioni, anche penali, previsti da altre norme di legge, le disposizioni del presente articolo non si applicano:
a) ai soggetti di cui all' articolo 3, comma 1, lettere g) e i), del decreto legislativo 18 maggio 2018, n. 65 , e a quelli di cui all' articolo 1, comma 2-bis, del decreto-legge 21 settembre 2019, n. 105 , convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133 ;
b) agli organi dello Stato preposti alla prevenzione, all'accertamento e alla repressione dei reati, alla tutela dell'ordine e della sicurezza pubblica e alla difesa e sicurezza militare dello Stato e agli organismi di informazione per la sicurezza di cui agli articoli 4 , 6 e 7 della legge 3 agosto 2007, n. 124 .».