Art. 16. Delega al Governo per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2025/37 del Parlamento europeo e del Consiglio, del 19 dicembre 2024, che modifica il regolamento (UE) 2019/881 per quanto riguarda i servizi di sicurezza gestiti 1. Il Governo e' delegato ad adottare, entro tre mesi dalla data di entrata in vigore della presente legge, uno o piu' decreti legislativi per adeguare la normativa nazionale alle disposizioni del regolamento (UE) 2025/37 del Parlamento europeo e del Consiglio, del 19 dicembre 2024, e per coordinare le discipline di settore vigenti con il quadro normativo europeo in materia.
2. Nell'esercizio della delega di cui al comma 1, il Governo osserva, oltre ai principi e criteri direttivi generali di cui all' articolo 32 della legge 24 dicembre 2012, n. 234 , i seguenti principi e criteri direttivi specifici:
a) apportare alla normativa vigente e, in particolare, al decreto legislativo 3 agosto 2022, n. 123 , tutte le modifiche e le integrazioni necessarie ad assicurare la corretta e integrale applicazione del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, anche con riguardo alle modifiche apportate dal regolamento (UE) 2025/37 , e delle pertinenti norme tecniche di regolamentazione e di attuazione, nonche' a garantire il coordinamento con le disposizioni settoriali vigenti;
b) apportare al decreto-legge 14 giugno 2021, n. 82 , convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109 , le modifiche e le integrazioni necessarie a specificare le modalita' di esercizio delle funzioni attribuite all'Agenzia per la cybersicurezza nazionale in materia di accreditamento, autorizzazione e delega degli organismi di cui all'articolo 7, comma 1, lettera e), numeri 1) e 2), del medesimo decreto-legge n. 82 del 2021 , in conformita' alle pertinenti disposizioni del regolamento (UE) 2019/881 .
3. Dall'attuazione del presente articolo non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Le amministrazioni interessate provvedono all'adempimento dei compiti derivanti dall'esercizio della delega di cui al presente articolo con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente.
Note all'art. 16:
- Il regolamento (UE) 2025/37 del Parlamento europeo e del Consiglio, del 19 dicembre 2024, che modifica il regolamento (UE) 2019/881 per quanto riguarda i servizi di sicurezza gestiti, e' pubblicato nella GUUE 15 gennaio 2025, Serie L.
- Per il testo dell'articolo 32 della citata legge 24 dicembre 2012, n. 234 , si vedano le note all'articolo 1.
- Il decreto legislativo 3 agosto 2022, n. 123 , recante: «Norme di adeguamento della normativa nazionale alle disposizioni del Titolo III «Quadro di certificazione della cibersicurezza» del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio del 17 aprile 2019 relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza»)», e' pubblicato nella Gazzetta Ufficiale n. 194 del 20 agosto 2022.
- Il regolamento della comunita' Europea 17 aprile 2019, n. 2019/881/UE, relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza»), e' pubblicato nella GUUE 7 giugno 2019, n. L 151.
- Si riporta il testo dell'articolo 7, comma 1, del citato decreto-legge 14 giugno 2021, n. 82 :
«Art. 7 (Funzioni dell'Agenzia per la cybersicurezza nazionale). - 1. L'Agenzia:
Omissis
e) e' Autorita' nazionale di certificazione della cybersicurezza ai sensi dell'articolo 58 del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, e assume tutte le funzioni in materia di certificazione di sicurezza cibernetica gia' attribuite al Ministero dello sviluppo economico dall'ordinamento vigente, comprese quelle relative all'accertamento delle violazioni e all'irrogazione delle sanzioni; nello svolgimento dei compiti di cui alla presente lettera:
1) accredita, ai sensi dell'articolo 60, paragrafo 1, del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, le strutture specializzate del Ministero della difesa e del Ministero dell'interno quali organismi di valutazione della conformita' per i sistemi di rispettiva competenza;
2) delega, ai sensi dell'articolo 56, paragrafo 6, lettera b), del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, il Ministero della difesa e il Ministero dell'interno, attraverso le rispettive strutture accreditate di cui al numero 1) della presente lettera, al rilascio del certificato europeo di sicurezza cibernetica;
Omissis.».
2. Nell'esercizio della delega di cui al comma 1, il Governo osserva, oltre ai principi e criteri direttivi generali di cui all' articolo 32 della legge 24 dicembre 2012, n. 234 , i seguenti principi e criteri direttivi specifici:
a) apportare alla normativa vigente e, in particolare, al decreto legislativo 3 agosto 2022, n. 123 , tutte le modifiche e le integrazioni necessarie ad assicurare la corretta e integrale applicazione del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, anche con riguardo alle modifiche apportate dal regolamento (UE) 2025/37 , e delle pertinenti norme tecniche di regolamentazione e di attuazione, nonche' a garantire il coordinamento con le disposizioni settoriali vigenti;
b) apportare al decreto-legge 14 giugno 2021, n. 82 , convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109 , le modifiche e le integrazioni necessarie a specificare le modalita' di esercizio delle funzioni attribuite all'Agenzia per la cybersicurezza nazionale in materia di accreditamento, autorizzazione e delega degli organismi di cui all'articolo 7, comma 1, lettera e), numeri 1) e 2), del medesimo decreto-legge n. 82 del 2021 , in conformita' alle pertinenti disposizioni del regolamento (UE) 2019/881 .
3. Dall'attuazione del presente articolo non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Le amministrazioni interessate provvedono all'adempimento dei compiti derivanti dall'esercizio della delega di cui al presente articolo con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente.
Note all'art. 16:
- Il regolamento (UE) 2025/37 del Parlamento europeo e del Consiglio, del 19 dicembre 2024, che modifica il regolamento (UE) 2019/881 per quanto riguarda i servizi di sicurezza gestiti, e' pubblicato nella GUUE 15 gennaio 2025, Serie L.
- Per il testo dell'articolo 32 della citata legge 24 dicembre 2012, n. 234 , si vedano le note all'articolo 1.
- Il decreto legislativo 3 agosto 2022, n. 123 , recante: «Norme di adeguamento della normativa nazionale alle disposizioni del Titolo III «Quadro di certificazione della cibersicurezza» del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio del 17 aprile 2019 relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza»)», e' pubblicato nella Gazzetta Ufficiale n. 194 del 20 agosto 2022.
- Il regolamento della comunita' Europea 17 aprile 2019, n. 2019/881/UE, relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza»), e' pubblicato nella GUUE 7 giugno 2019, n. L 151.
- Si riporta il testo dell'articolo 7, comma 1, del citato decreto-legge 14 giugno 2021, n. 82 :
«Art. 7 (Funzioni dell'Agenzia per la cybersicurezza nazionale). - 1. L'Agenzia:
Omissis
e) e' Autorita' nazionale di certificazione della cybersicurezza ai sensi dell'articolo 58 del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, e assume tutte le funzioni in materia di certificazione di sicurezza cibernetica gia' attribuite al Ministero dello sviluppo economico dall'ordinamento vigente, comprese quelle relative all'accertamento delle violazioni e all'irrogazione delle sanzioni; nello svolgimento dei compiti di cui alla presente lettera:
1) accredita, ai sensi dell'articolo 60, paragrafo 1, del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, le strutture specializzate del Ministero della difesa e del Ministero dell'interno quali organismi di valutazione della conformita' per i sistemi di rispettiva competenza;
2) delega, ai sensi dell'articolo 56, paragrafo 6, lettera b), del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, il Ministero della difesa e il Ministero dell'interno, attraverso le rispettive strutture accreditate di cui al numero 1) della presente lettera, al rilascio del certificato europeo di sicurezza cibernetica;
Omissis.».