Art. 15. Delega al Governo per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2024/2847 del Parlamento europeo e del Consiglio, del 23 ottobre 2024, relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali e che modifica i regolamenti (UE) n. 168/2013 e (UE) 2019/1020 e la direttiva (UE) 2020/1828 (regolamento sulla ciberresilienza) 1. Il Governo e' delegato ad adottare, entro sei mesi dalla data di entrata in vigore della presente legge, uno o piu' decreti legislativi per adeguare la normativa nazionale alle disposizioni del regolamento (UE) 2024/ 2847 del Parlamento europeo e del Consiglio, del 23 ottobre 2024.
2. Nell'esercizio della delega di cui al comma 1, il Governo osserva, oltre ai principi e criteri direttivi generali di cui all' articolo 32 della legge 24 dicembre 2012, n. 234 , i seguenti principi e criteri direttivi specifici:
a) apportare alla normativa vigente tutte le modifiche e le integrazioni necessarie ad assicurare la corretta e integrale applicazione del regolamento (UE) 2024/2847 e delle pertinenti norme tecniche di regolamentazione e di attuazione nonche' a garantire il coordinamento, in particolare, con le disposizioni del decreto-legge 21 settembre 2019, n. 105 , convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133 , e del decreto legislativo 4 settembre 2024, n. 138 , e con le disposizioni settoriali vigenti;
b) individuare l'Agenzia per la cybersicurezza nazionale quale autorita' di notifica ai sensi dell' articolo 36 del regolamento (UE) 2024/2847 ;
c) individuare l'Agenzia per la cybersicurezza nazionale quale autorita' di vigilanza del mercato ai sensi dell' articolo 52 del regolamento (UE) 2024/2847 , relativamente ai requisiti orizzontali di cybersicurezza per i prodotti con elementi digitali;
d) prevedere forme di coordinamento tra l'Agenzia per la cybersicurezza nazionale, nel ruolo di cui alle lettere b) e c), e le altre autorita' nazionali competenti individuate ai sensi del decreto legislativo 12 ottobre 2022, n. 157 , nonche' tra le altre pubbliche amministrazioni e le autorita' indipendenti, ai fini dello svolgimento dei compiti discendenti dal regolamento (UE) 2024/ 2847 ;
e) adeguare e raccordare alle disposizioni del regolamento (UE) 2024/2847 le disposizioni nazionali vigenti e, in particolare, le modalita' e le procedure di vigilanza, sorveglianza del mercato e controllo della sicurezza cibernetica dei prodotti con elementi digitali, con abrogazione espressa delle norme nazionali incompatibili;
f) definire il sistema sanzionatorio prevedendo sanzioni effettive, dissuasive e proporzionate alla gravita', alla durata e all'eventuale reiterazione della violazione degli obblighi derivanti dal regolamento (UE) 2024/2847 :
1) anche in deroga ai criteri e ai limiti previsti dall' articolo 32, comma 1, lettera d), della legge 24 dicembre 2012, n. 234 ;
2) coordinandolo con il sistema sanzionatorio previsto dal decreto-legge 21 settembre 2019, n. 105 , convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133 , e dal decreto legislativo 4 settembre 2024, n. 138 , in coerenza, quanto al procedimento applicabile, con le disposizioni dell' articolo 17, comma 4-quater, del decreto-legge 14 giugno 2021, n. 82 , convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109 ;
3) apportando alla normativa vigente le necessarie modificazioni, anche al fine di introdurre misure deflative del procedimento sanzionatorio o del contenzioso;
4) prevedendo che gli introiti derivanti dall'irrogazione delle sanzioni siano versati all'entrata del bilancio dello Stato per essere riassegnati all'apposito capitolo dello stato di previsione della spesa del Ministero dell'economia e delle finanze, di cui all' articolo 18 del decreto-legge 14 giugno 2021, n. 82 , convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109 , per incrementare la dotazione del bilancio dell'Agenzia per la cybersicurezza nazionale;
g) garantire che l'Agenzia per la cybersicurezza nazionale disponga di adeguate risorse umane, strumentali e finanziarie per lo svolgimento dei compiti previsti dal regolamento (UE) 2024/2847 .
3. Agli oneri derivanti dall'attuazione del comma 2, lettera g), pari a euro 2.100.000 per l'anno 2026, a euro 5.875.000 per l'anno 2027, a euro 9.125.000 per l'anno 2028 e a euro 6.925.000 annui a decorrere dall'anno 2029, si provvede mediante corrispondente riduzione del fondo per il recepimento della normativa europea, di cui all' articolo 41-bis della legge 24 dicembre 2012, n. 234 .
Note all'art. 15:
- Il regolamento (UE) 2024/2847 del Parlamento europeo e del Consiglio, del 23 ottobre 2024, relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali e che modifica i regolamenti (UE) n. 168/2013 e (UE) 2019/1020 e la direttiva (UE) 2020/1828 (regolamento sulla ciberresilienza), e' pubblicato nella GUUE 20 novembre 2024, Serie L.
- Per il testo degli articoli 32 e 41-bis della legge 24 dicembre 2012, n. 234 , si vedano le note all'articolo 1.
- Il decreto-legge 21 settembre 2019, n. 105 , recante: «Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica», pubblicato nella Gazzetta Ufficiale n. 222 del 21 settembre 2019, e' convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133 .
- Il decreto legislativo 4 settembre 2024, n. 138 , recante: «Recepimento della direttiva (UE) 2022/2555 , relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 », e' pubblicato nella Gazzetta Ufficiale n. 230 del 1° ottobre 2024.
- Per i riferimenti al decreto legislativo 12 ottobre 2022, n. 157 , si vedano le note all'articolo 9.
- Si riporta il testo dell'articolo 17, comma 4-quater, e 18, del decreto-legge 14 giugno 2021, n. 82 recante: «Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale», pubblicato nella Gazzetta Ufficiale n.140 del 14 giugno 2021, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109 :
«Art. 17 (Disposizioni transitorie e finali). - Omissis.
4-quater. La disciplina del procedimento sanzionatorio amministrativo dell'Agenzia e' definita con regolamento che stabilisce, in particolare, termini e modalita' per l'accertamento, la contestazione e la notificazione delle violazioni della normativa in materia di cybersicurezza e l'irrogazione delle relative sanzioni di competenza dell'Agenzia ai sensi del presente decreto e delle altre disposizioni che assegnano poteri accertativi e sanzionatori all'Agenzia. Il regolamento di cui al primo periodo e' adottato, entro novanta giorni dalla data di entrata in vigore della presente disposizione, con decreto del Presidente del Consiglio dei ministri, anche in deroga all' articolo 17 della legge 23 agosto 1988, n. 400 , sentito il Comitato interministeriale per la cybersicurezza e acquisito il parere delle competenti Commissioni parlamentari. Fino alla data di entrata in vigore del regolamento di cui al presente comma, ai procedimenti sanzionatori si applicano, per ciascuna fase procedimentale di cui al primo periodo, le disposizioni contenute nelle sezioni I e II del capo I della legge 24 novembre 1981, n. 689 .
Omissis.»
«Art. 18 (Disposizioni finanziarie). - 1. Per l'attuazione degli articoli da 5 a 7 e' istituito, nello stato di previsione del Ministero dell'economia e delle finanze, un apposito capitolo con una dotazione di 2.000.000 di euro per l'anno 2021, 41.000.000 di euro per l'anno 2022, 70.000.000 di euro per l'anno 2023, 84.000.000 di euro per l'anno 2024, 100.000.000 di euro per l'anno 2025, 110.000.000 di euro per l'anno 2026 e 122.000.000 di euro annui a decorrere dall'anno 2027.
2. Agli oneri di cui al comma 1, si provvede mediante corrispondente riduzione del Fondo di cui all' articolo 1, comma 200, della legge 23 dicembre 2014, n. 190 .
3. Le risorse iscritte sui bilanci delle amministrazioni interessate, correlate alle funzioni ridefinite ai sensi del presente decreto a decorrere dall'inizio del funzionamento dell'Agenzia di cui all'articolo 5, sono accertate, anche in conto residui, con decreto del Ministro dell'economia e delle finanze, di concerto con i Ministri responsabili, e portate ad incremento del Fondo di cui all' articolo 1, comma 200, della legge 23 dicembre 2014, n. 190 , anche mediante versamento all'entrata del bilancio dello Stato e successiva riassegnazione alla spesa.
4. I proventi di cui all'articolo 11, comma 2, sono versati all'entrata del bilancio dello Stato, per essere riassegnati al capitolo di cui al comma 1 del presente articolo.
5. Ai fini dell'immediata attuazione delle disposizioni del presente decreto il Ministro dell'economia e delle finanze e' autorizzato ad apportare, con propri decreti, anche in conto residui, le occorrenti variazioni di bilancio.».
2. Nell'esercizio della delega di cui al comma 1, il Governo osserva, oltre ai principi e criteri direttivi generali di cui all' articolo 32 della legge 24 dicembre 2012, n. 234 , i seguenti principi e criteri direttivi specifici:
a) apportare alla normativa vigente tutte le modifiche e le integrazioni necessarie ad assicurare la corretta e integrale applicazione del regolamento (UE) 2024/2847 e delle pertinenti norme tecniche di regolamentazione e di attuazione nonche' a garantire il coordinamento, in particolare, con le disposizioni del decreto-legge 21 settembre 2019, n. 105 , convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133 , e del decreto legislativo 4 settembre 2024, n. 138 , e con le disposizioni settoriali vigenti;
b) individuare l'Agenzia per la cybersicurezza nazionale quale autorita' di notifica ai sensi dell' articolo 36 del regolamento (UE) 2024/2847 ;
c) individuare l'Agenzia per la cybersicurezza nazionale quale autorita' di vigilanza del mercato ai sensi dell' articolo 52 del regolamento (UE) 2024/2847 , relativamente ai requisiti orizzontali di cybersicurezza per i prodotti con elementi digitali;
d) prevedere forme di coordinamento tra l'Agenzia per la cybersicurezza nazionale, nel ruolo di cui alle lettere b) e c), e le altre autorita' nazionali competenti individuate ai sensi del decreto legislativo 12 ottobre 2022, n. 157 , nonche' tra le altre pubbliche amministrazioni e le autorita' indipendenti, ai fini dello svolgimento dei compiti discendenti dal regolamento (UE) 2024/ 2847 ;
e) adeguare e raccordare alle disposizioni del regolamento (UE) 2024/2847 le disposizioni nazionali vigenti e, in particolare, le modalita' e le procedure di vigilanza, sorveglianza del mercato e controllo della sicurezza cibernetica dei prodotti con elementi digitali, con abrogazione espressa delle norme nazionali incompatibili;
f) definire il sistema sanzionatorio prevedendo sanzioni effettive, dissuasive e proporzionate alla gravita', alla durata e all'eventuale reiterazione della violazione degli obblighi derivanti dal regolamento (UE) 2024/2847 :
1) anche in deroga ai criteri e ai limiti previsti dall' articolo 32, comma 1, lettera d), della legge 24 dicembre 2012, n. 234 ;
2) coordinandolo con il sistema sanzionatorio previsto dal decreto-legge 21 settembre 2019, n. 105 , convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133 , e dal decreto legislativo 4 settembre 2024, n. 138 , in coerenza, quanto al procedimento applicabile, con le disposizioni dell' articolo 17, comma 4-quater, del decreto-legge 14 giugno 2021, n. 82 , convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109 ;
3) apportando alla normativa vigente le necessarie modificazioni, anche al fine di introdurre misure deflative del procedimento sanzionatorio o del contenzioso;
4) prevedendo che gli introiti derivanti dall'irrogazione delle sanzioni siano versati all'entrata del bilancio dello Stato per essere riassegnati all'apposito capitolo dello stato di previsione della spesa del Ministero dell'economia e delle finanze, di cui all' articolo 18 del decreto-legge 14 giugno 2021, n. 82 , convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109 , per incrementare la dotazione del bilancio dell'Agenzia per la cybersicurezza nazionale;
g) garantire che l'Agenzia per la cybersicurezza nazionale disponga di adeguate risorse umane, strumentali e finanziarie per lo svolgimento dei compiti previsti dal regolamento (UE) 2024/2847 .
3. Agli oneri derivanti dall'attuazione del comma 2, lettera g), pari a euro 2.100.000 per l'anno 2026, a euro 5.875.000 per l'anno 2027, a euro 9.125.000 per l'anno 2028 e a euro 6.925.000 annui a decorrere dall'anno 2029, si provvede mediante corrispondente riduzione del fondo per il recepimento della normativa europea, di cui all' articolo 41-bis della legge 24 dicembre 2012, n. 234 .
Note all'art. 15:
- Il regolamento (UE) 2024/2847 del Parlamento europeo e del Consiglio, del 23 ottobre 2024, relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali e che modifica i regolamenti (UE) n. 168/2013 e (UE) 2019/1020 e la direttiva (UE) 2020/1828 (regolamento sulla ciberresilienza), e' pubblicato nella GUUE 20 novembre 2024, Serie L.
- Per il testo degli articoli 32 e 41-bis della legge 24 dicembre 2012, n. 234 , si vedano le note all'articolo 1.
- Il decreto-legge 21 settembre 2019, n. 105 , recante: «Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica», pubblicato nella Gazzetta Ufficiale n. 222 del 21 settembre 2019, e' convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133 .
- Il decreto legislativo 4 settembre 2024, n. 138 , recante: «Recepimento della direttiva (UE) 2022/2555 , relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 », e' pubblicato nella Gazzetta Ufficiale n. 230 del 1° ottobre 2024.
- Per i riferimenti al decreto legislativo 12 ottobre 2022, n. 157 , si vedano le note all'articolo 9.
- Si riporta il testo dell'articolo 17, comma 4-quater, e 18, del decreto-legge 14 giugno 2021, n. 82 recante: «Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale», pubblicato nella Gazzetta Ufficiale n.140 del 14 giugno 2021, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109 :
«Art. 17 (Disposizioni transitorie e finali). - Omissis.
4-quater. La disciplina del procedimento sanzionatorio amministrativo dell'Agenzia e' definita con regolamento che stabilisce, in particolare, termini e modalita' per l'accertamento, la contestazione e la notificazione delle violazioni della normativa in materia di cybersicurezza e l'irrogazione delle relative sanzioni di competenza dell'Agenzia ai sensi del presente decreto e delle altre disposizioni che assegnano poteri accertativi e sanzionatori all'Agenzia. Il regolamento di cui al primo periodo e' adottato, entro novanta giorni dalla data di entrata in vigore della presente disposizione, con decreto del Presidente del Consiglio dei ministri, anche in deroga all' articolo 17 della legge 23 agosto 1988, n. 400 , sentito il Comitato interministeriale per la cybersicurezza e acquisito il parere delle competenti Commissioni parlamentari. Fino alla data di entrata in vigore del regolamento di cui al presente comma, ai procedimenti sanzionatori si applicano, per ciascuna fase procedimentale di cui al primo periodo, le disposizioni contenute nelle sezioni I e II del capo I della legge 24 novembre 1981, n. 689 .
Omissis.»
«Art. 18 (Disposizioni finanziarie). - 1. Per l'attuazione degli articoli da 5 a 7 e' istituito, nello stato di previsione del Ministero dell'economia e delle finanze, un apposito capitolo con una dotazione di 2.000.000 di euro per l'anno 2021, 41.000.000 di euro per l'anno 2022, 70.000.000 di euro per l'anno 2023, 84.000.000 di euro per l'anno 2024, 100.000.000 di euro per l'anno 2025, 110.000.000 di euro per l'anno 2026 e 122.000.000 di euro annui a decorrere dall'anno 2027.
2. Agli oneri di cui al comma 1, si provvede mediante corrispondente riduzione del Fondo di cui all' articolo 1, comma 200, della legge 23 dicembre 2014, n. 190 .
3. Le risorse iscritte sui bilanci delle amministrazioni interessate, correlate alle funzioni ridefinite ai sensi del presente decreto a decorrere dall'inizio del funzionamento dell'Agenzia di cui all'articolo 5, sono accertate, anche in conto residui, con decreto del Ministro dell'economia e delle finanze, di concerto con i Ministri responsabili, e portate ad incremento del Fondo di cui all' articolo 1, comma 200, della legge 23 dicembre 2014, n. 190 , anche mediante versamento all'entrata del bilancio dello Stato e successiva riassegnazione alla spesa.
4. I proventi di cui all'articolo 11, comma 2, sono versati all'entrata del bilancio dello Stato, per essere riassegnati al capitolo di cui al comma 1 del presente articolo.
5. Ai fini dell'immediata attuazione delle disposizioni del presente decreto il Ministro dell'economia e delle finanze e' autorizzato ad apportare, con propri decreti, anche in conto residui, le occorrenti variazioni di bilancio.».