Attuazione della direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio. (24G00150)

Fermo restando quanto previsto dall'articolo 10, il presente decreto non si applica alle materie disciplinate dalle disposizioni nazionali di attuazione della direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, le cui misure sulla gestione dei rischi della cibersicurezza sono basate su un approccio multirischio che mira a proteggere anche l'ambiente fisico dei sistemi informatici da eventi che possono avere origini diverse.

Qualora gli obblighi previsti per i soggetti critici di adottare misure per rafforzare la loro resilienza siano oggetto di uno specifico atto giuridico dell'Unione europea, si applicano le disposizioni di detto atto giuridico nella misura in cui gli effetti di tali obblighi siano almeno equivalenti a quelli degli obblighi di cui al presente decreto. In tale circostanza non si applicano le disposizioni in materia di vigilanza ed esecuzione di cui al presente decreto.

Fatto salvo quanto previsto dall'articolo 346 del Trattato sul funzionamento dell'Unione europea, se l'applicazione del presente decreto comporta la comunicazione di informazioni riservate ai sensi delle disposizioni nazionali o delle disposizioni dell'Unione europea, tale comunicazione e' limitata a quanto strettamente necessario ai fini dell'applicazione medesima e le informazioni scambiate sono esclusivamente quelle pertinenti e commisurate allo scopo. In ogni caso, la comunicazione di cui al primo periodo tutela la riservatezza di tali informazioni, nonche' la sicurezza e gli interessi commerciali dei soggetti critici di cui all'articolo 2, comma 1, lettera a). Gli obblighi stabiliti dal presente decreto non comportano la comunicazione di informazioni la cui divulgazione sarebbe contraria agli interessi essenziali dello Stato in materia di sicurezza nazionale, di difesa o di pubblica sicurezza.

Resta impregiudicata la responsabilita' dello Stato di tutelare la sicurezza nazionale, la difesa e le altre funzioni essenziali dello Stato, tra cui la garanzia dell'integrita' territoriale dello Stato e il mantenimento dell'ordine pubblico.

Il presente decreto non si applica agli organi e alle articolazioni della pubblica amministrazione, nonche' agli enti di cui all'articolo 2, comma 1, lettera l), che operano nei settori della pubblica sicurezza, della difesa nazionale o dell'attivita' di contrasto, compresi l'indagine, l'accertamento e il perseguimento di reati, nonche' agli organismi di informazione per la sicurezza di cui alla legge 3 agosto 2007, n. 124, all'Agenzia per la cybersicurezza nazionale di cui al decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109. Esso non si applica, altresi', al Parlamento, alla Banca d'Italia, all'Unita' di informazione finanziaria per l'Italia di cui all'articolo 6 del decreto legislativo 21 novembre 2007, n. 231 e agli organi giudiziari.

Con uno o piu' decreti del Presidente del Consiglio dei ministri, di concerto, per gli ambiti di rispettiva competenza, con i Ministri della giustizia, dell'interno e della difesa, sentito il Comitato interministeriale per la resilienza di cui all'articolo 4, sono individuati specifici soggetti critici che svolgono attivita' principalmente nei settori della pubblica sicurezza, della protezione civile, della difesa o dell'attivita' di contrasto, accertamento e perseguimento di reati, ovvero che forniscono servizi esclusivamente agli organi, alle articolazioni o agli enti della pubblica amministrazione di cui al comma 6, ai quali, nell'espletamento di tali attivita' o servizi, non si applicano le disposizioni di cui all'articolo 12 e ai capi III, IV e VI del presente decreto.

Resta ferma l'applicazione del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196.

Con decreto del Presidente del Consiglio dei ministri, da adottare ai sensi dell'articolo 43 della legge 3 agosto 2007, n. 124, sono individuati specifici soggetti critici che svolgono attivita' principalmente o forniscono servizi esclusivamente per gli organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della legge n. 124 del 2007, ai quali, nell'espletamento delle predette attivita' o servizi, non si applicano le disposizioni di cui all'articolo 12 e ai capi III, IV e VI del presente decreto.

Nell'ambito delle competenze di cui al comma 1, lettera a), e dell'attuazione della strategia di cui all'articolo 6, il Presidente del Consiglio dei ministri impartisce le direttive per la resilienza dei soggetti critici, sentito il Comitato interministeriale per la resilienza di cui all'articolo 4.

Il Presidente del Consiglio dei ministri puo' delegare a un Ministro senza portafoglio, ovvero a un Sottosegretario di Stato alla Presidenza del Consiglio dei ministri, le competenze in materia di resilienza dei soggetti critici ad esso attribuite, ad eccezione di quelle di cui al comma 1.

Il Ministro o il Sottosegretario di Stato alla Presidenza del Consiglio dei ministri con delega alla resilienza dei soggetti critici aggiorna il Presidente del Consiglio dei ministri sull'esercizio delle competenze delegate ai sensi del comma 3.

Presso la Presidenza del Consiglio dei ministri e' istituito il Comitato interministeriale per la resilienza (CIR).

Il CIR e' presieduto dal Presidente del Consiglio dei ministri ovvero dal Ministro senza portafoglio o dal Sottosegretario di Stato alla Presidenza del Consiglio dei ministri con delega alla resilienza dei soggetti critici ed e' composto dal Ministro degli affari esteri e della cooperazione internazionale, dal Ministro dell'interno, dal Ministro della giustizia, dal Ministro della difesa, dal Ministro dell'economia e delle finanze, dal Ministro delle imprese e del made in Italy, dal Ministro dell'agricoltura, della sovranita' alimentare e delle foreste, dal Ministro dell'ambiente e della sicurezza energetica, dal Ministro delle infrastrutture e dei trasporti, dal Ministro della salute, dal Ministro per la protezione civile e le politiche del mare, dall'Autorita' delegata di cui all'articolo 3, comma 1, della legge 3 agosto 2007, n. 124, e dall'Autorita' delegata alle politiche spaziali e aerospaziali.

Il responsabile del punto di contatto unico di cui all'articolo 5, comma 5, svolge le funzioni di segretario del CIR.

Alle sedute del CIR partecipano, senza diritto di voto, il direttore generale dell'Agenzia per la cybersicurezza nazionale e, a seguito di invito del Presidente del Consiglio dei ministri, anche su loro richiesta, Ministri diversi da quelli di cui al comma 3, il capo del Dipartimento della protezione civile della Presidenza del Consiglio dei ministri e altre autorita' civili e autorita' militari la cui presenza e' necessaria in relazione all'ordine del giorno delle sedute.

Autorita' settoriali competenti
e punto di contatto unico

Con accordo definito entro il 30 ottobre 2024 in sede di Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano, sono definite modalita' di collaborazione tra le ASC, le regioni e le province autonome interessate, quando il soggetto critico ha carattere regionale ovvero opera esclusivamente sul territorio di una regione o provincia autonoma nei settori di cui alle lettere a), b), d), e) ed h). Con il medesimo accordo, nei casi di cui al primo periodo, sono definiti altresi' criteri uniformi in ambito nazionale per lo svolgimento delle attivita' di ispezione e di verifica, per le misure previste dagli articoli 13, 14 e 16 e 20.

Quando opportuno, le ASC, senza imposizioni o discriminazioni a favore dell'uso di un particolare tipo di tecnologia, incoraggiano l'uso di norme e specifiche tecniche europee e internazionali per le misure sulla sicurezza e sulla resilienza applicabili ai soggetti critici.

E' istituito nell'ambito della Presidenza del Consiglio dei ministri il punto di contatto unico in materia di resilienza dei soggetti critici (PCU). Con decreto del Presidente del Consiglio dei ministri, da adottare ai sensi dell'articolo 7 del decreto legislativo 30 luglio 1999, n. 303, e' definita l'organizzazione del PCU tenuto anche conto di quanto previsto dal comma 1, lettera g), e lettera i). Il punto di contatto e le ASC presso la Presidenza del Consiglio dei ministri sono complessivamente composti da cinque unita' di livello dirigenziale, di cui massimo una di livello dirigenziale generale, e ventisette unita' di personale non dirigenziale, con corrispondente incremento della dotazione organica.
Per le finalita' cui al presente comma e' autorizzata la spesa di euro 893.205 per l'anno 2024 e di euro 3.572.820 annui a decorrere dall'anno 2025.

Entro il 17 luglio 2028 e, successivamente, ogni due anni, il PCU trasmette alla Commissione europea e al gruppo per la resilienza dei soggetti critici di cui all'articolo 19 una relazione di sintesi in merito alle notifiche ricevute ai sensi dell'articolo 16, comma 1, compresi il numero di notifiche e la natura degli incidenti notificati, e alle azioni intraprese dalle ASC ai sensi dell'articolo 16, comma 6. Per la redazione di tale relazione, il PCU puo' utilizzare il modello di cui all'articolo 9, paragrafo 3, secondo comma, della direttiva (UE) 2022/2557.

Il PCU elabora annualmente un documento di sintesi sullo stato della resilienza dei soggetti critici e lo trasmette al Presidente del Consiglio dei ministri ovvero al Ministro o al Sottosegretario di Stato alla Presidenza del Consiglio dei ministri con delega alla resilienza dei soggetti critici per la comunicazione al CIR.

Il PCU e le ASC cooperano tra loro e possono cooperare con il Dipartimento della protezione civile della Presidenza del Consiglio dei ministri, il Ministero dell'interno, il Garante per la protezione dei dati personali, i soggetti critici e le parti interessate.

Il PCU e le ASC cooperano e scambiano informazioni con l'Agenzia nazionale per la cybersicurezza sui rischi di cybersicurezza, sulle minacce e sugli incidenti informatici e sui rischi, sulle minacce e sugli incidenti non informatici che hanno ripercussioni sui soggetti critici, anche per quanto riguarda le pertinenti misure adottate dai medesimi PCU, ASC o Agenzia nazionale per la cybersicurezza nazionale.

Il PCU, le ASC e l'Agenzia per la cybersicurezza nazionale cooperano e trasmettono informazioni agli organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124, su rischi, minacce e incidenti, anche di natura informatica, che hanno ripercussioni sui soggetti critici, nonche' sulle relative misure adottate dai medesimi PCU, ASC e Agenzia per la cybersicurezza nazionale.

Entro tre mesi dall'istituzione del PCU e dalla designazione delle ASC, la Presidenza del Consiglio dei ministri notifica alla Commissione europea l'identita' del PCU e delle ASC, i dati di contatto, le competenze e le responsabilita' previste dal presente decreto e, successivamente, notifica tempestivamente alla Commissione europea ogni modifica delle informazioni notificate in precedenza. La Presidenza del Consiglio dei ministri assicura adeguata e tempestiva pubblicita' all'identita' del PCU e delle ASC e ad ogni modifica di tale identita'.

Ciascuna ASC, per l'esercizio delle competenze attribuite dal presente decreto, individua, tra quelli esistenti, un ufficio dirigenziale di livello non generale, o istituisce un apposito ufficio dirigenziale non generale, composto da un dirigente di seconda fascia e da sei unita' di personale appartenente all'area funzionari del vigente contratto collettivo nazionale - Comparto funzioni centrali, o categorie equivalenti, posto alle dirette dipendenze del segretario generale o del soggetto individuato secondo i rispettivi ordinamenti, con corrispondente incremento della dotazione organica, adottando il relativo provvedimento di organizzazione con decorrenza non anteriore al 1° ottobre 2024 e dandone comunicazione al Ministero dell'economia e delle finanze - Dipartimento della Ragioneria generale dello Stato. Resta fermo per la Presidenza del Consiglio dei ministri quanto previsto dal comma 5.
Il PCU e ciascuna ASC sono autorizzati a reclutare, con contratto di lavoro subordinato a tempo indeterminato, i dirigenti di cui al comma 5 e di cui al primo periodo del presente comma anche mediante i concorsi unici di cui all'articolo 19, del decreto del Presidente della Repubblica 9 maggio 1994, n. 487, o attraverso lo scorrimento di vigenti graduatorie di concorsi pubblici. Il PCU e ciascuna ASC sono autorizzati a reclutare con contratto di lavoro subordinato a tempo indeterminato il contingente di personale non dirigenziale di cui al comma 5 e di cui al primo periodo del presente comma, mediante procedure di passaggio diretto di personale tra amministrazioni pubbliche ai sensi dell'articolo 30 del decreto legislativo 30 marzo 2001, n. 165, scorrimento di vigenti graduatorie di concorsi pubblici o attraverso i concorsi unici di cui all'articolo 19, del decreto del Presidente della Repubblica 9 maggio 1994, n. 487, nonche' ad avvalersi di personale non dirigenziale posto in posizione di comando, ai sensi dell'articolo 17, comma 14, della legge 15 maggio 1997, n. 127, di aspettativa, distacco o fuori ruolo ovvero altro analogo istituto previsto dai rispettivi ordinamenti, ad esclusione del personale docente, educativo, amministrativo, tecnico e ausiliario delle istituzioni scolastiche. All'atto del collocamento fuori ruolo e' reso indisponibile, nella dotazione organica dell'amministrazione di provenienza, per tutta la durata del collocamento fuori ruolo, un numero di posti equivalente dal punto di vista finanziario. Ai fini dello svolgimento delle attivita' di collaborazione di cui al comma 1, lettera f) del presente articolo, il Ministero delle imprese e del made in Italy e' autorizzato ad assumere con contratto di lavoro subordinato a tempo indeterminato, con corrispondente incremento della dotazione organica, 2 unita' di personale appartenente all'area dei funzionari del vigente contratto collettivo nazionale - Comparto funzioni centrali, con le medesime modalita' di reclutamento previste dal presente comma. Per le finalita' di cui al presente comma e' autorizzata la spesa 1.088.968 per l'anno 2024 e di euro 3.155.871 annui a decorrere dall'anno 2025.

Agli oneri derivanti dai commi 5, e 13 del presente articolo, pari a euro 1.982.173 per l'anno 2024 e pari a euro 6.728.691 annui a decorrere dall'anno 2025, si provvede mediante corrispondente riduzione del Fondo per il recepimento della normativa europea di cui all'articolo 41-bis della legge 24 dicembre 2012, n. 234.

L'Agenzia per la Cybersicurezza Nazionale e l'Agenzia Italiana del Farmaco provvedono all'attuazione del presente articolo con le risorse umane strumentali e finanziarie disponibili a legislazione vigente.

Con decreto del Presidente del Consiglio dei ministri, di concerto con il Ministro dell'economia e delle finanze, le somme relative alla copertura degli oneri di funzionamento sono ripartite tra le ASC in ragione del numero dei settori, dei sottosettori e delle categorie dei potenziali soggetti critici, nonche' dei relativi elementi di complessita' tecnica.

Il Presidente del Consiglio dei ministri, a seguito di una consultazione aperta ai portatori di interesse, sentito il CIR e tenuto conto della strategia nazionale per la cybersicurezza, adotta la strategia nazionale per la resilienza dei soggetti critici, di seguito «strategia», entro il 17 luglio 2025 e, successivamente, la aggiorna almeno ogni quattro anni.

Il PCU notifica alla Commissione europea la strategia e i suoi aggiornamenti sostanziali entro tre mesi dalla loro adozione.

Il PCU, entro il 17 luglio 2025 e, successivamente, quando necessario e, in ogni caso, almeno ogni quattro anni, acquisite le valutazioni del rischio da parte delle ASC per i settori di competenza, con riferimento ai servizi essenziali individuati con regolamento delegato (UE) 2023/2450 della Commissione, del 25 luglio 2023, e con il decreto di cui al comma 2, redige la valutazione del rischio dello Stato.

La valutazione del rischio dello Stato tiene conto dei rischi rilevanti, naturali e di origine umana, ivi compresi i rischi di natura intersettoriale o transfrontaliera, gli incidenti anche diversi da quelli di cui all'articolo 16, le catastrofi naturali, le emergenze di sanita' pubblica, le minacce ibride e altre minacce antagoniste, inclusi i reati con finalita' di terrorismo anche internazionale. Ai fini dell'individuazione dei rischi di natura intersettoriale o transfrontaliera, il PCU e le ASC, sentito il Ministero degli affari esteri e della cooperazione internazionale, cooperano con le autorita' competenti designate o istituite, ai sensi della direttiva (UE) 2022/2557, da parte degli altri Stati membri e con le autorita' competenti dei Paesi terzi.

Il PCU mette a disposizione dei soggetti critici gli elementi rilevanti della valutazione del rischio dello Stato. Il PCU garantisce che le informazioni fornite ai soggetti critici siano funzionali affinche' essi effettuino la propria valutazione del rischio ai sensi dell'articolo 13 e adottino le misure per garantire la propria resilienza ai sensi dell'articolo 14.

Il PCU trasmette alla Commissione europea le informazioni pertinenti sui tipi di rischi individuati e sui risultati della valutazione del rischio dello Stato, per settore e sottosettore di cui all'allegato A, entro tre mesi dalla sua effettuazione.

Le ASC, con il procedimento di cui all'articolo 6, comma 2, lettera d), individuano per ciascun settore e sottosettore di cui all'allegato A i soggetti ritenuti critici entro il 17 gennaio 2026 e li comunicano al PCU.

Il PCU, tenuto conto delle comunicazioni pervenute ai sensi del comma 1, coordina le attivita' delle ASC, avviando, ove necessario, apposite interlocuzioni per garantire l'omogeneita' dei criteri applicati, nel rispetto di quanto previsto dal decreto del Presidente del Consiglio dei ministri di cui all'articolo 9, comma 2, e forma un elenco dei soggetti critici.

Con decreto del Presidente del Consiglio dei ministri, sentito il CIR, entro il 17 luglio 2026, e' adottato l'elenco dei soggetti critici individuati ai sensi del comma 3. Il decreto di cui al primo periodo non e' soggetto a pubblicazione ed e' escluso dall'accesso.

Entro trenta giorni dall'adozione dell'elenco di cui al comma 4, il PCU notifica ai soggetti che vi compaiono che i medesimi sono stati individuati come soggetti critici. Con la notifica di cui al primo periodo, il PCU informa tali soggetti critici degli obblighi di cui ai capi III e IV e del fatto che gli stessi obblighi si applicano dopo la scadenza del termine di dieci mesi dalla medesima notifica, fatto salvo quanto previsto dall'articolo 13, comma 1, e dall'articolo 17, comma 2. Il PCU informa, altresi', i soggetti critici dei settori bancario, delle infrastrutture dei mercati finanziari e delle infrastrutture digitali, di cui all'articolo 10, che essi non sono soggetti agli obblighi di cui all'articolo 12 e ai capi III e IV. La medesima notifica contiene l'indicazione dell'ASC di riferimento.

Il PCU, entro trenta giorni dall'adozione dell'elenco di cui al comma 4, notifica all'Agenzia per la cybersicurezza nazionale l'identita' dei soggetti critici. Tale notifica indica anche a quali soggetti critici non si applicano, ai sensi dell'articolo 10, l'articolo 12 e i capi III, IV e VI.

L'elenco di cui al comma 4 e' trasmesso anche agli organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124, con l'indicazione dei soggetti di cui al secondo periodo del comma 6.

L'elenco dei soggetti critici di cui al comma 4 e' riesaminato e, se del caso, aggiornato, quando necessario e, in ogni caso, almeno ogni quattro anni, con le medesime modalita' di cui ai commi 1, 2, 3 e 4. Qualora tali aggiornamenti portino all'individuazione di soggetti critici ulteriori, si applicano i commi 5 e 6. Ai soggetti critici che in sede di aggiornamento non sono confermati, il PCU notifica tempestivamente tale decisione, anche informandoli che, a decorrere dalla data di ricevimento della notifica, non sono soggetti agli obblighi previsti dal presente decreto.

I soggetti di carattere regionale ritenuti critici sono individuati con decreto del Ministro dell'ambiente e della sicurezza energetica nel settore dell'energia di cui al numero 1 dell'allegato A, con decreto del Ministro delle infrastrutture e dei trasporti nel settore dei trasporti di cui al numero 2 dell'allegato A, con decreto del Ministro della salute nel settore della salute di cui al numero 5 dell'allegato A, con decreto del Ministro dell'ambiente e della sicurezza energetica nel settore dell'acqua potabile di cui al numero 6 dell'allegato A e nel settore delle acque reflue di cui al numero 7 dell'allegato A, con decreto del Ministro dell'agricoltura, della sovranita' alimentare e delle foreste nel settore della produzione, trasformazione e distribuzione di alimenti di cui al numero 11 dell'allegato A. I decreti di cui al primo periodo sono adottati previa intesa in sede di Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano, ai sensi dell'articolo 3 del decreto legislativo 28 agosto 1997, n. 281.

Entro il 17 luglio 2025, con decreto del Presidente del Consiglio dei ministri, adottato su proposta del CIR, sono definite le soglie per l'applicazione di uno o piu' criteri di cui al comma 1, anche differenziate in ragione del settore di appartenenza.

Lo schema di decreto di cui al comma 2 e' trasmesso alla Camera dei deputati e al Senato della Repubblica per l'espressione del parere delle Commissioni parlamentari competenti per materia, che si pronunciano nel termine di trenta giorni, decorso il quale il decreto puo' essere comunque adottato.

Le disposizioni di cui all'articolo 12 e ai capi III, IV e VI non si applicano ai soggetti critici dei settori di cui ai numeri 3, 4 e 8 dell'allegato A, ai quali si applica la specifica disciplina settoriale.

Ferme restando le disposizioni in materia di aiuti di Stato, il PCU e le ASC, anche sulla base della valutazione del rischio dello Stato, sostengono i soggetti critici nel rafforzamento della loro resilienza, attraverso attivita' di scambio con essi di buone prassi, elaborazione di modelli, linee guida e metodologie di analisi, supporto nell'organizzazione di esercitazioni volte a testare la loro resilienza, nonche' nella realizzazione di corsi di formazione per il loro personale e, ove possibile, attraverso attivita' di consulenza.

Il PCU e le ASC agevolano la condivisione volontaria di informazioni fra i soggetti critici in relazione alle materie disciplinate dal presente decreto, nel rispetto delle disposizioni nazionali e del diritto dell'Unione europea relative alle informazioni classificate e sensibili, alla concorrenza e alla protezione dei dati personali.

Il PCU convoca e coordina, con cadenza periodica almeno annuale, anche su richiesta dei componenti, una conferenza per la resilienza dei soggetti critici (CRSC) composta da un rappresentante per ciascuna delle ASC, un rappresentante del Ministero dell'interno, uno del Ministero della difesa, uno del Dipartimento della protezione civile della Presidenza del Consiglio dei ministri e uno dell'Agenzia per la cybersicurezza nazionale.

Alla conferenza di cui al comma 3 possono partecipare i soggetti critici appartenenti ai settori di volta in volta oggetto della medesima conferenza, rappresentati dai membri del proprio personale di cui all'articolo 14, comma 3, nonche' soggetti pubblici e privati invitati dal PCU in base all'oggetto della conferenza.

La CRSC tratta questioni attinenti alla resilienza dei soggetti critici, agevola la condivisione, tra i componenti, di informazioni e delle migliori prassi e formula proposte in materia di rafforzamento della resilienza dei soggetti critici.

Ai componenti della CRSC non spettano compensi, gettoni di presenza, rimborsi di spese o altri emolumenti comunque denominati.

Alle attivita' di cui al comma 1, si provvede nei limiti delle risorse destinate al funzionamento di cui all'articolo 5, comma 16, del presente decreto.

Il PCU riceve le richieste di consultazione da parte degli altri Stati membri e le comunica senza ritardo alle autorita' competenti interessate.

Le consultazioni di cui ai commi 1 e 2 sono intese a rafforzare la resilienza dei soggetti critici e, ove possibile, a ridurre gli oneri amministrativi a loro carico.

All'attuazione del presente articolo le amministrazioni interessate provvedono con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente.

Fermo restando il termine di dieci mesi di cui all'articolo 8, comma 5, i soggetti critici, al fine di valutare tutti i rischi rilevanti che potrebbero perturbare la fornitura dei loro servizi essenziali, effettuano una valutazione del rischio entro nove mesi dal ricevimento della notifica di cui al medesimo articolo 8, comma 5, e, successivamente, quando necessario e, in ogni caso, almeno ogni quattro anni, basandosi sulla valutazione del rischio dello Stato e su altre fonti di informazioni rilevanti.

Ai fini della valutazione del rischio di cui al comma 1, i soggetti critici individuano le proprie infrastrutture critiche ai sensi dell'articolo 2, comma 1, lettera d).

I soggetti critici possono adempiere gli obblighi di cui ai commi 1, 2 e 3 utilizzando documenti gia' predisposti ai sensi di disposizioni giuridiche pertinenti, diverse da quelle di cui al presente decreto, a condizione che tali documenti tengano conto dei rischi di cui al comma 3, lettera a), e della misura di dipendenza di cui al comma 3, lettera b).

Nell'esercizio delle funzioni di vigilanza di cui all'articolo 20, le ASC dichiarano se con i documenti gia' adottati di cui al comma 4 i soggetti critici hanno, in tutto o in parte, adempiuto agli obblighi di cui ai commi 1, 2 e 3.

I soggetti critici, tenuto conto delle proprie infrastrutture critiche, individuate in base all'articolo 13, comma 2, adottano e applicano misure tecniche, di sicurezza e di organizzazione, adeguate e proporzionate, per garantire la propria resilienza, sulla base delle informazioni pertinenti fornite in merito alla valutazione del rischio dello Stato, messe a disposizione dal PCU ai sensi dell'articolo 7, comma 6, nonche' sulla base dei risultati della valutazione del rischio dei soggetti critici.

I soggetti critici si dotano di un'adeguata organizzazione interna, e designano un soggetto, da comunicare alle ASC e al PCU, al fine di assicurare l'attuazione degli adempimenti previsti dal presente decreto per i soggetti critici, nonche' il collegamento con le ASC e con il PCU.
Per le finalita' di cui al primo periodo i soggetti critici pubblici provvedono nell'ambito delle risorse umane, strumentali, finanziarie disponibili a legislazione vigente.

I soggetti critici predispongono e applicano un piano di resilienza in cui sono descritte le misure adottate ai sensi dei commi 1, 2 e 3. I soggetti critici aggiornano il piano di resilienza quando necessario e, in ogni caso, almeno ogni tre anni. Qualora i soggetti critici abbiano redatto documenti o adottato misure ai sensi di disposizioni giuridiche pertinenti diverse da quelle di cui al presente decreto per le misure stabilite dai commi 1, 2 e 3, essi possono utilizzare tali documenti e misure per soddisfare i requisiti stabiliti dal presente articolo.

Nell'esercizio delle loro funzioni di vigilanza, le ASC dichiarano se le misure e i documenti di cui al comma 4 sono conformi, in tutto o in parte, agli obblighi di cui al presente articolo.

Ai fini dell'istanza di cui al comma 1, il soggetto critico trasmette alla ASC una richiesta motivata con specifico riferimento alle condizioni di cui alle lettere a), b) e c) del medesimo comma 1 e ai reati ritenuti rilevanti ai fini del ruolo da ricoprire. La ASC valuta la sussistenza delle condizioni necessarie e della motivazione e verifica che i controlli richiesti siano proporzionati e strettamente limitati a quanto necessario, anche con riferimento alla rilevanza dei reati, nonche' che siano effettuati al solo scopo di valutare un potenziale rischio per la sicurezza del soggetto critico interessato. Nel caso in cui la ASC non fornisca risposta entro dieci giorni dalla data di ricevimento della richiesta di cui al primo periodo, l'autorizzazione alla presentazione dell'istanza di cui al comma 1 si intende negata.

Con decreto del Presidente del Consiglio dei ministri, sentito il Garante per la protezione dei dati personali, sono individuate le modalita' ed i tempi di conservazione dei certificati del casellario giudiziale europeo nel rispetto della disciplina nazionale ed europea.

L'ufficio centrale di cui agli articoli 2, comma 1, lettera p), e 19 del testo unico di cui al decreto del Presidente della Repubblica n. 313 del 2002, fornisce risposte alle richieste di cui al comma 1 entro dieci giorni lavorativi dalla data di ricevimento della richiesta e tratta tali richieste nel rispetto delle disposizioni del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, del decreto legislativo 18 maggio 2018, n. 51, e del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016.

I soggetti critici, senza indebito ritardo, notificano all'autorita' settoriale competente e al PCU gli incidenti rilevanti, che perturbano o possono perturbare in modo significativo la fornitura di servizi essenziali.

Salvo che siano operativamente impossibilitati a farlo, i soggetti critici effettuano la notifica di cui al comma 1 entro ventiquattro ore dal momento in cui vengono a conoscenza dell'incidente e, ove opportuno, trasmettono una relazione dettagliata entro i successivi trenta giorni.

Con il decreto del Presidente del Consiglio dei ministri di cui all'articolo 9, comma 2, sono individuate, su proposta delle ASC, per il tramite del PCU, soglie quantitative, per ciascuno dei parametri di cui al comma 3, con specifico riferimento ai singoli settori di cui all'allegato A. Con il medesimo decreto sono individuate, altresi', le modalita' con cui effettuare la notifica di cui al comma 2.

Gli incidenti che perturbano o possono perturbare in modo significativo la continuita' della fornitura dei servizi essenziali almeno a o in sei Stati membri sono notificati dalle ASC alla Commissione europea, tramite il PCU.

Le notifiche di cui al comma 1 includono ogni informazione utile a permettere alle ASC e al PCU di conoscere natura, causa e possibili conseguenze dell'incidente, compresa ogni informazione utile a determinare l'eventuale impatto transfrontaliero degli incidenti, nonche' ogni informazione utile a permettere alle ASC di reagire tempestivamente agli incidenti e non espongono i soggetti critici a una maggiore responsabilita'.

Il PCU trasmette agli organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124, gli elementi delle notifiche di cui al comma 6, relative agli incidenti di cui all'articolo 2, comma 1, lettera c), nonche' degli incidenti notificati ai sensi del comma 5.

Sulla base delle informazioni fornite dai soggetti critici nelle notifiche di cui al comma 1, le ASC, tramite il PCU, quando gli incidenti notificati hanno o possono avere un impatto rilevante sulla continuita' della fornitura di servizi essenziali a o in altri Stati membri, informano i punti di contatto unici designati o istituiti, ai sensi della direttiva (UE) 2022/2557, da parte di tali Stati membri.

Le informazioni fornite e ricevute dal PCU ai sensi del comma 7 sono trattate da quest'ultimo ai sensi delle disposizioni nazionali e del diritto dell'Unione europea, rispettandone la riservatezza e tutelando la sicurezza e gli interessi commerciali dei soggetti critici interessati.

Ferme restando le disposizioni a tutela delle indagini nel procedimento penale e a tutela della sicurezza delle informazioni classificate, le ASC che hanno ricevuto una notifica ai sensi del comma 1 forniscono tempestivamente al soggetto critico notificante e al PCU ogni informazione utile in merito al seguito dato alla notifica, compresa ogni informazione utile a permettere al soggetto critico un'efficace risposta all'incidente notificato.

Le ASC che hanno ricevuto una notifica ai sensi del comma 1 assicurano, di concerto con il PCU, adeguata pubblicita' ad ogni informazione rilevante per l'interesse pubblico relativa all'incidente notificato e al seguito dato a tale notifica.

Sono soggetti critici di particolare rilevanza europea (SCRE) quelli individuati dalla Commissione europea ai sensi dell'articolo 17 della direttiva (UE) 2022/2557 e che hanno ricevuto la notifica ai sensi del paragrafo 3 del medesimo articolo 17.

Entro un mese dalla notifica di individuazione di cui all'articolo 8, comma 5, del presente decreto, i soggetti critici che forniscono servizi essenziali almeno a o in sei Stati membri comunicano al PCU e all'autorita' settoriale competente quali servizi essenziali forniscono a quali o in quali Stati membri.

Il PCU, ai fini della procedura di individuazione degli SCRE da parte della Commissione europea, notifica a quest'ultima, senza indebito ritardo, l'identita' dei soggetti critici che hanno effettuato la comunicazione di cui al comma 2, nonche' le informazioni in essa contenute.

Nel corso della procedura di individuazione degli SCRE di cui al comma 1, i soggetti critici che hanno effettuato la comunicazione di cui al comma 2, le ASC e il PCU, prestano ogni necessaria collaborazione alle attivita' di consultazione avviate dalla Commissione europea. Nel corso delle consultazioni, il PCU comunica alla Commissione europea se i servizi forniti nello Stato da un soggetto individuato come critico in un altro Stato membro siano ritenuti essenziali.

Il PCU e' l'autorita' competente a ricevere la comunicazione di cui all'articolo 17, paragrafo 3, della direttiva (UE) 2022/2557, con la quale la Commissione europea individua un soggetto critico di particolare rilevanza europea. Il PCU, senza indebito ritardo, trasmette la comunicazione di cui al primo periodo all'autorita' settoriale competente, per l'immediata notifica al soggetto critico.

Il presente capo si applica ai soggetti critici individuati come SCRE a decorrere dalla data di ricevimento della notifica di cui al comma 5.

Per valutare le misure adottate da parte di un soggetto critico individuato ai sensi dell'articolo 8, comma 4, e individuato altresi' come SCRE, ai sensi dell'articolo 17 della direttiva (UE) 2022/2557, il PCU, sentita l'autorita' settoriale competente ovvero su proposta di quest'ultima, puo' chiedere alla Commissione europea di organizzare una missione di consulenza ai sensi dell'articolo 18 della direttiva (UE) 2022/2557.

Il PCU, sentita l'autorita' settoriale competente, puo' accogliere la richiesta della Commissione europea di organizzare una missione di consulenza di cui al comma 1.

Il PCU e' l'autorita' competente a ricevere la relazione delle missioni di consulenza di cui all'articolo 18, paragrafo 4, primo comma, della direttiva (UE) 2022/2557. Il PCU, senza indebito ritardo, trasmette la relazione di cui al primo periodo all'autorita' settoriale competente.

Se la relazione di cui al comma 4 riguarda la valutazione delle misure adottate da un soggetto critico di particolare rilevanza europea, individuato come soggetto critico in un altro stato membro e che fornisce servizi essenziali all'Italia o in Italia, il PCU, anche su proposta delle ASC, puo' trasmettere alla Commissione europea osservazioni in merito alla relazione medesima con riferimento all'adempimento degli obblighi di cui al capo III della direttiva (UE) 2022/2557 da parte di tale soggetto critico e all'eventuale necessita' di misure per rafforzare la resilienza di quest'ultimo.

Il PCU e' l'autorita' competente a ricevere il parere della Commissione europea di cui all'articolo 18, paragrafo 4, terzo comma, della direttiva (UE) 2022/2557, in merito all'adempimento degli obblighi di cui al capo III della medesima direttiva (UE) 2022/2557 da parte dello SCRE e in merito alle eventuali misure da adottare per migliorarne la resilienza.

Il PCU, senza indebito ritardo, trasmette il parere di cui al comma 6 all'autorita' settoriale competente.

Se il parere di cui al comma 6 riguarda un soggetto critico individuato ai sensi dell'articolo 8, comma 4, quest'ultimo si adegua a tale parere e l'autorita' settoriale competente verifica il relativo adempimento.

Il PCU, sentiti l'autorita' settoriale competente e il soggetto critico interessato, fornisce alla Commissione europea e agli Stati membri ai quali o nei quali sono forniti i servizi essenziali da parte di tale soggetto informazioni in merito alle misure che sono state adottate sulla base del parere della Commissione.

Il PCU, sentite le ASC, propone alla Commissione europea gli esperti nazionali che partecipano alle missioni di consulenza ai sensi dell'articolo 18, paragrafo 5, della direttiva (UE) 2022/2557, in possesso, nei casi in cui sia necessario in ragione delle attivita' da svolgere, di un valido e appropriato nulla osta di sicurezza, rilasciato ai sensi dell'articolo 9 della legge 3 agosto 2007, n. 124. Tale partecipazione non deve comportare nuovi o maggiori oneri a carico della finanza pubblica.

Il PCU, sentita l'autorita' settoriale competente e con l'accordo del soggetto critico interessato, puo' richiedere alla Commissione europea di organizzare missioni di consulenza, conformemente alle disposizioni di cui all'articolo 18, paragrafi 6, 8 e 9, della direttiva (UE) 2022/2557, al fine di consigliare il soggetto critico riguardo all'adempimento degli obblighi di cui al capo III del presente decreto.

Le missioni di consulenza di cui ai commi 1 e 2, nei limiti di quanto necessario per il proprio svolgimento, hanno accesso alle informazioni, ai sistemi e agli impianti relativi alla fornitura di servizi essenziali da parte dei soggetti critici individuati come SCRE.

Le missioni di consulenza di cui ai commi 1 e 2 si svolgono conformemente al diritto nazionale e nel rispetto delle esigenze di sicurezza e di tutela degli interessi nazionali.

Il PCU, sentita l'autorita' settoriale competente, informa il gruppo per la resilienza dei soggetti critici di cui all'articolo 19 della direttiva (UE) 2022/2557 in merito ai principali risultati delle missioni di consulenza di cui ai commi 1 e 2 e alle relative conclusioni, al fine di promuovere l'apprendimento reciproco.

Agli oneri di missione derivanti dal presente articolo, pari a euro 14.472 per l'anno 2024 e pari a euro 57.888 annui a decorrere dall'anno 2025, si provvede mediante corrispondente riduzione del Fondo per il recepimento della normativa europea di cui all'articolo 41-bis della legge 24 dicembre 2012, n. 234.

Con decreto del Presidente del Consiglio dei ministri, di concerto con il Ministro dell'economia e delle finanze, le somme relative alla copertura degli oneri di missione sono ripartite tra il PCU e le ASC in ragione delle funzioni agli stessi attribuite dal presente decreto e tenendo conto, per quanto riguarda le ASC, del numero dei settori, dei sottosettori e delle categorie dei potenziali soggetti critici, nonche' dei relativi elementi di complessita' tecnica.

Il PCU partecipa alle attivita' del gruppo per la resilienza dei soggetti critici di cui all'articolo 19 della direttiva (UE) 2022/2557. Il personale del PCU designato a partecipare al gruppo di cui al primo periodo e' in possesso, se necessario, del nulla osta di sicurezza, rilasciato ai sensi dell'articolo 9 della legge 3 agosto 2007, n. 124.

Le richieste di cui al comma 2 indicano il proprio scopo e specificano il tipo di informazioni da fornire.

Fatto salvo il potere sanzionatorio di cui all'articolo 21, le ASC, quando a seguito dell'esercizio dei poteri di vigilanza di cui al comma 1 e della valutazione degli elementi richiesti ai sensi del comma 2, accertano la violazione degli obblighi imposti dal presente decreto, diffidano i soggetti critici cui la violazione si riferisce ad adottare, entro un termine ragionevole, da indicare nella diffida, le misure, necessarie e proporzionate, per sanare la violazione, nonche' a fornire le informazioni sulle misure adottate.

Le diffide di cui al comma 4 tengono conto della gravita' della violazione.

I poteri di cui ai commi 1, 2 e 4 sono esercitati in modo oggettivo, trasparente, proporzionato e tale da tutelare i segreti commerciali e aziendali dei soggetti critici, nonche' i loro diritti e interessi legittimi, inclusi il diritto al contraddittorio, i diritti della difesa, tra cui quello di produrre documenti e di formulare osservazioni, e il diritto a un ricorso effettivo dinanzi a un giudice indipendente.

Al fine di quanto previsto dal comma 7, le ASC, informato il PCU, cooperano e scambiano informazioni con l'Agenzia per la cybersicurezza nazionale.

Le ASC, per i rispettivi settori e sottosettori di riferimento di cui all'allegato A, sono competenti per l'accertamento delle violazioni delle disposizioni di cui al presente decreto da parte di un soggetto critico e per l'irrogazione delle sanzioni amministrative previste dal presente articolo.

Salvo che il fatto costituisca reato, le ASC applicano una sanzione amministrativa pecuniaria, da 10.000 euro a 50.000 euro, nei confronti del soggetto critico che, entro trenta giorni dallo scadere del termine di cui all'articolo 20, comma 2, non fornisca le informazioni e le prove richieste e non risponda per esporre le ragioni del ritardo.

Si ha reiterazione delle violazioni di cui al presente articolo nei casi regolati dall'articolo 8-bis della legge 24 novembre 1981, n. 689. La reiterazione determina l'aumento fino al triplo della sanzione prevista.

Ai fini dell'irrogazione delle sanzioni amministrative pecuniarie di cui ai commi 1 e 2, le ASC, per quanto non previsto dal presente decreto, applicano il capo I, sezioni I e II, della legge n. 689 del 1981.

Salvo quanto previsto dall'articolo 5, comma 14, e dall'articolo 18, comma 15, dall'attuazione del presente decreto non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Le amministrazioni interessate vi provvedono nell'ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente.

Le disposizioni di cui al presente decreto si applicano a decorrere dal 18 ottobre 2024.

A decorrere dal 18 ottobre 2024 il decreto legislativo 11 aprile 2011, n. 61 e' abrogato.