Cybersicurezza: gli adeguamenti alla legislazione comunitaria sono contenuti nel decreto legislativo 3 agosto 2022, n. 123 (in Gazzetta Ufficiale del 20 agosto 2022, n. 194).
In particolare, il riferimento è al titolo III «Quadro di certificazione della cibersicurezza» del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio del 17 aprile 2019 relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza»).
Clicca qui per la strategia nazionale sulla cybersicurezza
Di seguito il testo del decreto legislativo 3 agosto 2022, n. 123.
Non sei ancora abbonato ad Ambiente&Sicurezza? Clicca qui
Decreto legislativo 3 agosto 2022, n. 123
Norme di adeguamento della normativa nazionale alle disposizioni del
Titolo III «Quadro di certificazione della cibersicurezza» del
regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio del
17 aprile 2019 relativo all'ENISA, l'Agenzia dell'Unione europea per
la cibersicurezza, e alla certificazione della cibersicurezza per le
tecnologie dell'informazione e della comunicazione, e che abroga il
regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza»).
(22G00133)
(in Gazzetta Ufficiale del 20 agosto 2022, n. 194)
Vigente al: 4-9-2022
Capo I
Disposizioni generali
IL PRESIDENTE DELLA REPUBBLICA
Visti gli articoli 76 e 87, quinto comma, della Costituzione;
Visto l'articolo 14, comma 1, della legge 23 agosto 1988, n. 400,
recante disciplina dell'attivita' di Governo e ordinamento della
Presidenza del Consiglio dei ministri;
Vista la legge 24 dicembre 2012, n. 234, recante norme generali
sulla partecipazione dell'Italia alla formazione e all'attuazione
della normativa e delle politiche dell'Unione europea;
Vista la legge 22 aprile 2021, n. 53, concernente delega al Governo
per il recepimento delle direttive europee e l'attuazione di altri
atti dell'Unione europea - Legge di delegazione europea 2019-2020, e,
in particolare, l'articolo 18, recante i principi e criteri direttivi
per l'adeguamento della normativa nazionale alle disposizioni del
titolo III del regolamento (UE) 2019/881;
Visto il regolamento (CE) n. 765/2008 del Parlamento europeo e del
Consiglio, del 9 luglio 2008, che pone norme in materia di
accreditamento e vigilanza del mercato per quanto riguarda la
commercializzazione dei prodotti e che abroga il regolamento (CEE) n.
339/93;
Visto il regolamento (UE) 2019/881 del Parlamento europeo e del
Consiglio, del 17 aprile 2019, relativo all'ENISA, l'Agenzia
dell'Unione europea per la cibersicurezza, e alla certificazione
della cibersicurezza per le tecnologie dell'informazione e della
comunicazione, e che abroga il regolamento (UE) n. 526/2013;
Visto il regolamento (UE) n. 910/2014 del Parlamento europeo e del
Consiglio, del 23 luglio 2014, in materia di identificazione
elettronica e servizi fiduciari per le transazioni elettroniche nel
mercato interno e che abroga la direttiva 1999/93/CE;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del
Consiglio, del 27 aprile 2016, relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche' alla
libera circolazione di tali dati e che abroga la direttiva 95/46/CE
(regolamento generale sulla protezione dei dati);
Vista la legge 24 novembre 1981, n. 689, recante modifiche al
sistema penale e che contiene disposizioni in materia di
depenalizzazione, sanzioni amministrative e penali, pecuniarie ed
accessorie;
Visto il decreto legislativo 23 gennaio 2002, n. 10, recante
attuazione della direttiva 1999/93/CE relativa ad un quadro
comunitario per le firme elettroniche , e, in particolare, l'articolo
10, comma 1, che ha previsto l'istituzione dello schema nazionale per
la valutazione e certificazione di sicurezza nel settore della
tecnologia dell'informazione preposto all'accertamento in Italia
della conformita' dei dispositivi per la creazione di una «firma
sicura» ai requisiti prescritti dalla direttiva 1999/93/CE da
definire con decreto del Presidente del Consiglio dei ministri o del
Ministro per l'innovazione e le tecnologie, di concerto con altri
Ministri;
Visto il decreto legislativo 30 giugno 2003, n. 196, concernente il
codice in materia di protezione dei dati personali, recante
disposizioni per l'adeguamento dell'ordinamento nazionale al
regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio,
del 27 aprile 2016, relativo alla protezione delle persone fisiche
con riguardo al trattamento dei dati personali, nonche' alla libera
circolazione di tali dati e che abroga la direttiva 95/46/CE;
Visto il decreto legislativo 7 marzo 2005, n. 82, recante Codice
dell'amministrazione digitale, che ha disposto l'abrogazione del
decreto legislativo 23 gennaio 2002, n. 10, sostituendo l'articolo
10, comma 1 con il nuovo articolo 35, comma 5 ed adeguando il
riferimento a «firma sicura» con il nuovo termine «firma
qualificata»;
Visto l'articolo 7, comma 1, lettera e), del decreto-legge 14
giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4
agosto 2021, n. 109, recante disposizioni urgenti in materia di
cybersicurezza, definizione dell'architettura nazionale di
cybersicurezza e istituzione dell'Agenzia per la cybersicurezza
nazionale, che attribuisce all'Agenzia per la cybersicurezza
nazionale il ruolo di autorita' nazionale di certificazione della
cybersicurezza ai sensi dell'articolo 58 del regolamento (UE)
2019/881 e traferisce all'agenzia tutte le funzioni in materia di
certificazione di cybersicurezza del Ministero dello sviluppo
economico in base all'ordinamento vigente, ed il successivo articolo
16, comma 12, lettera b), dello stesso decreto, con il quale si
dispone che ogni riferimento al Ministero dello sviluppo economico
nell'articolo 18 della legge 22 aprile 2022, n. 53, ovunque ricorra,
deve intendersi riferito all'Agenzia per la cybersicurezza nazionale;
Visto il decreto del Presidente del Consiglio dei ministri del 30
ottobre 2003, pubblicato nella Gazzetta Ufficiale n. 98 del 27 aprile
2004, recante approvazione dello schema nazionale per la valutazione
e la certificazione della sicurezza nel settore della tecnologia
dell'informazione, e che ha individuato, all'articolo 4, nell'ex
Ministero delle comunicazioni, oggi Ministero dello sviluppo
economico per effetto dei commi 376 e 377 dell'articolo 1 della legge
del 24 dicembre 2007, n. 244, l'organismo di certificazione della
sicurezza informatica nel settore della tecnologia dell'informazione,
ai sensi dell'articolo 10, comma 1, del decreto legislativo 23
febbraio 2002, n. 10;
Visto il regolamento adottato con decreto del Presidente del
Consiglio dei ministri del 9 dicembre 2021, n. 223, in materia di
organizzazione e funzionamento dell'Agenzia per la cybersicurezza
nazionale;
Vista la preliminare deliberazione del Consiglio dei ministri,
adottata nella riunione del 5 maggio 2022;
Sentita l'Agenzia per la cybersicurezza nazionale di cui
all'articolo 5 del decreto-legge 14 giugno 2021, n. 82, convertito,
con modificazioni, dalla legge 4 agosto 2021, n. 109, ai sensi
dell'articolo 7, comma 1, lettera p), del medesimo decreto-legge;
Acquisiti i pareri delle competenti Commissioni della Camera dei
deputati e del Senato della Repubblica;
Vista la deliberazione del Consiglio dei ministri, adottata nella
riunione del 28 luglio 2022;
Sulla proposta del Presidente del Consiglio dei ministri e del
Ministro dello sviluppo economico, di concerto con i Ministri degli
affari esteri e della cooperazione internazionale, dell'economia e
delle finanze, della giustizia, dell'interno, della difesa e per
l'innovazione tecnologica e la transizione digitale;
Emana
il seguente decreto legislativo:
Art. 1
Oggetto e ambito di applicazione
1. Il presente decreto stabilisce misure volte ad adeguare la
normativa nazionale al nuovo quadro europeo di certificazione della
cybersicurezza, introdotto mediante le disposizioni del Titolo III
del regolamento (UE) 2019/881.
2. Ai fini del comma 1, il presente decreto prevede:
a) l'individuazione dell'organizzazione dell'autorita' nazionale
di certificazione della cybersicurezza in Italia, di cui all'articolo
4, comma 1, in base ai compiti ed ai poteri ad essa attribuiti in
materia di vigilanza in ambito nazionale e di rilascio dei
certificati di cybersicurezza, con riferimento al quadro europeo di
certificazione;
b) le modalita' di cooperazione dell'autorita' di cui alla
lettera a) con le altre autorita' pubbliche nazionali ed europee e
con l'Organismo di accreditamento;
c) la definizione di un sistema sanzionatorio applicabile in caso
di violazione delle norme del quadro europeo di certificazione con
sanzioni effettive, proporzionate e dissuasive.
3. Il presente decreto si applica fatte salve le disposizioni
specifiche riguardanti le attivita' nel settore della pubblica
sicurezza, della difesa, della sicurezza nazionale e le attivita'
dello Stato nell'ambito del diritto penale.
Art. 2
Trattamento dei dati personali
1. Il trattamento dei dati personali derivante dall'applicazione
del presente decreto e' effettuato ai sensi del regolamento (UE)
2016/679 e del decreto legislativo 30 giugno 2003, n. 196.
Art. 3
Definizioni
1. Ai fini del presente decreto, oltre alle definizioni contenute
nel regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio,
del 17 aprile 2019, si applicano le seguenti:
a) «TIC»: Tecnologia dell'Informazione e della Comunicazione;
b) «Regolamento»: Titolo III del regolamento (UE) 2019/881 del
Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo
all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e
alla certificazione della cibersicurezza per le tecnologie
dell'informazione e della comunicazione, e che abroga il regolamento
(UE) n. 526/2013;
c) «quadro europeo di certificazione»: il Regolamento ed i
successivi sistemi europei di certificazione adottati a norma
dell'articolo 49 del Regolamento;
d) «messa a disposizione sul mercato»: la fornitura di un
prodotto TIC o di un servizio TIC per la distribuzione, il consumo o
l'uso sul mercato dell'Unione Europea nel corso di un'attivita'
commerciale, a titolo oneroso o gratuito;
e) «richiamo»: qualsiasi provvedimento volto ad ottenere la
restituzione di un prodotto TIC che e' gia' stato reso disponibile
all'utilizzatore finale;
f) «ritiro»: qualsiasi provvedimento volto ad impedire la messa a
disposizione sul mercato di un prodotto TIC o servizio TIC nella
catena della fornitura;
g) «vigilanza del mercato»: le attivita' svolte ed i
provvedimenti adottati dall' Agenzia e dalle altre autorita'
pubbliche competenti per garantire che i prodotti TIC, i servizi TIC
ed i processi TIC ad essi collegati siano conformi ai requisiti
stabiliti dal quadro europeo di certificazione e non pregiudichino la
salute, la sicurezza o qualsiasi altro aspetto della protezione del
pubblico interesse;
h) «Agenzia»: l'Agenzia per la cybersicurezza nazionale di cui
all'articolo 5 del decreto-legge 14 giugno 2021, n. 82, convertito,
con modificazioni, dalla legge 4 agosto 2021, n. 109, designata
dall'articolo 7, comma 1, lettera e), del medesimo decreto-legge, per
l'Italia, quale autorita' nazionale di certificazione della
cybersicurezza, di cui all'articolo 58, paragrafo 1, del Regolamento;
i) «standard» o «norma»: una specifica tecnica, adottata da un
organismo di normazione riconosciuto ai sensi dell'articolo 2,
paragrafo 1, numero 1), del regolamento (UE) n. 1025/2012;
l) «norma armonizzata»: una norma europea adottata sulla base di
una richiesta della Commissione Europea ai fini dell'applicazione
della legislazione dell'Unione sull'armonizzazione ai sensi
dell'articolo 2, paragrafo 1, numero 1, lettera c), del regolamento
(UE) n. 1025/2012;
m) «Organismo di accreditamento»: l'organismo autorizzato a
svolgere l'attivita' di accreditamento nel territorio dello Stato, ai
sensi dell'articolo 2, paragrafo 1, numero 11, del regolamento (CE)
765/2008, designato con decreto del Ministro dello sviluppo economico
del 22 dicembre 2009 in attuazione dell'articolo 4, comma 2, della
legge 23 luglio 2009, n. 99;
n) «autorizzazione»: provvedimento con il quale l'Agenzia accerta
il possesso, a norma dell'articolo 54, paragrafo 1, lettera f), del
Regolamento, di requisiti specifici o supplementari a cui sono
soggetti gli organismi di valutazione della conformita' per poter
operare nell'ambito di uno specifico sistema europeo di
certificazione, in aggiunta a quanto gia' previsto nell'allegato del
Regolamento;
o) «abilitazione»: provvedimento con il quale l'Agenzia accerta i
requisiti necessari affinche' un esperto o un laboratorio di prova
possa coadiuvare l'Agenzia nelle attivita' di vigilanza nazionale o
di rilascio dei certificati di cybersicurezza;
p) «laboratorio di prova»: organismo di valutazione della
conformita' che svolge verifiche documentali e/o prove in base alle
norme armonizzate europee ed agli standard e specifiche tecniche
nell'ambito del sistema europeo di certificazione in cui e'
accreditato;
q) «organismo di certificazione»: organismo di valutazione della
conformita' che emette certificati europei di cybersicurezza in base
alle norme armonizzate europee ed agli standard di riferimento ai
sensi dell'articolo 54, paragrafo 1, lettera c), del Regolamento per
il sistema di certificazione in cui e' accreditato;
r) «elenco dei laboratori di prova e degli esperti per le
attivita' di vigilanza nazionale»: registro aggiornato dei laboratori
di prova e degli esperti abilitati dall'Agenzia ad effettuare
attivita' di valutazione di sicurezza informatica nell'ambito dei
compiti di vigilanza nazionale dell'Agenzia;
s) «elenco dei laboratori di prova e degli esperti per le
attivita' di certificazione»: registro aggiornato dei laboratori di
prova e degli esperti abilitati dall'Agenzia ad effettuare attivita'
di valutazione di sicurezza informatica nell'ambito dei compiti di
rilascio dei certificati di cybersicurezza dell'Agenzia;
t) «Organismo di Certificazione della Sicurezza Informatica» o
«OCSI»: organismo di certificazione dell'Agenzia, accreditato ai
sensi dell'articolo 60, paragrafo 2, del Regolamento, istituito ai
sensi dell'articolo 4 del decreto del Presidente del Consiglio dei
ministri del 30 ottobre 2003, pubblicato nella Gazzetta Ufficiale n.
98 del 27 aprile 2004;
u) «dichiarazione UE di conformita'»: attestazione di conformita'
rilasciata da un fabbricante di prodotti TIC o fornitore di servizi
TIC ai sensi dell'articolo 53, paragrafo 1, del regolamento UE
2019/881, a seguito del processo di autovalutazione di conformita'
previsto dallo stesso articolo;
v) «emittenti delle dichiarazioni di conformita' UE»: i soggetti
di cui all'articolo 53, paragrafo 1, del regolamento UE 2019/881;
z) «certificato europeo di cybersicurezza»: un documento
rilasciato da un organismo di certificazione che attesta che un
determinato prodotto TIC, servizio TIC o processo TIC e' stato
oggetto di una valutazione di conformita' ai requisiti stabiliti da
un sistema europeo di certificazione;
aa) «certificato europeo di cybersicurezza (o dichiarazione UE di
conformita') non conforme»: certificato europeo di cybersicurezza (o
dichiarazione UE di conformita') che non soddisfa uno o piu'
requisiti di un sistema europeo di certificazione ai sensi
dell'articolo 54, paragrafo 1, del Regolamento;
bb) «revoca di un certificato europeo di cybersicurezza»:
annullamento di un certificato europeo di cybersicurezza prima della
sua scadenza da parte dell'organismo di valutazione della conformita'
emittente o da parte dell'Agenzia;
cc) «revoca di una dichiarazione UE di conformita'»: annullamento
di una dichiarazione UE di conformita' prima della sua scadenza da
parte del fabbricante o fornitore emittente;
dd) «livello di affidabilita' di base»: livello di affidabilita'
che soddisfa i requisiti ed e' valutato con i criteri specificati al
paragrafo 5 dell'articolo 52 del Regolamento;
ee) «livello di affidabilita' sostanziale»: livello di
affidabilita' che soddisfa i requisiti ed e' valutato con i criteri
specificati al paragrafo 6 dell'articolo 52 del Regolamento;
ff) «livello di affidabilita' elevato»: livello di affidabilita'
che soddisfa i requisiti ed e' valutato con i criteri specificati al
paragrafo 7 dell'articolo 52 del Regolamento;
gg) «ECCG»: Gruppo europeo di certificazione della
cibersicurezza, ai sensi dell'articolo 62 del Regolamento;
hh) «ENISA»: l'Agenzia dell'Unione europea per la cibersicurezza
di cui al Titolo II del regolamento (UE) 2019/881.
Capo II
Autorita' nazionale, attivita' nazionale ed internazionale
Art. 4
Designazione dell'autorita' nazionale di certificazione della
cybersicurezza, organizzazione e procedure per lo svolgimento dei
compiti in ambito nazionale di certificazione della cybersicurezza
1. L'Agenzia, ai sensi degli articoli 7, comma 1, lettera e), e 16,
comma 12, lettera b), del decreto-legge 14 giugno 2021, n. 82,
convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, e'
l'autorita' nazionale di certificazione della cybersicurezza, nel
rispetto di quanto previsto dall'articolo 58, paragrafo 1, del
Regolamento.
2. Con provvedimento dell'Agenzia, adottato ai sensi dell'articolo
5, comma 3, del decreto del Presidente del Consiglio dei ministri 9
dicembre 2021, n. 223, sono definite l'organizzazione e le procedure
per lo svolgimento dei compiti dell'Agenzia quale Autorita' nazionale
di certificazione della cybersicurezza e sono definite le modalita'
applicative delle attivita' di cui al presente Capo e all'articolo
11. Il predetto provvedimento dispone altresi' che le attivita'
dell'Agenzia relative al rilascio di certificati europei di
cybersicurezza di cui all'articolo 6, comma 1, siano rigorosamente
separate dalle attivita' di vigilanza di cui all'articolo 5 e che
tali attivita' siano svolte indipendentemente le une dalle altre,
nell'ambito di due distinte Divisioni di cui all'articolo 4, comma 4,
del decreto del Presidente del Consiglio dei ministri 9 dicembre
2021, n. 223. L'Agenzia partecipa alle attivita' internazionali
dell'ECCG e del comitato ai sensi degli articoli 62 e 66 del
Regolamento con proprio personale.
3. Per lo svolgimento dei compiti attribuiti all'Agenzia, inerenti
la realizzazione e la gestione dei sistemi informativi, la formazione
del personale tecnico ed amministrativo, la ricerca e l'innovazione,
la realizzazione e l'aggiornamento di laboratori interni,
l'abilitazione di laboratori di prova ed esperti, l'autorizzazione di
organismi di valutazione della conformita', la vigilanza,
l'accreditamento, il rinnovo e l'estensione dell'organismo di cui
all'articolo 6, comma 1, le missioni nazionali ed internazionali e le
spese generali, e' autorizzata la spesa di 657.500 euro per l'anno
2022, 592.500 euro per l'anno 2023 e 637.500 euro annui a decorrere
dall'anno 2024. Agli oneri derivanti dal presente comma si provvede
ai sensi dell'articolo 14, comma 1.
Art. 5
Vigilanza nazionale
1. L'Agenzia realizza l'attivita' di vigilanza del mercato in
ambito nazionale ai fini della corretta applicazione delle regole
previste dai sistemi europei di certificazione della cybersicurezza,
con riferimento ai certificati di cybersicurezza ed alle
dichiarazioni UE di conformita' emessi nel territorio dello Stato, ai
sensi dell'articolo 58, paragrafo 7, lettere a) e b), del
Regolamento, vigilando sui fornitori e fabbricanti emittenti le
dichiarazioni UE di conformita', sui titolari di certificati europei
di cybersicurezza e sugli organismi di valutazione della conformita',
ai sensi dell'articolo 58, paragrafo 8, del Regolamento. L'Agenzia,
inoltre, ai sensi dell'articolo 58, paragrafo 7, lettere c), d) ed
e), del Regolamento:
a) fatto salvo l'articolo 60, paragrafo 3, del Regolamento
nonche' quanto stabilito alla lettera b) del presente comma, assiste
e sostiene attivamente l'Organismo di accreditamento nel monitoraggio
e nella vigilanza delle attivita' degli organismi di valutazione
della conformita' ai fini del Regolamento. Le modalita' di sostegno
ed assistenza dell'Agenzia all'Organismo di accreditamento per
l'attivita' di vigilanza sono disciplinate da apposita convenzione o
protocollo di intesa fra i medesimi soggetti;
b) monitora e vigila sulle attivita' degli organismi di
valutazione della conformita' pubblici di cui all'articolo 56,
paragrafo 5, lettera b), del Regolamento;
c) ove previsto dal sistema di certificazione ai sensi
dell'articolo 54, paragrafo 1, lettera f), del Regolamento, autorizza
gli organismi di valutazione della conformita' a norma dell'articolo
60, paragrafo 3, del Regolamento, e limita, sospende o revoca
l'autorizzazione esistente qualora violino le prescrizioni del
Regolamento medesimo, dandone notizia all'Organismo di
accreditamento.
2. L'Agenzia, nello svolgimento dell'attivita' di vigilanza di cui
al comma 1, opera anche in collaborazione con altre autorita' di
vigilanza del mercato competenti in Italia e con le autorita' di
vigilanza degli altri Stati membri ai sensi dell'articolo 58,
paragrafo 7, lettere a) ed h), del Regolamento. L'Agenzia esegue
l'attivita' di vigilanza di cui al comma 1 anche in collaborazione
con le Forze dell'ordine.
3. L'Agenzia, nell'attivita' di vigilanza di cui al comma 1, puo'
effettuare, nei confronti degli organismi di valutazione della
conformita', dei titolari dei certificati europei di cybersicurezza e
degli emittenti le dichiarazioni di conformita' UE, indagini ed
audit, ottenendo informazioni anche tramite l'accesso ai locali degli
organismi di valutazione della conformita' o dei titolari dei
certificati europei di cybersicurezza, revocare certificati ai sensi
del comma 4, irrogare sanzioni pecuniarie ed accessorie ai sensi
dell'articolo 10. L'attivita' di vigilanza dell'Agenzia puo'
prevedere prelievi di prodotti.
4. Nel caso in cui l'Agenzia, in esito alle attivita' di vigilanza
di cui al comma 1, accerti l'emissione di un certificato non
conforme, rilasciato ai sensi dell'articolo 56, paragrafi 4, 5,
lettera b), o 6, lettere a) e b), del Regolamento, il certificato e'
sottoposto a revoca:
a) per il livello di affidabilita' elevato;
b) per il livello di affidabilita' di base o sostanziale nel caso
in cui il certificato non conforme sia relativo ad un prodotto TIC,
servizio TIC o processo TIC che ha comportato un concreto e
dimostrato pregiudizio ad un servizio essenziale ai sensi
dell'allegato II del decreto legislativo 18 maggio 2018, n. 65, o a
un servizio di comunicazione elettronica ai sensi dell'articolo 2,
comma 1, lettera fff), del decreto legislativo 1° agosto 2003, n.
259, o alla salute o all'incolumita' personale;
c) se previsto espressamente dallo specifico sistema europeo di
certificazione.
5. Nella fattispecie di cui alla lettera a) del comma 4 l'Agenzia
provvede direttamente alla revoca del certificato. Nella fattispecie
di cui alla lettera b) del comma 4 l'Agenzia chiede all'organismo
emittente il certificato di provvedere alla revoca del certificato
entro e non oltre cinque giorni e, in caso di inottemperanza,
provvede direttamente entro i successivi cinque giorni. Nella
fattispecie di cui alla lettera c) del comma 4 si provvede in base
alle regole stabilite dal sistema specifico di certificazione.
6. Accertata l'emissione di un certificato non conforme rilasciato
ai sensi dell'articolo 56, paragrafi 4, 5, lettera b), o 6, lettere
a) e b), del Regolamento, in esito alle attivita' di vigilanza di cui
al comma 1, fatti salvi i casi di revoca di cui alle lettere a), b) o
c) del comma 4, l'Agenzia chiede all'organismo che ha emesso il
certificato di ripetere in tutto o in parte l'attivita' di
valutazione o integrare l'attivita' di valutazione con ulteriori
verifiche e ricondurre il certificato a conformita' entro centoventi
giorni o revocare il certificato. In caso di mancata riconduzione a
conformita' o mancata revoca del certificato non conforme da parte
dell'organismo, il certificato decade. La riconduzione a conformita'
o la revoca del certificato sono divulgate ai sensi dell'articolo 54,
paragrafo 1, lettera s), del Regolamento.
7. L'Agenzia, per le prove tecniche nell'ambito delle attivita' di
cui al comma 1, puo' effettuare valutazioni di sicurezza informatica
anche attraverso esperti esterni o laboratori di prova abilitati
dall'Agenzia, ai sensi dell'articolo 8, comma 4, e iscritti
nell'elenco dei laboratori di prova e degli esperti per le attivita'
di vigilanza nazionale.
8. E' fatto obbligo agli organismi di valutazione della
conformita', ai titolari dei certificati europei di cybersicurezza ed
agli emittenti delle dichiarazioni di conformita' durante l'attivita'
di vigilanza a cui sono sottoposti di cooperare con l'Agenzia
nell'attivita' di verifica sui certificati e sulle dichiarazioni UE
da essi emessi. Gli stessi mettono a disposizione, su richiesta
dell'Agenzia, tutti i documenti di valutazione necessari per
dimostrare la conformita' dei certificati e le dichiarazioni oggetto
di verifica da parte dell'Agenzia assieme agli strumenti di
valutazione eventualmente forniti dal fabbricante o dal fornitore
nell'attivita' di valutazione come indicato nei rapporti di
valutazione. L'onere della prova della conformita' di certificati e
dichiarazioni e' in capo agli organismi di valutazione della
conformita', ai titolari dei certificati o agli emittenti delle
dichiarazioni di conformita'.
9. Ai sensi dell'articolo 30, commi 4 e 5, della legge 24 dicembre
2012, n. 234, gli oneri derivanti dall'applicazione dei commi 3, 8 e
9 per i controlli effettuati dall'Agenzia e relativi in particolare
all'impiego del personale in forza all'Agenzia, della strumentazione
utilizzata nelle prove e dei materiali di consumo e per le missioni e
spese generali, sono a carico dell'organismo di valutazione della
conformita', del titolare del certificato o dell'emittente della
dichiarazione UE di conformita' sottoposto all'attivita' di
vigilanza. Nel caso in cui l'attivita' di vigilanza includa ulteriori
spese, tra cui l'utilizzo di laboratori di prova esterni ed eventuali
spese di trasporto per prodotti prelevati o sequestrati da sottoporre
a verifica, le ulteriori spese sono ugualmente a carico del soggetto
sottoposto all'attivita' di vigilanza. Le somme di cui al presente
comma sono determinate e sono da corrispondere ai sensi dell'articolo
13.
Art. 6
Rilascio dei certificati di cybersicurezza
1. L'Agenzia rilascia i certificati di cybersicurezza con livello
di affidabilita' elevato tramite l'Organismo di Certificazione della
Sicurezza Informatica (OCSI), di cui all'articolo 60, paragrafo 2,
del Regolamento, che si puo' avvalere di esperti o di laboratori di
prova, ai sensi dell'articolo 8, comma 4, abilitati dall'Agenzia ad
operare per proprio conto e iscritti nell'elenco dei laboratori di
prova e degli esperti per le attivita' di vigilanza nazionale, ferme
restando, per specifici sistemi di certificazione, le possibili
modalita' di emissione dei certificati alternative ai sensi degli
articoli 56, paragrafo 6, lettere a) e b), del Regolamento.
2. Ove uno specifico sistema di certificazione preveda il rilascio
dei certificati con livello di affidabilita' sostanziale o di base
unicamente da parte di un organismo pubblico, ai sensi dell'articolo
56, paragrafo 5, del Regolamento, l'Agenzia rilascia tali certificati
attraverso l'organismo di cui al comma 1. Il rilascio puo' avvenire
ad opera di altro organismo di valutazione della conformita'
pubblico, accreditato dall'Organismo di Accreditamento, monitorato e
vigilato dall'Agenzia, ai sensi dell'articolo 58, paragrafo 7,
lettera d), del Regolamento, e designato dall'Agenzia ai sensi del
provvedimento di cui all'articolo 4, comma 2, salvo diverse
disposizioni dello specifico sistema europeo di certificazione.
3. La certificazione della cybersicurezza e' volontaria, salvo
diversamente specificato dal diritto dell'Unione o dal diritto
nazionale, ai sensi dell'articolo 56, paragrafo 2, del Regolamento.
In mancanza di un diritto dell'Unione armonizzato, l'Agenzia puo'
adottare, previa consultazione con i portatori di interesse,
regolamentazioni tecniche nazionali in cui sia prevista una
certificazione obbligatoria nel quadro di un sistema europeo di
certificazione della cybersicurezza ai sensi del decreto legislativo
del 15 dicembre 2017, n. 223.
4. Ai sensi dell'articolo 30, commi 4 e 5, della legge 24 dicembre
2012, n. 234, gli oneri derivanti dall'applicazione dei commi 1 e 2
del presente articolo per il rilascio dei certificati da parte
dell'Agenzia sono a carico del soggetto richiedente la
certificazione. Le somme di cui al presente comma sono determinate e
sono da corrispondere ai sensi dell'articolo 13.
Art. 7
Dichiarazioni UE di conformita'
1. In un sistema di certificazione in cui e' autorizzata
l'autovalutazione di conformita' ai sensi dell'articolo 54, paragrafo
1, lettera e), del Regolamento, i fornitori o fabbricanti di prodotti
TIC, servizi TIC o processi TIC possono rilasciare sotto la propria
responsabilita' dichiarazioni UE di conformita' di livello di base
per dimostrare il rispetto di requisiti tecnici previsti nel sistema.
2. Il fabbricante o fornitore di prodotti TIC, servizi TIC o
processi TIC rende disponibile all'Agenzia, per il periodo stabilito
nel corrispondente sistema europeo di certificazione della
cybersicurezza ai sensi dell'articolo 54, paragrafo 1, lettera q),
del Regolamento, la dichiarazione UE di conformita', la
documentazione tecnica e tutte le altre informazioni pertinenti
relative alla conformita' dei prodotti TIC o servizi TIC al sistema.
Una copia della dichiarazione UE di conformita' e' trasmessa
all'Agenzia e all'ENISA.
3. Ove l'Agenzia accerti la non conformita' di una dichiarazione UE
di conformita' in esito alle attivita' di vigilanza di cui
all'articolo 5, comma 1, e' fatto obbligo al fabbricante o fornitore
emittente di revisionare o revocare la dichiarazione UE di
conformita' entro trenta giorni dandone comunicazione all'Agenzia e
all'ENISA, salvo diversa disposizione dello specifico sistema di
certificazione.
4. Il rilascio di una dichiarazione UE di conformita' e'
volontario, salvo diversamente specificato nel diritto dell'Unione o
dal diritto nazionale, ai sensi dell'articolo 53, paragrafo 4 del
Regolamento. In mancanza di un diritto dell'Unione armonizzato,
l'Agenzia puo' stabilire l'obbligatorieta' della dichiarazione UE di
conformita' nelle fattispecie di cui all'articolo 6, comma 3.
Art. 8
Accreditamento ed autorizzazione degli organismi di valutazione della
conformita' ed abilitazione dei laboratori di prova ed esperti
dell'Agenzia
1. L'Organismo di accreditamento, nello svolgimento dei compiti di
cui ai paragrafi 1, 2 e 4 dell'articolo 60 del Regolamento, ed in
conformita' con le disposizioni dello specifico sistema di
certificazione, comunica all'Agenzia ed all'ufficio unico di
collegamento designato per l'Italia ai sensi dell'articolo 10, comma
3, del regolamento (UE) 2019/1020 del Parlamento europeo e del
Consiglio, del 20 giugno 2019, sulla vigilanza del mercato e sulla
conformita' dei prodotti e che modifica la direttiva 2004/42/CE e i
regolamenti (CE) n. 765/2008 e (UE) n. 305/2011, ogni aggiornamento
in merito agli organismi di valutazione della conformita' accreditati
quanto a nuovi rilasci, revoche, sospensioni e limitazioni dei
certificati di accreditamento per la successiva notifica da parte
dell'Agenzia alla Commissione europea ai sensi dell'articolo 61 del
Regolamento.
2. L'Agenzia partecipa con propri rappresentanti alle deliberazioni
dell'Organismo di accreditamento in ordine alle attivita' di cui al
comma 1.
3. Qualora un sistema europeo di certificazione stabilisca
requisiti specifici o supplementari a norma dell'articolo 54,
paragrafo 1, lettera f), del Regolamento, solo gli organismi di
valutazione della conformita' che soddisfano detti requisiti sono
autorizzati dall'Agenzia a svolgere i compiti previsti da tale
sistema.
4. In relazione alle attivita' di vigilanza nazionale e di rilascio
dei certificati, l'Agenzia, con provvedimento adottato secondo la
procedura di cui all'articolo 5, comma 3, alinea, del decreto del
Presidente del Consiglio dei ministri 9 dicembre 2021, n. 223,
costituisce, aggiorna e rende pubblici due elenchi di esperti e di
laboratori di prova da essa abilitati ad operare rispettivamente ai
sensi dell'articolo 5, comma 7, ed ai sensi dell'articolo 6, comma 1,
a supporto delle attivita' di vigilanza e rilascio dei certificati in
capo all'Agenzia. Gli esperti e i laboratori di prova inseriti
nell'elenco dei soggetti abilitati di cui all'articolo 5, comma 7,
non possono effettuare attivita' di valutazione per l'emissione di
certificati con livello di affidabilita' sostanziale o di base in
ambito nazionale ai sensi dell'articolo 56, paragrafo 4, o paragrafo
5, lettera b), del Regolamento, ne' possono essere accreditati come
organismi di valutazione della conformita' per il rilascio di tali
certificati. Con la medesima procedura di cui al primo periodo, sono
individuate le modalita' per l'abilitazione e l'eventuale rinnovo,
l'inserimento, la sospensione e la cancellazione di esperti e
laboratori di prova dai suddetti elenchi.
5. Ai sensi dell'articolo 30, commi 4 e 5, della legge 24 dicembre
2012, n. 234, gli oneri derivanti dall'abilitazione di cui al comma
4, le spese per le eventuali attivita' di autorizzazione di cui al
comma 3, e gli eventuali successivi aggiornamenti sono a carico
dell'esperto o dell'organismo di valutazione della conformita'
richiedente l'abilitazione o l'autorizzazione. Le somme di cui al
presente comma sono determinate e sono da corrispondere ai sensi
dell'articolo 13.
Art. 9
Attivita' di ricerca, formazione e sperimentazione nazionale
nell'ambito della certificazione della cybersicurezza
1. Allo scopo di elevare il livello nazionale di cybersicurezza,
l'Agenzia puo' realizzare progetti di ricerca, ivi inclusi quelli per
lo sviluppo di software, e di formazione, anche in collaborazione con
universita', centri di ricerca o laboratori specializzati nel campo
della valutazione della sicurezza informatica, anche nel contesto di
attivita' di supporto alla standardizzazione a livello nazionale,
europeo ed internazionale.
2. L'Agenzia monitora gli sviluppi nel campo della certificazione
della cybersicurezza, anche consultando i portatori di interesse
nazionale del settore e scambiando informazioni, esperienze e buone
pratiche con la Commissione europea e le altre autorita' nazionali
della cybersicurezza.
3. Conformemente all'articolo 57 del Regolamento ed in assenza di
un sistema europeo di certificazione, l'Agenzia puo' introdurre
sistemi di certificazione nazionali della cybersicurezza, per
prodotti TIC, servizi TIC o processi TIC.
Capo III
Sanzioni, reclami e ricorsi giurisdizionali
Art. 10
Quadro sanzionatorio
1. L'Agenzia, anche ai sensi dell'articolo 7, comma 1, lettera e),
del decreto-legge 14 giugno 2021, n. 82, convertito, con
modificazioni, dalla legge 4 agosto 2021, n. 109, in caso di
violazione degli obblighi del quadro europeo di certificazione della
cybersicurezza, ai sensi degli articoli 58, paragrafo 8, lettera f),
e 65 del Regolamento irroga sanzioni pecuniarie ed accessorie,
chiedendo la cessazione immediata della violazione. Si applica, in
quanto compatibile, la disciplina della legge 24 novembre 1981, n.
689.
2. Salvo che il fatto costituisca reato, l'organismo di valutazione
della conformita' che emette un certificato di cybersicurezza non
conforme e' punito con la sanzione del pagamento di una somma da
15.000 euro a 75.000 euro. In caso di omessa revoca di un certificato
da parte dell'organismo su richiesta dell'Agenzia ai sensi
dell'articolo 5, comma 5, si applica la sanzione del pagamento di una
somma da 30.000 euro a 150.000 euro.
3. Salvo che il fatto costituisca reato, il fabbricante o fornitore
che emette una dichiarazione UE di conformita' volontaria non
conforme e' punito con la sanzione del pagamento di una somma da
15.000 euro a 75.000 euro. In caso di omessa revisione o revoca di
dichiarazione UE di conformita' volontaria o obbligatoria ai sensi
dell'articolo 7, comma 3, si applica la sanzione del pagamento di una
somma da 30.000 euro a 150.000 euro.
4. Salvo che il fatto costituisca reato, in caso di obbligatorieta'
di una dichiarazione UE di conformita', ai sensi dell'articolo 7,
comma 4, o di un certificato di cybersicurezza, ai sensi
dell'articolo 6, comma 3, il fabbricante o fornitore che mette a
disposizione sul mercato un prodotto TIC o servizio TIC privo di
dichiarazione UE di conformita' obbligatoria o con dichiarazione UE
di conformita' obbligatoria non conforme o in assenza del certificato
di cybersicurezza obbligatorio, e' punito con la sanzione del
pagamento di una somma da 30.000 euro a 150.000 euro. Alla medesima
sanzione e' assoggettato il fabbricante o fornitore che per la messa
a disposizione sul mercato di un prodotto TIC o di un servizio TIC si
avvale di un processo TIC privo di dichiarazione UE di conformita'
obbligatoria o con dichiarazione UE di conformita' obbligatoria non
conforme o in assenza di certificato di cybersicurezza obbligatorio.
5. Nei casi di cui al comma 4 oppure ove, in esito ad un
accertamento di non conformita' ai sensi dei commi 4, 5 o 6
dell'articolo 5, sia revocato o decada un certificato obbligatorio
per la messa a disposizione sul mercato di un prodotto TIC o di un
servizio TIC, l'Agenzia dispone il ritiro del prodotto o l'inibizione
del servizio dal mercato a carico esclusivo del fabbricante o del
fornitore indicando i tempi ed eventuali modalita' per il richiamo
dei prodotti gia' immessi sul mercato o per l'inibizione del
servizio;
6. Salvo che il fatto costituisca reato, il fabbricante che non
ottempera a quanto prescritto al comma 5 per il richiamo di prodotti
gia' immessi sul mercato e' assoggettato alla sanzione del pagamento
di una somma da 60.000 euro a 300.000 euro. Nel caso in cui il
fabbricante non ottemperi al richiamo di prodotti dal mercato,
l'Agenzia, trascorsi sei mesi dalla scadenza fissata, puo'
provvedere, al sequestro dei prodotti in questione dal mercato, a
spese del fabbricante.
7. Salvo che il fatto costituisca reato, il fornitore che non
ottempera a quanto prescritto al comma 5 per l'inibizione del
servizio dal mercato e' assoggettato alla sanzione amministrativa da
60.000 euro a 300.000 euro.
8. Salvo che il fatto costituisca reato, Il titolare di un
certificato europeo di cybersicurezza che non notifichi, ai sensi
dell'articolo 56, paragrafo 8, del Regolamento, eventuali
vulnerabilita' o irregolarita' rilevate in relazione alla sicurezza
dei prodotti TIC, servizi TIC o processi TIC certificati e' punito
con la sanzione del pagamento di una somma da 60.000 euro a 300.000
euro. Alla medesima sanzione e' assoggettato l'organismo di
valutazione della conformita' emittente un certificato di
cybersicurezza o il suo titolare ovvero il fornitore o fabbricante
emittente una dichiarazione UE di conformita', che dovesse rilevare o
venire a conoscenza della presenza di vulnerabilita' nel prodotto
TIC, servizio TIC o processo TIC certificato o dichiarato conforme,
che non siano state riscontrate durante il processo di valutazione, e
non ottemperi agli obblighi riguardanti il modo in cui segnalare e
trattare le vulnerabilita' previste per lo specifico sistema di
certificazione ai sensi dell'articolo 54, paragrafo 1, lettera m),
del Regolamento.
9. Salvo che il fatto costituisca reato, il fabbricante o fornitore
che non renda disponibile, per il periodo stabilito ai sensi
dell'articolo 54, paragrafo 1, lettera q), del Regolamento, la
dichiarazione UE di conformita' o la documentazione tecnica o tutte
le altre informazioni pertinenti o non trasmetta una copia della
dichiarazione UE di conformita' all'Agenzia o ad ENISA ai sensi
dell'articolo 53, paragrafo 3, del Regolamento ovvero non renda
disponibili pubblicamente una o piu' delle informazioni previste ai
sensi dell'articolo 55 del Regolamento o non rispetti il formato o le
procedure di aggiornamento delle stesse informazioni ai sensi
dell'articolo 54, paragrafo 1, lettera v), del Regolamento o
pubblichi informazioni non corrette sui certificati detenuti o sulle
dichiarazioni UE di conformita' emesse, e' assoggettato alla sanzione
del pagamento di una somma da 30.000 euro a 150.000 euro. Alla
medesima sanzione e' assoggettato il fornitore o fabbricante che non
comunichi la revisione o la revoca di una dichiarazione UE di
conformita' ai sensi dell'articolo 7, comma 3, del presente decreto.
10. Salvo che il fatto costituisca reato, l'organismo di
valutazione della conformita' che non ottempera agli obblighi di
divulgazione dei certificati europei di cybersicurezza rilasciati,
modificati o revocati come previsto nell'ambito dello specifico
sistema di certificazione, ai sensi dell'articolo 54, paragrafo 1,
lettera s), del Regolamento, nonche' secondo le modalita' di cui
all'articolo 5, comma 6, e' assoggettato alla sanzione del pagamento
di una somma da 30.000 euro a 150.000 euro. Alla medesima sanzione e'
assoggettato l'organismo di valutazione della conformita' autorizzato
dall'Agenzia ai sensi dell'articolo 60, paragrafo 3, del Regolamento,
che non specifichi nella procedura per i reclami definita ai sensi
dell'articolo 11, comma 2, l'inoltro degli stessi per conoscenza
anche all'Agenzia.
11. Salvo che il fatto costituisca reato, nel caso di accertamento
di esercizio di organismo di valutazione della conformita' senza
autorizzazione di cui all'articolo 60, paragrafo 3, del Regolamento
si applica la sanzione del pagamento di una somma da 120.000 euro a
600.000 euro e al soggetto non possono essere rilasciate ulteriori
autorizzazioni nei successivi tre anni dall'accertamento della
violazione. Se l'autorizzazione e' scaduta da meno di un anno la
sanzione e' compresa tra 30.000 euro e 150.000 euro ed il soggetto
puo' richiedere il rilascio di nuova autorizzazione.
12. Salvo che i fatti costituiscano reato, il richiedente di una
certificazione che nell'ambito dello svolgimento dell'attivita' di
valutazione e di rilascio dei certificati, scientemente, fornisce
dati, informazioni o documentazione falsi o ometta informazioni
necessarie per espletare la certificazione, in violazione
dell'articolo 54, paragrafo 1, lettera h), e dell'articolo 56,
paragrafo 7, del Regolamento, e' assoggettato alla sanzione del
pagamento di una somma da 90.000 euro a 450.000 euro. Alla medesima
sanzione e' assoggettato il soggetto che, scientemente, durante le
verifiche di vigilanza, a cui e' sottoposto, ai sensi dell'articolo
5, comma 8, fornisce dati, informazioni o documentazione falsi.
13. Salvo che il fatto costituisca reato, il fabbricante che viola
le condizioni di utilizzo degli eventuali marchi o etichette previste
da un sistema europeo di certificazione, ai sensi dell'articolo 54,
paragrafo 1, lettera i), del Regolamento, e' assoggettato alla
sanzione del pagamento di una somma da 30.000 euro a 150.000 euro.
14. Salvo che il fatto costituisca reato, l'organismo di
valutazione della conformita' che non ottempera agli eventuali
obblighi riguardanti la conservazione dei registri di cui
all'articolo 54, paragrafo 1, lettera n), del Regolamento, e'
assoggettato alla sanzione del pagamento di una somma da 45.000 euro
a 225.000 euro.
15. L'Agenzia puo' impartire ordini o intimare diffide ai soggetti
che operano in contrasto con quanto previsto dal quadro europeo di
certificazione. Ai soggetti che non ottemperano nel termine indicato
nell'ordine o nella diffida l'Agenzia commina la sanzione del
pagamento di una somma da 200.000 euro ad 1.000.000 di euro. Se le
violazioni riguardano provvedimenti adottati dall'Agenzia nei
confronti di soggetti con fatturato pari almeno a 200.000.000 euro,
si applica a ciascun soggetto interessato una sanzione amministrativa
pecuniaria non inferiore allo 0,3 per cento e non superiore all'1,5
per cento del fatturato, restando comunque fermo il limite massimo di
5.000.000 di euro. Come riferimento per il fatturato si assume il
valore realizzato dallo stesso soggetto nell'esercizio precedente a
quello in cui sia stato impartito l'ordine o sia stata intimata la
diffida.
16. Fermo restando il limite massimo di 5.000.000 di euro per la
sanzione, i valori minimi e massimi delle sanzioni pecuniarie dal
comma 2 al comma 15, sono triplicati, se la violazione ha riguardato
un certificato relativo ad un prodotto TIC, ad un servizio TIC o ad
un processo TIC rilasciato nell'ambito di un sistema di
certificazione destinato, ai sensi dell'articolo 54, paragrafo 1,
lettere a) o b), del Regolamento, all'utilizzo con le finalita' o
nell'ambito di un servizio essenziale ai sensi dell'allegato II del
decreto legislativo 18 maggio 2018, n. 65, o di un servizio di
comunicazione elettronica ai sensi dell'articolo 2, comma 1, lettera
fff), del decreto legislativo 1° agosto 2003, n. 259.
17. I criteri di graduazione nell'irrogazione delle sanzioni
pecuniarie sono definiti con successivo provvedimento dell'Agenzia,
adottato secondo la procedura di cui all'articolo 5, comma 3, alinea,
del decreto del Presidente del Consiglio dei ministri 9 dicembre
2021, n. 223. Nelle more dell'adozione del provvedimento di
definizione dei criteri di graduazione si applicano i criteri di cui
all'articolo 11 della legge 24 novembre 1981, n. 689.
18. Fermo restando il limite massimo di 5.000.000 di euro per la
sanzione, le sanzioni amministrative pecuniarie previste ai commi dal
2 al 14 sono rivalutate ogni cinque anni con provvedimento
dell'Agenzia, adottato secondo la procedura di cui all'articolo 5,
comma 3, alinea, del regolamento adottato con decreto del Presidente
del Consiglio dei ministri 9 dicembre 2021, n. 223, in misura pari
all'indice ISTAT dei prezzi al consumo previo arrotondamento
all'unita' di euro secondo il seguente criterio: se la parte decimale
e' inferiore a 50 centesimi l'arrotondamento va effettuato per
difetto, se e' uguale o superiore a 50 centesimi l'arrotondamento va
effettuato per eccesso. L'importo della sanzione pecuniaria
rivalutato secondo i predetti criteri si applica esclusivamente per
le violazioni commesse successivamente alla data di entrata in vigore
del provvedimento che lo prevede.
19. L'autorizzazione di un organismo di valutazione della
conformita' ad operare nel sistema europeo di certificazione ai sensi
dell'articolo 60, paragrafo 3, del Regolamento, ove prevista, e'
sospesa per 6 mesi o revocata nel caso di piu' di due violazioni del
quadro europeo di certificazione rispettivamente in un quinquennio o
in un biennio. In caso di revoca dell'autorizzazione, il trasgressore
non puo' ottenere nuova autorizzazione nei successivi cinque anni dal
provvedimento di revoca.
20. L'Agenzia notifica alla Commissione europea il quadro
sanzionatorio di cui al presente articolo entro sessanta giorni dalla
data di entrata in vigore del presente decreto e provvede poi a dare
notifica delle eventuali modifiche entro sessanta giorni successivi
alle stesse.
Art. 11
Reclami sui certificati di cybersicurezza
e sulle dichiarazioni UE di conformita'
1. Le persone fisiche e giuridiche hanno il diritto di presentare
un reclamo all'emittente di un certificato europeo di cybersicurezza
o all'Agenzia se il reclamo riguarda un certificato europeo di
cybersicurezza rilasciato dall'organismo di certificazione
dell'Agenzia o da suo organismo di valutazione della conformita' che
agisce in conformita' all'articolo 56, paragrafo 6, del Regolamento.
L'Agenzia, ai sensi dell'articolo 58, paragrafo 7, lettera f), del
Regolamento, tratta inoltre i reclami degli stessi in relazione alle
dichiarazioni UE di conformita' di cui all'articolo 7.
2. Avverso le decisioni degli organismi di valutazione della
conformita' diversi dall'organismo di certificazione ai sensi
dell'articolo 6, comma 1, puo' essere proposta procedura di reclamo a
tal fine indicata dagli stessi organismi. Nel caso di autorizzazione
ai sensi dell'articolo 60, paragrafo 3, del Regolamento, la procedura
di reclamo indicata dall'organismo prevede l'inoltro del reclamo da
parte del reclamante oltreche' all'organismo anche per conoscenza
all'Agenzia.
3. Avverso le decisioni dell'Agenzia riguardanti le certificazioni
oppure le dichiarazioni UE di conformita' rilasciate ai sensi
dell'articolo 53 del Regolamento puo' essere proposta procedura di
reclamo. Il reclamante formula istanza all'Agenzia, identificando il
certificato di cybersicurezza o la dichiarazione UE di conformita'
oggetto del reclamo, le ragioni del reclamo e le azioni correttive
che ritiene necessarie.
4. L'Agenzia, a seguito di un reclamo ai sensi del comma 3, informa
il reclamante dello stato del procedimento e della decisione adottata
e informa il reclamante del diritto a un ricorso giurisdizionale
effettivo. L'Agenzia risponde ai reclami entro novanta giorni dal
ricevimento dell'istanza. In caso di mancata risposta ad un reclamo
inoltrato all'Agenzia entro i termini previsti, lo stesso e' da
intendersi rigettato.
Art. 12
Ricorso all'autorita' giudiziaria
1. Fatti salvi eventuali ricorsi amministrativi o altri ricorsi
extragiudiziali, le persone fisiche e giuridiche possono proporre
impugnazione avverso:
a) le decisioni assunte dall'Agenzia o dagli organismi di
valutazione della conformita', anche, se del caso, in relazione al
rilascio improprio, al mancato rilascio o al riconoscimento di un
certificato europeo di cybersicurezza detenuto da tali persone
fisiche e giuridiche;
b) il mancato o parziale accoglimento di un reclamo presentato
all'Agenzia o agli organismi di valutazione della conformita'.
2. A norma del presente articolo, i ricorsi contro le decisioni
dell'Agenzia sono presentati dinanzi al tribunale amministrativo
regionale del Lazio e quelli contro le decisioni degli altri
organismi di valutazione della conformita' al tribunale
amministrativo del luogo ove e' ubicata la sede di tali organismi.
Capo IV
Disposizioni finanziarie
Art. 13
Destinazione dei proventi derivanti
dalle attivita' dell'Agenzia
1. Le attivita' di vigilanza di cui all'articolo 5, comma 1, di
certificazione di cui all'articolo 6, comma 1, di autorizzazione di
cui all'articolo 8, comma 3, di abilitazione di cui all'articolo 8,
comma 4, sono sottoposte a tariffa, da calcolarsi sulla base dei
costi effettivi dei servizi resi. I relativi proventi sono versati ad
apposito capitolo dell'entrata del bilancio dello Stato per essere
successivamente riassegnati, con decreto del Ministro dell'economia e
delle finanze sul pertinente capitolo dello stato di previsione della
spesa del Ministero dell'economia e delle finanze, per incrementare
la dotazione degli appositi capitoli dell'Agenzia. Con decreto del
Presidente del Consiglio dei ministri, di concerto con il Ministro
dell'economia e delle finanze, su proposta del Direttore generale
dell'Agenzia, sono determinate le tariffe e modalita' di riscossione.
2. Le spese per l'impiego di esperti o laboratori abilitati
dall'Agenzia per le attivita' di vigilanza di cui all'articolo 5,
comma 1, sono calcolate ai sensi del decreto di cui al comma 1.
3. Gli introiti derivanti dalle sanzioni pecuniarie di cui
all'articolo 10 sono versati ad apposito capitolo dell'entrata del
bilancio dello Stato per essere successivamente riassegnati con
decreto del Ministro dell'economia e delle finanze sul pertinente
capitolo dello stato di previsione della spesa del Ministero
dell'economia e delle finanze, per incrementare la dotazione dei
capitoli del bilancio dell'Agenzia destinati alle attivita' di
ricerca e formazione concernenti la certificazione della
cybersicurezza di prodotti TIC, servizi TIC e processi TIC di cui
all'articolo 9, comma 1.
Art. 14
Ulteriori disposizioni finanziarie
1. Agli oneri derivanti dall'articolo 4, comma 3, pari a 657.500
euro per l'anno 2022, 592.500 euro per l'anno 2023 e 637.500 euro
annui a decorrere dall'anno 2024 si provvede mediante corrispondente
riduzione del Fondo per il recepimento della normativa europea di cui
all'articolo 41-bis della legge 24 dicembre 2012, n. 234.
2. Le spese sostenute dall'Agenzia per l'adeguamento dei sistemi
informativi all'articolo 4, comma 3, sono coerenti con il Piano
triennale per l'informatica nella pubblica amministrazione ai sensi
dei commi da 512 a 520, dell'articolo 1 della legge 28 dicembre 2015,
n. 208.
3. Dall'attuazione del presente decreto, ad esclusione
dell'articolo 4, comma 3, non devono derivare nuovi o maggiori oneri
a carico della finanza pubblica e l'Agenzia provvede con le risorse
umane, strumentali e finanziarie previste a legislazione vigente.
4. Il Ministro dell'economia e delle finanze e' autorizzato ad
apportare le occorrenti variazioni di bilancio negli stati di
previsione interessati in attuazione del presente articolo e
dell'articolo 13.
Capo V
Disposizioni finali
Art. 15
Successiva attuazione nazionale
dei sistemi europei di certificazione
1. Ai nuovi sistemi europei di certificazione che sono adottati
dalla Commissione europea ai sensi dell'articolo 49, paragrafo 7, del
Regolamento e che non siano autonomamente applicabili nel quadro di
certificazione nazionale vigente, e' data attuazione modificando o
integrando il provvedimento di cui all'articolo 4, comma 2, in ogni
aspetto operativo necessario per dare piena attuazione al nuovo
sistema europeo di certificazione.
Il presente decreto, munito del sigillo dello Stato, sara' inserito
nella Raccolta ufficiale degli atti normativi della Repubblica
italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo
osservare.
