Decreto legislativo - 18/05/2018 - n. 65 art. 4 - Identificazione degli operatori di servizi essenziali12

Operatori di servizi essenziali

L'Allegato II del d.lgs. n. 65/2018 titolato «Operatori di servizi essenziali» individua i seguenti tipi di soggetto, per settore e sottosettore:

a) Impresa elettrica, che esercita attività di vendita (compresa la rivendita) di energia elettrica. Per impresa elettrica deve intendersi ogni persona fisica o giuridica (esclusi i clienti finali), che genera, trasporta, distribuisce, fornisce o acquista energia elettrica ed è «responsabile per i compiti commerciali, tecnici o di manutenzione legati a queste funzioni» (art. 2, commi 25-sexies e 25-terdecies, del d.lgs. n. 79/1999 di attuazione della dir. 96/92/CE, recante norme comuni per il mercato interno dell'energia elettrica, come modificato dall'art. 34, comma 1, d.lgs. n. 93/2011);

b) Gestore del sistema di trasmissione o di distribuzione di energia elettrica, quale persona fisica o giuridica responsabile della gestione, manutenzione e sviluppo del sistema di trasmissione o distribuzione in una determinata zona e delle relative interconnessioni con altri sistemi, nonché responsabile di assicurare la capacità a lungo termine del sistema di far fronte alle richieste ragionevoli di trasmissione o distribuzione di energia elettrica (art. 2, commi 25-bis e 25-ter, d.lgs. n. 79/1999 e s.m.i.);

c) Gestore di oleodotti;

d) Gestore di impianti di produzione, raffinazione, trattamento, deposito e trasporto di petrolio;

e) Impresa di gas naturale, da intendersi quale persona fisica o giuridica (esclusi i clienti finali), che produce, trasporta, distribuisce, fornisce, acquista o esegue lo stoccaggio di gas naturale, compresa la rigassificazione di gas naturale liquefatto ed è responsabile per i compiti commerciali, tecnici o di manutenzione legati a queste funzioni – cfr. art. 2, comma 1, lett. t) d.lgs. n. 164/2000 di attuazione della dir. 98/30/CE recante norme comuni per il mercato interno del gas naturale, a norma dell'art. 41 della l. n. 144/1999, come modificato dall'art. 6 d.lgs. n. 93/2011;

f) Impresa che effettua la vendita (compresa la rivendita) di gas naturale, anche liquefatto «GNL» – cfr. art. 2, comma 1, lett. kk-septies) d.lgs. n. 164/2000, come modificato dall'art. 6 d.lgs. n. 93/2011;

g) Gestore del sistema di trasporto o di distribuzione di gas naturale, quale persona fisica o giuridica responsabile della gestione, manutenzione e, ove necessario, sviluppo del sistema di trasporto o distribuzione in una determinata zona ed, eventualmente, delle relative interconnessioni con altri sistemi, nonché responsabile di assicurare la capacità a lungo termine del sistema di far fronte alle richieste ragionevoli di trasporto o distribuzione di gas naturale – cfr. art. 2, comma 1, lett. kk-quater) e kk-sexies), del d.lgs. n. 164/2000, come modificato dall'art. 6 del d.lgs. n. 93/2011.

Si segnala che nell'Allegato II del d.lgs. n. 65/2018 è presente un refuso, in quanto si indica come tipo di soggetto il gestore del sistema di «trasmissione» di gas naturale in luogo di «trasporto», quando invece è quest'ultima la dizione riportata all'art. 2, comma 1, lett. kk-quater del d.lgs. n. 164/2000 e s.m.i.;

h) Gestore dell'impianto di stoccaggio di gas naturale, da intendersi qualsiasi persona fisica o giuridica, che esegue lo stoccaggio di gas naturale ed è responsabile della gestione dell'impianto – cfr. art. 2, comma 1, lett. kk-nonies), del d.lgs. n. 164/2000, come modificato dall'art. 6 del d.lgs. n. 93/2011;

i) Gestore del sistema di gas naturale liquefatto o «GNL», ossia «qualsiasi persona fisica o giuridica responsabile della liquefazione del gas naturale o dell'importazione, o dello scarico, e della rigassificazione di GNL, e responsabile della gestione di un impianto di GNL» – cfr. art. 2, comma 1, lett. kk-decies), d.lgs. n. 164/2000, come modificato dall'art. 6 del d.lgs. n. 93/2011;

j) Gestore di impianti di raffinazione e trattamento di gas naturale;

k) Vettore aereo, quale «impresa di trasporto aereo titolare di una licenza di esercizio valida o documento equivalente» – art. 3, paragrafo 1, n. 4) reg. (CE) 300/2008, istitutivo di norme comuni per la sicurezza dell'aviazione civile e che ha abrogato il reg. (CE) 2320/2002;

l) Gestore aeroportuale ed aeroporto centrale, da intendersi rispettivamente come un soggetto con il compito di «amministrare e di gestire le infrastrutture aeroportuali o della rete aeroportuale e di coordinare e di controllare le attività dei vari operatori presenti negli aeroporti e nella rete aeroportuale di interesse» ed un terreno «predisposto per l'atterraggio, il decollo e le manovre di aeromobili, inclusi gli impianti annessi che esso può comportare per le esigenze del traffico e per il servizio degli aeromobili nonché gli impianti necessari per fornire assistenza ai servizi aerei commerciali» – cfr. art. 72, comma 1, lett. a) e b) d.l. n. 1/2012, convertito, con modificazioni, dalla l. n. 27/2012.

Ai sensi dell'Allegato II, punto 2, reg. (UE) 1315/2013 sugli orientamenti dell'UE per lo sviluppo della rete transeuropea dei trasporti, tra gli aeroporti centrali è possibile annoverare quello di Bologna, Cagliari, Genova, Milano Linate, Milano Malpensa, Bergamo Orio al Serio, Napoli Capodichino, Palermo, Roma Fiumicino, Torino e Venezia (nel febbraio 2023 si è concluso l'iter di esame alla Camera della «Proposta di Regolamento del Parlamento Europeo e del Consiglio sugli orientamenti dell'Unione per lo sviluppo della rete transeuropea dei trasporti [c.d. «TEN-T», n.d.r.], che modifica il regolamento (UE) 2021/1153 e il regolamento (UE) n. 913/2010 e abroga il regolamento (UE) n. 1315/2013» – atto numero COM (2021) 812 e atto congiunto COM (2022) 384; la TEN-T rappresenta un tassello fondamentale per attuare forme di trasporto sostenibili e garantire soluzioni di trasporto multimodali e interoperabili);

m) Fornitore di servizi di controllo del traffico aereo, per prevenire collisioni, accelerare il flusso di traffico aereo e mantenerlo ordinato – cfr. art. 2, paragrafo 1, n. 1) reg. (CE) 549/2004, che stabilisce i principi generali per l'istituzione del cielo unico europeo, come modificato dal reg. (CE) 1070/2009;

n) Gestore dell'infrastruttura di trasporto ferroviario – cfr. art. 3, comma 1, lett. b) d.lgs. n. 112/2015 e s.m.i.;

o) Impresa ferroviaria, da intendersi quale «impresa pubblica o privata titolare di una licenza, la cui attività principale consiste nella prestazione di servizi per il trasporto sia di merci sia di persone per ferrovia e che garantisce obbligatoriamente la trazione; sono comprese anche le imprese che forniscono solo la trazione» incluso l'operatore di impianti di servizio come, ad esempio, stazione passeggeri, scali merci, scali di smistamento ed aree di composizione treni, centro di manutenzione – cfr. art. 3, comma 1, lett. a) e n), d.lgs. n. 112/2015 e s.m.i.;

p) Compagnia di navigazione per il trasporto per vie d'acqua interne, marittimo e costiero di passeggeri e merci (escluse le singole navi da essa gestite), ai sensi dell'Allegato I reg. (CE) 725/2004, relativo al miglioramento della sicurezza delle navi e degli impianti portuali;

q) Organo di gestione dei porti, compresi i relativi impianti portuali per l'interfaccia nave/porto, e soggetto che gestisce opere e attrezzature all'interno di porti – cfr. art. 2, comma 1, lett. a) d.lgs. n. 203/2007; art. 2, paragrafo 1, n. 11) reg. (CE) 725/2004;

r) Gestore di servizio di assistenza al traffico marittimo («Vessel Traffic Service»), finalizzato a rendere più sicura la navigazione e più efficiente il traffico marittimo, oltreché a tutelare l'ambiente – cfr. art. 2, comma 1, lett. p) d.lgs. n. 196/2005 e s.m.i., recante attuazione della dir. 2002/59/CE relativa all'istituzione di un sistema comunitario di monitoraggio e di informazione sul traffico navale;

s) Autorità stradale, quale autorità pubblica responsabile del controllo della gestione del traffico, ai sensi dell'art. 2, punto 12, reg. delegato (UE) 2015/962, che integra la dir. 2010/40/UE relativamente alla predisposizione in tutto il territorio dell'Unione europea di servizi di informazione sul traffico in tempo reale;

t) Gestore di sistema di trasporto intelligente o Intelligent Transport System («ITS»), ai sensi dell'art. 1, comma 1, lett. a), del decreto ministeriale 1° febbraio 2013;

u) Ente creditizio in ambito bancario, da intendersi quale «impresa la cui attività consiste nel raccogliere depositi o altri fondi rimborsabili dal pubblico e nel concedere crediti per proprio conto» – cfr. art. 4, paragrafo 1, n. 1) reg. (UE) 575/2013 e s.m.i., relativo ai requisiti prudenziali per gli enti creditizi e le imprese di investimento;

v) Gestore della sede di negoziazione per le infrastrutture di mercati finanziari, ossia di «un mercato regolamentato, un sistema multilaterale di negoziazione o un sistema organizzato di negoziazione», ai sensi dell'art. 1, comma 5-octies, lett. c) d.lgs. n. 58/1998 e s.m.i., «Testo Unico della Finanza»;

w) Controparte centrale o «CCP», da intendersi quale «persona giuridica che si interpone tra le controparti di contratti negoziati su uno o più mercati finanziari agendo come acquirente nei confronti di ciascun venditore e come venditore nei confronti di ciascun acquirente» – art. 2, paragrafo 1, n. 1), reg. (UE) 648/2012 e s.m.i. sugli strumenti derivati negoziati fuori borsa, le controparti centrali e i repertori di dati sulle negoziazioni;

x) Prestatore di assistenza sanitaria, ossia una «persona fisica o giuridica o qualsiasi altra entità che presti legalmente assistenza sanitaria nel territorio di uno Stato membro dell'Unione europea» – cfr. art. 3, comma 1, lett. h) d.lgs. n. 38/2014 «Attuazione della direttiva 2011/24/UE concernente l'applicazione dei diritti dei pazienti relativi all'assistenza sanitaria transfrontaliera, nonché della direttiva 2012/52/UE, comportante misure destinate ad agevolare il riconoscimento delle ricette mediche emesse in un altro stato membro»;

y) Fornitore e distributore di acque destinate al consumo umano (es. uso potabile o domestico, per impresa alimentare), ai sensi dell'art. 2, comma 1, lett. a), d.lgs. n. 31/2001. Sono esclusi dal novero «i distributori per i quali la distribuzione di acque destinate al consumo umano è solo una parte della loro attività generale di distribuzione di altri prodotti e beni che non sono considerati servizi essenziali»;

z) Punto di interscambio internet («IXP»), DNS e TLD per i quali si rinvia a quanto riportato a commento del precedente art. 3 d.lgs. n. 65/2018.

Autorità di settore e Autorità nazionale competente NIS

L'autorità competente NIS ha il compito di identificare, con propri provvedimenti, gli operatori di servizi essenziali con sede nel territorio nazionale, sulla base del tipo di servizio offerto – che deve essere essenziale per il mantenimento di attività sociali e/o economiche fondamentali – e della dipendenza della sua erogazione dalla rete e dai sistemi informativi, oltreché degli effetti negativi derivanti da un incidente informatico sulla fornitura del servizio stesso.

Nella fase di individuazione è previsto che:

a) vengano consultate le autorità competenti di uno o più degli altri Stati membri, nei quali un soggetto fornisce un servizio essenziale per il mantenimento di attività sociali e/o economiche fondamentali, in aggiunta al territorio nazionale. Lo scopo di questa consultazione è quello di agevolare la valutazione della natura critica dell'operatore, da parte degli Stati membri coinvolti, in termini di impatto transfrontaliero. La consultazione transfrontaliera rappresenta, infatti, un processo complesso, che comporta la raccolta e lo scambio di informazioni confidenziali ad hoc tra gli Stati membri interessati (considerando 24 Direttiva NIS);

b) si tenga conto dei documenti prodotti al riguardo dal Gruppo di cooperazione europeo («NIS Cooperation Group»), composto da rappresentanti degli Stati membri medesimi, della Commissione europea e dell'European Union Agency for Network and Information Security o Agenzia europea per la sicurezza delle reti e dell'informazione («ENISA») con il quale collabora il punto di contatto unico, come riportato a commento del precedente art. 3 d.lgs. n. 65/2018. Con riferimento a ciò, da gennaio 2018 il NIS Cooperation Group ha pubblicato diversi documenti tra i quali «Identification of Operators of Essential Services – Reference document on modalities of the consultation process in cases with cross-border impact» (CG Publication 07/2018), format e procedure per la notifica degli incidenti da parte degli operatori di servizi essenziali («OSE») e dei fornitori di servizi digitali o «FSD» (CG Publication 05/2018 e 06/2018), principi e domini delle misure di sicurezza informatica per gli OSE di cui all'art. 14 della Direttiva NIS (CG Publication 01/2018), stato di implementazione della NIS per il settore dell'energia con relativi standard internazionali e best practice (CG Publication 03/2019).

In Italia l'Agenzia per la Cybersicurezza Nazionale o «ACN» è la sola autorità nazionale competente NIS e punto di contatto unico, mentre i singoli ministeri (Ministero delle Imprese e del Made in Italy già Ministero dello Sviluppo Economico, Ministero delle Infrastrutture e dei Trasporti, Ministero dell'Economia e delle Finanze, Ministero della Salute, Ministero dell'Ambiente e della Sicurezza Energetica già Ministero della Transizione Ecologica) sono le autorità di settore con il compito di formulare all'ACN proposte di variazioni all'elenco degli OSE individuati, ai fini del relativo aggiornamento, cfr. artt. 3 lett. a) e 7, comma 1, d.lgs. n. 65/2018; il Ministero delle Imprese e del Made in Italy, ad esempio, ha il compito di individuare gli OSE nell'ambito del settore delle infrastrutture digitali (per maggiori dettagli su ACN si rinvia a quanto riportato a commento dell'art. 1 del d.lgs. n. 65/2018).

La normativa nazionale specifica, inoltre, che spetta al Ministro della salute individuare con proprio decreto i Prestatori di assistenza sanitaria, mentre al Ministro dell'ambiente e delle Sicurezza Energetica è espressamente demandato il compito di designare, con decreto, i Fornitori e distributori di acque destinate al consumo umano; in entrambi i casi, ciò deve avvenire d'intesa con la Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e Bolzano (c.d. «Conferenza Stato – regioni»), istituita con d.P.C.M. 12 ottobre 1983, i cui compiti e funzioni sono stati definiti ed ampliati tramite d.lgs. n. 281/1997 «Definizione ed ampliamento delle attribuzioni della Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e Bolzano ed unificazione, per le materie ed i compiti di interesse comune delle regioni, delle province e dei comuni, con la Conferenza Stato – città ed autonomie locali». Tra i compiti della Conferenza si possono annoverare, a titolo esemplificativo ma non esaustivo, quello di promuovere e sancire intese, adottare provvedimenti, esprimere pareri, favorire l'interscambio di dati e informazioni.

Ebbene, in fase iniziale sono state individuate poco più di quattrocentocinquanta realtà, pubbliche o private; l'elenco nazionale – istituito presso l'allora Ministero dello sviluppo economico e non soggetto a pubblicazione, per motivi di sicurezza nazionale (così come quello dei soggetti a perimetro a perimetro di sicurezza nazionale cibernetica per i quali si rinvia a quanto riportato a commento dell'art. 1 del d.lgs. n. 65/2018) – viene sottoposto ad aggiornamento periodico, ove necessario e comunque ogni due anni, al fine di tener conto di eventuali nuove realtà, potenzialmente in grado di rafforzare la sicurezza nell'erogazione dei servizi essenziali (art. 4, commi 5 e 6, d.lgs. n. 65/2018).

Per quanto attiene i fornitori di servizi digitali, invece, diversamente dagli OSE, non vi è un analogo dovere di identificazione; gli obblighi previsti dalla normativa de quo per gli OSE in tema di notifica incidenti e di adozione di misure tecniche e organizzative adeguate/proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi utilizzati per erogare i servizi, valgono comunque per tutti i fornitori ai quali essa stessa si applica (art. 14 del d.lgs. n. 65/2018).

Il 22 settembre 2019 è entrato in vigore il d.l. n. 105/2019 (pubblicato in G.U. n. 222 del 21 settembre 2019) approvato dal Consiglio dei ministri, nella seduta del 19 settembre 2019, in considerazione della «straordinaria necessità ed urgenza, nell'attuale quadro normativo ed a fronte della realizzazione in corso di importanti e strategiche infrastrutture tecnologiche, anche in relazione a recenti attacchi alle reti di Paesi europei, di disporre, per le finalità di sicurezza nazionale, di un sistema di organi, procedure e misure, che consenta una efficace valutazione sotto il profilo tecnico della sicurezza degli apparati e dei prodotti, in linea con le più elevate ed aggiornate misure di sicurezza adottate a livello internazionale».

Come noto, le norme contenute in un decreto-legge sono immediatamente applicabili (art. 15, comma 3, l. 23 agosto 2988, n. 400), ma ai sensi dell'art. 77 Cost. perdono efficacia sin dall'inizio se il predetto decreto-legge non viene convertito in legge entro sessanta giorni dalla pubblicazione. In considerazione di ciò, il disegno di legge «Conversione in legge del decreto-legge 21 settembre 2019, n. 105, recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica» è stato presentato il 21 settembre 2019 ed assegnato alle Commissioni riunite I Affari Costituzionali e IX Trasporti in sede Referente (C. 2100).

Il testo del disegno di legge «Conversione in legge, con modificazioni, del d.l. n. 105/2019, recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica» è stato, poi, approvato definitivamente in data 13 novembre 2019 in seconda lettura dalla Camera, dopo essere stato modificato dal Senato (C. 2100-B).

In data 21 novembre 2019 è entrata, quindi, in vigore la l. 18 novembre 2019, n. 133 «Conversione in legge, con modificazioni, del decreto-legge 21 settembre 2019, n. 105, recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica» (pubblicazione in G.U. Serie Generale n. 272 del 20 novembre 2019).

Ai fini di ciò che qui rileva, l'art. 1, comma 17, lett. a), del d.l. n. 105/2019, coordinato con la legge di conversione n. 133/2019, recante «Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica», ha apportato una modifica all'art. 4, comma 5, del d.lgs. n. 65/2018 introducendo un secondo periodo che attiene l'elenco nazionale degli OSE, istituito presso l'ex Ministero dello sviluppo economico. È stato, infatti, previsto espressamente che il già menzionato Ministero inoltri l'elenco nazionale ai seguenti soggetti:

a) ad ACN, quale punto di contatto unico, ossia l'organo incaricato del coordinamento, a livello nazionale, delle questioni relative alla sicurezza delle reti e dei sistemi informativi e della cooperazione transfrontaliera con le autorità competenti negli altri Stati membri, nonché con la rete di Computer Security Incident Response Team («CSIRT») e con il gruppo di cooperazione o NIS Cooperation Group (art. 7, comma 3, del d.lgs. n. 65/2018);

b) all'organo del Ministero dell'interno per la sicurezza e la regolarità dei servizi di telecomunicazione, che si occupa di assicurare «i servizi di protezione informatica delle infrastrutture critiche informatizzate di interesse nazionale individuate con decreto del Ministro dell'interno, operando mediante collegamenti telematici definiti con apposite convenzioni con i responsabili delle strutture interessate» (art. 7-bis del d.l. n. 144/2005, convertito, con modificazioni, in l. n. 155/2005 recante misure urgenti per il contrasto del terrorismo internazionale, c.d. «Decreto Pisanu»). Tale organo è il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche («CNAIPIC»), incardinato nel Servizio Polizia postale e delle Comunicazioni del Dipartimento della Pubblica Sicurezza, come disposto dall'art. 3 del Decreto 9 gennaio 2008 del Ministero dell'Interno «Individuazione delle infrastrutture critiche informatiche di interesse nazionale».

Tra le infrastrutture critiche informatizzate di interesse nazionale, individuate all'art. 1, comma 1, del predetto Decreto 9 gennaio 2008, sono annoverati «i sistemi ed i servizi informatici di supporto alle funzioni istituzionali di:

a) Ministeri, agenzie ed enti da essi vigilati, operanti nei settori dei rapporti internazionali, della sicurezza, della giustizia, della difesa, della finanza, delle comunicazioni, dei trasporti, dell'energia, dell'ambiente, della salute;

b) Banca d'Italia ed autorità indipendenti;

c) società partecipate dallo Stato, dalle regioni e dai comuni interessanti aree metropolitane non inferiori a 500.000 abitanti, operanti nei settori delle comunicazioni, dei trasporti, dell'energia, della salute e delle acque;

d) ogni altra istituzione, amministrazione, ente, persona giuridica pubblica o privata la cui attività, per ragioni di tutela dell'ordine e della sicurezza pubblica, sia riconosciuta di interesse nazionale dal Ministro dell'interno, anche su proposta dei prefetti – autorità provinciali di pubblica sicurezza».

È, invece, affidata al punto di contatto unico, la trasmissione alla Commissione Europea, ogni due anni (la prima volta entro il 9 novembre 2018), delle informazioni necessarie per la valutazione dell'attuazione del decreto, in particolare della coerenza dell'approccio sull'identificazione degli OSE, al fine di evitare la frammentazione del mercato. Tale comunicazione, da parte di tutti gli Stati membri, si pone l'obiettivo di agevolare la Commissione «nella valutazione dell'uniformità del processo di identificazione e ne migliorerebbe la qualità, consentendole peraltro di raffrontare le impostazioni seguite dai diversi Stati membri; il risultato sarebbe un miglioramento nella realizzazione degli obiettivi della direttiva» (cfr. Commissione Europea, COM(2017) 476 final/2 ANNEX 1, 24).

Viene, infine, definito il contenuto minimo che, in ogni caso, le predette informazioni devono comprendere, quale: le misure nazionali che consentono l'identificazione degli OSE; l'elenco dei servizi essenziali; il numero degli OSE identificati ed un'indicazione della loro importanza in relazione al settore di appartenenza; le soglie, se presenti, adottate nella fase di identificazione, al fine di determinare il pertinente livello di fornitura, con riferimento al numero di utenti che dipendono dal servizio, o all'importanza dell'OSE per la salvaguardia di un livello sufficiente di fornitura – cfr. art. 5, comma 1, lett. a) e f) d.lgs. n. 65/2018.

Perimetro di sicurezza nazionale cibernetica

La Direttiva NIS, come noto, si pone l'obiettivo di raggiungere un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione europea riducendo il rischio di frammentazione del mercato interno; essa è stata recepita, a livello nazionale, con il d.lgs. n. 65/2018, che ha definito le misure volte ad ottenere il predetto livello elevato di sicurezza in ambito nazionale, contribuendo, così, ad incrementare quello complessivo europeo, e ha introdotto obblighi coordinati di sicurezza oltreché di notifica incidenti tra i vari player del settore (art. 1, comma 1, d.lgs. n. 65/2018).

Il successivo d.l. n. 105/2019, convertito con modificazioni dalla l n. 133/2019, ha istituito un perimetro di sicurezza nazionale cibernetica con il fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati aventi una sede nel territorio nazionale da cui «dipende l'esercizio di una funzione essenziale dello Stato [la difesa dello Stato, la continuità dell'operato del Governo e degli Organi costituzionali ad esempio, n.d.r.], ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale [come le attività strumentali all'esercizio di funzioni essenziali di Stato o le attività di ricerca, n.d.r.]» – cfr. comma 1, lett. a) dell'art. 1 d.l. n. 105/2019, coordinato con la legge di conversione n. 133/2019 e s.m.i., come modificato dall'art. 27 del d.l. 30 dicembre 2019, n. 162 convertito con modificazioni, dalla l. n. 8/2020 c.d. «decreto milleproroghe».

In tale contesto, dunque, il perimetro di sicurezza nazionale cibernetica assume una valenza complementare rispetto alla Direttiva NIS, focalizzandosi sul rafforzamento e sulla salvaguardia della sicurezza e degli interessi di Stato, che poggiano sull'operato di numerosi altri soggetti pubblici e privati non inclusi tra gli OSE e FSD, più che sul regolare ed armonico funzionamento del mercato unico digitale.

Con riferimento a ciò, nel mese di giugno 2020 è stato sottoposto all'esame della Camera dei Deputati e del Senato della Repubblica lo «schema di decreto del Presidente del Consiglio dei ministri in materia di perimetro di sicurezza nazionale cibernetica». Si tratta dell'Atto di Governo n. 177 predisposto ai sensi dell'art. 1, comma 2, d.l. n. 105/2019 convertito, con modificazioni, dalla l. n. 133/2019 che ha demandato, per l'appunto, ad un decreto della Presidenza del Consiglio dei ministri, adottato su proposta del Comitato interministeriale per la sicurezza della Repubblica o «CISR» (quale organo di consulenza, proposta e deliberazione per gli indirizzi e le finalità generali della politica dell'informazione per la sicurezza), la definizione di:

– modalità e criteri procedurali di individuazione dei soggetti inclusi nel perimetro di sicurezza nazionale (cfr. comma 2, lettera a), dell'art. 1 d.l. n. 105/2019, coordinato con la legge di conversione n. 133/2019);

– criteri con i quali i soggetti inclusi a perimetro «predispongono e aggiornano con cadenza almeno annuale» l'elenco dei beni ICT (insieme di reti, sistemi informativi e servizi informatici o parte di essi), di rispettiva pertinenza, comprensivo della relativa architettura e componentistica (cfr. comma 2, lett. b), dell'art. 1 d.l. n. 105/2019, coordinato con la legge di conversione n. 133/2019).

Secondo quanto previsto dallo schema di decreto, tra i settori prioritari di attività, per i quali gli organi preposti (c.d. «amministrazioni») sono tenuti in concreto ad individuare i soggetti a perimetro, rientrano i seguenti:

– governativo, di competenza delle amministrazioni CISR (per approfondimenti su tale organo si rinvia a quanto riportato a commento del successivo art. 6 d.lgs. n. 65/2018);

– difesa, a cura del Ministero della difesa;

– spazio e aerospazio, in capo alla Presidenza del Consiglio dei ministri;

– energia, telecomunicazioni e servizi digitali, di pertinenza dell'ex Ministero dello sviluppo economico in raccordo (limitatamente ai servizi digitali) con il Dipartimento per la trasformazione digitale (istituito con il D.P.C.M. 19 giugno 2019, quale struttura a supporto della Presidenza del Consiglio dei Ministri ai fini della promozione e del coordinamento delle azioni del Governo volte a definire una strategia unitaria in materia di trasformazione digitale e di modernizzazione del Paese attraverso le tecnologie digitali);

– economia e finanza, in ambito Ministero dell'economia e delle finanze;

– trasporti, nell'alveo del Ministero delle Infrastrutture e dei Trasporti;

– tecnologie critiche e prodotti a duplice uso (civile e militare) di cui all'art. 4, par. 1, lettera b), reg. (UE) 2019/452, successivamente modificato dal reg. delegato (UE) 2021/2126, che istituisce un quadro per il controllo degli investimenti esteri diretti nell'Unione (es. intelligenza artificiale, robotica, nanotecnologie, biotecnologie). In tal caso, vi sono più amministrazioni competenti, chiamate a raccordarsi tra loro, quali la struttura della Presidenza del Consiglio dei ministri che si occupa dell'innovazione tecnologica e della digitalizzazione per il settore tecnologie critiche, nonché l'ex Ministero dello sviluppo economico ed il Ministero dell'università e della ricerca;

– enti previdenziali e lavoro, nella sfera di azione del Ministero del lavoro (Senato della Repubblica – Camera dei Deputati, Dossier XVIII Legislatura n. 265, 4).

Tali predette amministrazioni hanno il compito di individuare, ciascuna per il settore di competenza, gli OSE e sottomettere una proposta di lista al CISR. Compete, poi, al Presidente del Consiglio dei Ministri, su proposta del CISR, adottare un atto amministrativo (dunque di natura non regolamentare), che riporti l'elenco dei soggetti individuati a perimetro, non sottoposto a pubblicazione, né a diritto di accesso per ovvi motivi di sicurezza (a ciascun soggetto è, poi, fornita apposita comunicazione, separatamente e senza ritardo) ai sensi dell'art. 2-bis d.l. n. 105/2019, coordinato con la legge di conversione n. 133/2019, come modificato dall'art. 27 del decreto milleproroghe.

Ebbene, acquisiti i pareri favorevoli con osservazioni della 1ª Commissione del Senato della Repubblica del 7 luglio 2020, delle Commissioni riunite I e IX della Camera dei deputati dell'8 luglio 2020 e della V Commissione della Camera dei deputati del 15 luglio 2020, su proposta del CISR, il Presidente del Consiglio dei Ministri ha adottato il «Regolamento in materia di perimetro di sicurezza nazionale cibernetica, ai sensi dell'articolo 1, comma 2, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133» (cfr. d.P.C.M. n. 131 del 30 luglio 2020, pubblicato in G.U. Serie Generale n. 261 del 21 ottobre 2020). Si evidenzia che, all'art 3 del citato regolamento in materia di perimetro di sicurezza nazionale cibernetica, tra i settori prioritari di attività è stato espressamente previsto, anche l'interno, di competenza del Ministero dell'interno (ove non ricompreso in quello governativo).

Il regolamento in materia di perimetro di sicurezza nazionale cibernetica, entrato in vigore il 5 novembre 2020, specifica all'art. 2 titolato «Soggetti che esercitano funzioni essenziali e servizi essenziali» due macrocategorie di soggetti rientranti nel perimetro di sicurezza nazionale cibernetica ed in particolare quelli che:

a) esercitano una funzione essenziale dello Stato (es. assicurare la sicurezza interna ed esterna e la difesa dello Stato);

b) prestano un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato (es. attività strumentali all'esercizio di funzioni essenziali dello Stato).

Con riferimento agli Organi costituzionali, che godono di una propria sfera di autonomia e di indipendenza organizzativa e funzionale, costituzionalmente garantita, il predetto regolamento lascia loro la facoltà di adottare misure di sicurezza analoghe a quelle previste per i soggetti inclusi nel perimetro di sicurezza nazionale cibernetica, previo accordo con il Presidente del Consiglio dei Ministri.

Alla luce di quanto sopra, dunque, alcuni OSE e/o FSD rientranti nell'ambito di applicazione della Direttiva NIS (es. energia, trasporti, servizi digitali) possono ricadere nel perimetro di sicurezza nazionale cibernetica, ma al contempo il predetto elenco comprende diversi altri soggetti non appartenenti a nessuno dei settori e sottosettori previsti nell'Allegato II del d.lgs. n. 65/2018 (si veda quanto riportato a commento dell'art. 3 del d.lgs. n. 65/2018).

Per gli OSE e FSD, inclusi nel perimetro di sicurezza nazionale cibernetica, vi è l'obbligo di osservare le misure di sicurezza previste dal d.lgs. n. 65/2018 di attuazione della Direttiva NIS, purché di «livello almeno equivalente» a quelle stabilite per tutti gli altri soggetti (inseriti in elenco) con decreto del Presidente del Consiglio dei ministri, su proposta del CSIR, entro dieci mesi dalla data di entrata in vigore della predetta legge di conversione (21 settembre 2020), prendendo in considerazione anche gli standard internazionali e dell'Unione europea – cfr. art. 1, comma 3, lett. b) e comma 8 lett. a) d.l. n. 105/2019, coordinato con la legge di conversione n. 133/2019. In mancanza della predetta equivalenza, OSE e FSD sono tenuti ad applicare delle misure di sicurezza aggiuntive, da definirsi a cura dell'ACN, in sostituzione di: a) Presidenza del Consiglio dei ministri, nel caso di soggetti pubblici e di prestatori di servizi fiduciari (es. «Posta Elettronica Certificata») o di digital identity, nonché di conservatori di documenti informatici; b) l'ex Ministero dello sviluppo economico per i soggetti privati, con il supporto anche del Centro di Valutazione e Certificazione Nazionale o «CVCN». Il d.l. n. 82/2021 convertito in l. n. 109/2021 recante disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la Cybersicurezza Nazionale ha previsto all'art. 16, comma 6, lett. a), che ogni riferimento alla Presidenza del Consiglio dei ministri ed all'ex Ministero dello sviluppo economico sono da intendersi riferiti all'ACN.

Per quanto attiene il CVCN, trattasi di un centro collocato all'interno del Servizio Certificazione e Vigilanza dell'ACN, chiamato, in particolare, a contribuire alla definizione delle misure di sicurezza in merito all'affidamento di forniture di beni, sistemi e servizi ICT destinati ad essere impiegati su reti, sistemi informativi e servizi informatici di cui al comma 3, lett. b), nonché a svolgere attività di verifica di vulnerabilità note e di valutazione del rischio – anche in relazione all'ambito di impiego – definendo le metodologie di verifica e di test hardware e software ed, infine, ad elaborare/adottare schemi di certificazione cibernetica, sulla base degli internazionali ed UE, qualora, per ragioni di sicurezza nazionale, gli schemi di certificazione esistenti non siano ritenuti adeguati alle esigenze di tutela del perimetro di sicurezza nazionale cibernetica – cfr. art. 1, comma 7, d.l. n. 105/2019, convertito con modificazioni in l. n. 133/2019 e s.m.i.

In considerazione di ciò, è previsto espressamente che i bandi di gara ed i contratti di affidamento di forniture di beni, sistemi e servizi ICT siano integrati con clausole che condizionino l'efficacia ex ante o ex post all'esito dei predetti test di hardware e software disposti dal CVCN; si tratta, in altre parole, di subordinare l'efficacia del contratto (condizione sospensiva) o, viceversa, la cessazione degli effetti del contratto stesso (condizione risolutiva) al verificarsi di un avvenimento, futuro e incerto (art. 1353 c.c.), quale, per l'appunto, la buona riuscita dei test – cfr. art. 1, comma 6, lett. a) e b) del d.l. n. 105/2019, convertito con modificazioni in l. n. 133/2019 e s.m.i.

La definizione delle procedure, delle modalità e dei termini di affidamento per le amministrazioni pubbliche, gli enti e gli operatori pubblici e privati aventi sede nel territorio nazionale, inclusi nel perimetro di sicurezza cibernetica, è rimessa ad un regolamento da emanarsi con decreto del Presidente della Repubblica (previa deliberazione del Consiglio dei Ministri, sentito il parere del Consiglio di Stato, che deve pronunziarsi in novanta giorni dalla richiesta) entro dieci mesi dalla data di entrata in vigore della l. n. 133/2019 di conversione del d.l. n. 105/2019 (cfr. art. 17, comma 1, della l. 23 agosto 1988, n. 400). Quanto detto non si applica nel caso di affidamenti delle forniture di beni, sistemi e servizi necessari per lo svolgimento delle attività di prevenzione, accertamento e repressione dei reati e nei casi di deroga previsti dal già menzionato regolamento laddove per la loro acquisizione sia indispensabile procedere in sede estera – cfr. art. 1, comma 6, lett. a), d.l. n. 105/2019, convertito con modificazioni in l. n. 133/2019, e s.m.i.

In merito a quanto sopra, nell'agosto 2020 il Consiglio dei Ministri, su proposta dell'ex Ministero dello sviluppo economico, ha approvato, in esame preliminare, lo schema di decreto del Presidente della Repubblica, che definisce le procedure, le modalità ed i termini da seguire ai fini delle valutazioni da parte dei centri, nonché la comunicazione di affidamento, i criteri di natura tecnica per l'individuazione delle categorie/beni/sistemi/sevizi ICT a cui si applica la procedura di valutazione e le attività di verifica e ispezione da parte delle Autorità competenti, ai fini dell'accertamento del rispetto degli obblighi stabiliti nel decreto-legge e nei decreti attuativi. Con successivo D.P.R. 5 febbraio 2021, n. 54 è stato adottato il «Regolamento recante attuazione dell'articolo 1, comma 6, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133» che definisce: le procedure, le modalità ed i termini da seguire ai fini delle valutazioni a cura del CVCN, in ordine all'acquisizione, da parte dei soggetti inclusi nel perimetro, di oggetti di fornitura rientranti nelle categorie individuate, fatti salvi i casi di deroga; i criteri di natura tecnica per l'individuazione delle categorie a cui si applica la procedura di valutazione; le procedure, le modalità ed i termini con cui le Autorità competenti effettuano le attività di verifica e ispezione ai fini dell'accertamento del rispetto degli obblighi stabiliti nel decreto-legge e nei decreti attuativi. Con d.P.C.M. del 15 giugno 2021 sono state, invece, individuate le categorie di beni, sistemi e servizi ICT destinati ad essere impiegati nel perimetro di sicurezza nazionale cibernetica, in attuazione dell'art. 1, comma 6, lettera a), d.l. n. 105/2019, convertito con modificazioni in l. n. 133/2019, e s.m.i.

Nei casi in cui un committente non rispetti per le prescrizioni di utilizzo dettate dal CVCN oppure un fornitore non presti la propria collaborazione per l'esecuzione dei test, sostenendone gli oneri, è prevista una sanzione amministrativa pecuniaria da 250.000 a 1.500.000 euro, salvo il fatto costituisca reato – cfr. art. 1, comma 9, lett. f) e h) del d.l. n. 105/2019, convertito con modificazioni in l. n. 133/2019, e s.m.i.

Diversamente, l'impiego di prodotti e servizi sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici, in violazione delle condizioni o in caso di mancato superamento dei test hardware e software imposti dal CVCN, è punito con la sanzione amministrativa pecuniaria da 300.000 a 1.800.000 euro e con quella accessoria della incapacità ad assumere incarichi di direzione, amministrazione e controllo nelle persone giuridiche e nelle imprese, per un periodo di tre anni a decorrere dalla data di accertamento della violazione medesima – cfr. art. 1, comma 9, lett. e) e comma 10 d.l. n. 105/2019, convertito con modificazioni in l. n. 133/2019, e s.m.i.

In data 30 giugno 2022 il CVCN è divenuto operativo, a fronte della pubblicazione in Gazzetta Ufficiale del d.P.C.M. 15 giugno 2022 (cfr. art. 16, comma 9, d.l. 14 giugno 2021, n. 82, convertito con modificazioni dalla l. n. 109/2021; G.U. Serie Generale n. 151 del 30 giugno 2022).

Al CVCN si affiancano e fanno riferimento sia i Centri di Valutazione («CV») del Ministero dell'Interno e del Ministero della Difesa che una rete di Laboratori Accreditati di Prova («LAP») regolamentati da D.P.C.M. 18 maggio 2022, n. 92 «Regolamento in materia di accreditamento dei laboratori di prova e di raccordi tra Centro di Valutazione e Certificazione Nazionale, i laboratori di prova accreditati e i Centri di Valutazione del Ministero dell'interno e del Ministero della difesa, ai sensi dell'articolo 1, comma 7, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133» (G.U. Serie Generale n. 164 del 15 luglio 2022); in tal senso per accreditamento si intende, «il riconoscimento formale dell'indipendenza, affidabilità e competenza tecnica di un laboratorio di prova o CV, ai fini dell'esecuzione dei test» – cfr. art. 1, comma 1, lett. r) D.P.C.M. 18 maggio 2022, n. 92.

Sanzioni

Le autorità competenti per l'accertamento delle violazioni e l'irrogazione delle sanzioni amministrative, come riportato a commento dell'art. 1 d.lgs. n. 65/2018, sono la Presidenza del Consiglio dei ministri ed il Ministero delle Imprese e del Made in Italy già Ministero dello sviluppo economico (alle medesime autorità spetta, altresì, l'accertamento delle violazioni e l'irrogazione delle sanzioni amministrative nei confronti dei soggetti pubblici e privati inclusi nel perimetro di sicurezza nazionale cibernetica, ai sensi dell'art. 1, comma 12, d.l. n. 105/2019, convertito con modificazioni in l. n. 133/2019, e s.m.i.).

Inoltre, ai sensi dell'art. 1, comma 11, d.l. n. 105/2019, convertito con modificazioni in l. n. 133/2019, e s.m.i. si applica la pena della reclusione da uno a tre anni a chiunque:

– fornisca «informazioni, dati o elementi di fatto non rispondenti al vero, rilevanti per la predisposizione o l'aggiornamento degli elenchi» delle reti, dei sistemi informativi e dei servizi informatici impiegati, o ai fini delle comunicazioni preventive al CVCN precedentemente descritte, o per lo svolgimento delle attività ispettive e di vigilanza a cura della Presidenza del Consiglio dei ministri e dell'ex Ministero dello sviluppo economico, rispettivamente per i soggetti pubblici e privati – cfr. art. 1, comma 2, lett. b) e comma 6, lett. a) e lett. c);

– ometta di «comunicare entro i termini prescritti i predetti dati, informazioni o elementi di fatto»;

il tutto con la coscienza, la volontà ed il fine specifico di «ostacolare o condizionare l'espletamento dei procedimenti [omissis], o delle attività ispettive e di vigilanza» (c.d. «dolo specifico»).

Per le suddette fattispecie di reato è prevista, altresì, la responsabilità dell'ente privato ai sensi del d.lgs. n. 231/2001 «Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell'articolo 11 della legge 29 settembre 2000, n. 300». A tale riguardo, si segnala che, rispetto alla originaria formulazione del d.l. n. 105/2019, i reati in questione sono stati inseriti nel catalogo dei reati presupposto (la cui commissione integra il presupposto della responsabilità amministrativa dell'ente), contemplati dall'art. 24-bis, comma 3 «Delitti informatici e trattamento illecito di dati» del d.lgs. n. 231/2001 (cfr. art. 1, comma 11-bis), con relativa sanzione pecuniaria sino a quattrocento quote).