HomeSentenzeArticoliLegislazionePrivacyRicercaChi siamo
decreto legislativo, 3/8/2022
D.lgs 3/08/2022, n. 123, Norme di adeguamento della normativa nazionale alle disposizioni del Titolo III «Quadro di certificazione della cibersicurezza» del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio del 17 aprile 2019...
(GU n.194 del 20-8-2022)
decreto legislativo
Materia: strumenti informatici e telematici / pubblica amministrazione

DECRETO LEGISLATIVO 3 agosto 2022, n. 123

Norme di adeguamento della normativa nazionale alle disposizioni  del
Titolo III «Quadro  di  certificazione  della  cibersicurezza» del
regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio del
17 aprile 2019 relativo all'ENISA, l'Agenzia dell'Unione europea  per
la cibersicurezza, e alla certificazione della cibersicurezza per  le
tecnologie dell'informazione e della comunicazione, e che  abroga  il
regolamento (UE) n. 526/2013  («regolamento  sulla  cibersicurezza»).

(GU n.194 del 20-8-2022)
  Vigente al: 4-9-2022  
Capo I
Disposizioni generali

 
                   IL PRESIDENTE DELLA REPUBBLICA
 
  Visti gli articoli 76 e 87, quinto comma, della Costituzione;
  Visto l'articolo 14, comma 1, della legge 23 agosto 1988,  n.  400,
recante disciplina dell'attivita'  di  Governo  e  ordinamento  della
Presidenza del Consiglio dei ministri;
  Vista la legge 24 dicembre 2012, n.  234,  recante  norme  generali
sulla partecipazione dell'Italia  alla  formazione  e  all'attuazione
della normativa e delle politiche dell'Unione europea;
  Vista la legge 22 aprile 2021, n. 53, concernente delega al Governo
per il recepimento delle direttive europee e  l'attuazione  di  altri
atti dell'Unione europea - Legge di delegazione europea 2019-2020, e,
in particolare, l'articolo 18, recante i principi e criteri direttivi
per l'adeguamento della normativa  nazionale  alle  disposizioni  del
titolo III del regolamento (UE) 2019/881;
  Visto il regolamento (CE) n. 765/2008 del Parlamento europeo e  del
Consiglio,  del  9  luglio  2008,  che  pone  norme  in  materia   di
accreditamento  e  vigilanza  del  mercato  per  quanto  riguarda  la
commercializzazione dei prodotti e che abroga il regolamento (CEE) n.
339/93;
  Visto il regolamento (UE) 2019/881 del  Parlamento  europeo  e  del
Consiglio,  del  17  aprile  2019,  relativo   all'ENISA,   l'Agenzia
dell'Unione europea per  la  cibersicurezza,  e  alla  certificazione
della cibersicurezza per  le  tecnologie  dell'informazione  e  della
comunicazione, e che abroga il regolamento (UE) n. 526/2013;
  Visto il regolamento (UE) n. 910/2014 del Parlamento europeo e  del
Consiglio,  del  23  luglio  2014,  in  materia  di   identificazione
elettronica e servizi fiduciari per le transazioni  elettroniche  nel
mercato interno e che abroga la direttiva 1999/93/CE;
  Visto il regolamento (UE) 2016/679 del  Parlamento  europeo  e  del
Consiglio, del 27 aprile 2016, relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche'  alla
libera circolazione di tali dati e che abroga la  direttiva  95/46/CE
(regolamento generale sulla protezione dei dati);
  Vista la legge 24 novembre  1981,  n.  689,  recante  modifiche  al
sistema  penale  e  che   contiene   disposizioni   in   materia   di
depenalizzazione, sanzioni amministrative  e  penali,  pecuniarie  ed
accessorie;
  Visto il decreto  legislativo  23  gennaio  2002,  n.  10,  recante
attuazione  della  direttiva  1999/93/CE  relativa   ad   un   quadro
comunitario per le firme elettroniche , e, in particolare, l'articolo
10, comma 1, che ha previsto l'istituzione dello schema nazionale per
la valutazione  e  certificazione  di  sicurezza  nel  settore  della
tecnologia  dell'informazione  preposto  all'accertamento  in  Italia
della conformita' dei dispositivi per  la  creazione  di  una  «firma
sicura»  ai  requisiti  prescritti  dalla  direttiva  1999/93/CE   da
definire con decreto del Presidente del Consiglio dei ministri o  del
Ministro per l'innovazione e le tecnologie,  di  concerto  con  altri
Ministri;
  Visto il decreto legislativo 30 giugno 2003, n. 196, concernente il
codice  in  materia  di  protezione  dei  dati   personali,   recante
disposizioni  per   l'adeguamento   dell'ordinamento   nazionale   al
regolamento (UE) n. 2016/679 del Parlamento europeo e del  Consiglio,
del 27 aprile 2016, relativo alla protezione  delle  persone  fisiche
con riguardo al trattamento dei dati personali, nonche'  alla  libera
circolazione di tali dati e che abroga la direttiva 95/46/CE;
  Visto il decreto legislativo 7 marzo 2005, n.  82,  recante  Codice
dell'amministrazione digitale,  che  ha  disposto  l'abrogazione  del
decreto legislativo 23 gennaio 2002, n.  10,  sostituendo  l'articolo
10, comma 1 con il  nuovo  articolo  35,  comma  5  ed  adeguando  il
riferimento  a  «firma  sicura»   con   il   nuovo   termine   «firma
qualificata»;
  Visto l'articolo 7, comma  1,  lettera  e),  del  decreto-legge  14
giugno 2021, n. 82, convertito,  con  modificazioni,  dalla  legge  4
agosto 2021, n. 109,  recante  disposizioni  urgenti  in  materia  di
cybersicurezza,   definizione    dell'architettura    nazionale    di
cybersicurezza  e  istituzione  dell'Agenzia  per  la  cybersicurezza
nazionale,  che  attribuisce  all'Agenzia   per   la   cybersicurezza
nazionale il ruolo di autorita'  nazionale  di  certificazione  della
cybersicurezza  ai  sensi  dell'articolo  58  del  regolamento   (UE)
2019/881 e traferisce all'agenzia tutte le  funzioni  in  materia  di
certificazione  di  cybersicurezza  del  Ministero   dello   sviluppo
economico in base all'ordinamento vigente, ed il successivo  articolo
16, comma 12, lettera b), dello  stesso  decreto,  con  il  quale  si
dispone che ogni riferimento al Ministero  dello  sviluppo  economico
nell'articolo 18 della legge 22 aprile 2022, n. 53, ovunque  ricorra,
deve intendersi riferito all'Agenzia per la cybersicurezza nazionale;
  Visto il decreto del Presidente del Consiglio dei ministri  del  30
ottobre 2003, pubblicato nella Gazzetta Ufficiale n. 98 del 27 aprile
2004, recante approvazione dello schema nazionale per la  valutazione
e la certificazione della  sicurezza  nel  settore  della  tecnologia
dell'informazione, e che  ha  individuato,  all'articolo  4,  nell'ex
Ministero  delle  comunicazioni,  oggi   Ministero   dello   sviluppo
economico per effetto dei commi 376 e 377 dell'articolo 1 della legge
del 24 dicembre 2007, n. 244,  l'organismo  di  certificazione  della
sicurezza informatica nel settore della tecnologia dell'informazione,
ai sensi dell'articolo  10,  comma  1,  del  decreto  legislativo  23
febbraio 2002, n. 10;
  Visto il  regolamento  adottato  con  decreto  del  Presidente  del
Consiglio dei ministri del 9 dicembre 2021, n.  223,  in  materia  di
organizzazione e funzionamento  dell'Agenzia  per  la  cybersicurezza
nazionale;
  Vista la preliminare  deliberazione  del  Consiglio  dei  ministri,
adottata nella riunione del 5 maggio 2022;
  Sentita  l'Agenzia  per  la   cybersicurezza   nazionale   di   cui
all'articolo 5 del decreto-legge 14 giugno 2021, n.  82,  convertito,
con modificazioni, dalla legge  4  agosto  2021,  n.  109,  ai  sensi
dell'articolo 7, comma 1, lettera p), del medesimo decreto-legge;
  Acquisiti i pareri delle competenti Commissioni  della  Camera  dei
deputati e del Senato della Repubblica;
  Vista la deliberazione del Consiglio dei ministri,  adottata  nella
riunione del 28 luglio 2022;
  Sulla proposta del Presidente del  Consiglio  dei  ministri  e  del
Ministro dello sviluppo economico, di concerto con i  Ministri  degli
affari esteri e della cooperazione  internazionale,  dell'economia  e
delle finanze, della giustizia,  dell'interno,  della  difesa  e  per
l'innovazione tecnologica e la transizione digitale;
 
                                Emana
                  il seguente decreto legislativo:
 
                               Art. 1
 
                  Oggetto e ambito di applicazione
 
  1. Il presente decreto  stabilisce  misure  volte  ad  adeguare  la
normativa nazionale al nuovo quadro europeo di  certificazione  della
cybersicurezza, introdotto mediante le disposizioni  del  Titolo  III
del regolamento (UE) 2019/881.
  2. Ai fini del comma 1, il presente decreto prevede:
    a) l'individuazione dell'organizzazione dell'autorita'  nazionale
di certificazione della cybersicurezza in Italia, di cui all'articolo
4, comma 1, in base ai compiti ed ai poteri  ad  essa  attribuiti  in
materia  di  vigilanza  in  ambito  nazionale  e  di   rilascio   dei
certificati di cybersicurezza, con riferimento al quadro  europeo  di
certificazione;
    b) le  modalita'  di  cooperazione  dell'autorita'  di  cui  alla
lettera a) con le altre autorita' pubbliche nazionali  ed  europee  e
con l'Organismo di accreditamento;
    c) la definizione di un sistema sanzionatorio applicabile in caso
di violazione delle norme del quadro europeo  di  certificazione  con
sanzioni effettive, proporzionate e dissuasive.
  3. Il presente decreto  si  applica  fatte  salve  le  disposizioni
specifiche  riguardanti  le  attivita'  nel  settore  della  pubblica
sicurezza, della difesa, della sicurezza  nazionale  e  le  attivita'
dello Stato nell'ambito del diritto penale.
                               Art. 2
 
                   Trattamento dei dati personali
 
  1. Il trattamento dei dati  personali  derivante  dall'applicazione
del presente decreto e' effettuato  ai  sensi  del  regolamento  (UE)
2016/679 e del decreto legislativo 30 giugno 2003, n. 196.
                               Art. 3
 
                             Definizioni
 
  1. Ai fini del presente decreto, oltre alle  definizioni  contenute
nel regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio,
del 17 aprile 2019, si applicano le seguenti:
    a) «TIC»: Tecnologia dell'Informazione e della Comunicazione;
    b) «Regolamento»: Titolo III del regolamento  (UE)  2019/881  del
Parlamento europeo e del Consiglio,  del  17  aprile  2019,  relativo
all'ENISA, l'Agenzia dell'Unione europea  per  la  cibersicurezza,  e
alla  certificazione   della   cibersicurezza   per   le   tecnologie
dell'informazione e della comunicazione, e che abroga il  regolamento
(UE) n. 526/2013;
    c) «quadro  europeo  di  certificazione»:  il  Regolamento  ed  i
successivi  sistemi  europei  di  certificazione  adottati  a   norma
dell'articolo 49 del Regolamento;
    d) «messa  a  disposizione  sul  mercato»:  la  fornitura  di  un
prodotto TIC o di un servizio TIC per la distribuzione, il consumo  o
l'uso sul mercato  dell'Unione  Europea  nel  corso  di  un'attivita'
commerciale, a titolo oneroso o gratuito;
    e) «richiamo»:  qualsiasi  provvedimento  volto  ad  ottenere  la
restituzione di un prodotto TIC che e' gia'  stato  reso  disponibile
all'utilizzatore finale;
    f) «ritiro»: qualsiasi provvedimento volto ad impedire la messa a
disposizione sul mercato di un prodotto  TIC  o  servizio  TIC  nella
catena della fornitura;
    g)  «vigilanza  del  mercato»:   le   attivita'   svolte   ed   i
provvedimenti  adottati  dall'  Agenzia  e  dalle   altre   autorita'
pubbliche competenti per garantire che i prodotti TIC, i servizi  TIC
ed i processi TIC ad  essi  collegati  siano  conformi  ai  requisiti
stabiliti dal quadro europeo di certificazione e non pregiudichino la
salute, la sicurezza o qualsiasi altro aspetto della  protezione  del
pubblico interesse;
    h) «Agenzia»: l'Agenzia per la cybersicurezza  nazionale  di  cui
all'articolo 5 del decreto-legge 14 giugno 2021, n.  82,  convertito,
con modificazioni, dalla legge  4  agosto  2021,  n.  109,  designata
dall'articolo 7, comma 1, lettera e), del medesimo decreto-legge, per
l'Italia,  quale  autorita'   nazionale   di   certificazione   della
cybersicurezza, di cui all'articolo 58, paragrafo 1, del Regolamento;
    i) «standard» o «norma»: una specifica tecnica,  adottata  da  un
organismo  di  normazione  riconosciuto  ai  sensi  dell'articolo  2,
paragrafo 1, numero 1), del regolamento (UE) n. 1025/2012;
    l) «norma armonizzata»: una norma europea adottata sulla base  di
una richiesta della Commissione  Europea  ai  fini  dell'applicazione
della   legislazione   dell'Unione   sull'armonizzazione   ai   sensi
dell'articolo 2, paragrafo 1, numero 1, lettera c),  del  regolamento
(UE) n. 1025/2012;
    m)  «Organismo  di  accreditamento»:  l'organismo  autorizzato  a
svolgere l'attivita' di accreditamento nel territorio dello Stato, ai
sensi dell'articolo 2, paragrafo 1, numero 11, del  regolamento  (CE)
765/2008, designato con decreto del Ministro dello sviluppo economico
del 22 dicembre 2009 in attuazione dell'articolo 4,  comma  2,  della
legge 23 luglio 2009, n. 99;
    n) «autorizzazione»: provvedimento con il quale l'Agenzia accerta
il possesso, a norma dell'articolo 54, paragrafo 1, lettera  f),  del
Regolamento, di  requisiti  specifici  o  supplementari  a  cui  sono
soggetti gli organismi di valutazione  della  conformita'  per  poter
operare   nell'ambito   di   uno   specifico   sistema   europeo   di
certificazione, in aggiunta a quanto gia' previsto nell'allegato  del
Regolamento;
    o) «abilitazione»: provvedimento con il quale l'Agenzia accerta i
requisiti necessari affinche' un esperto o un  laboratorio  di  prova
possa coadiuvare l'Agenzia nelle attivita' di vigilanza  nazionale  o
di rilascio dei certificati di cybersicurezza;
    p)  «laboratorio  di  prova»:  organismo  di  valutazione   della
conformita' che svolge verifiche documentali e/o prove in  base  alle
norme armonizzate europee ed  agli  standard  e  specifiche  tecniche
nell'ambito  del  sistema  europeo  di  certificazione  in   cui   e'
accreditato;
    q) «organismo di certificazione»: organismo di valutazione  della
conformita' che emette certificati europei di cybersicurezza in  base
alle norme armonizzate europee ed agli  standard  di  riferimento  ai
sensi dell'articolo 54, paragrafo 1, lettera c), del Regolamento  per
il sistema di certificazione in cui e' accreditato;
    r) «elenco dei  laboratori  di  prova  e  degli  esperti  per  le
attivita' di vigilanza nazionale»: registro aggiornato dei laboratori
di  prova  e  degli  esperti  abilitati  dall'Agenzia  ad  effettuare
attivita' di valutazione di  sicurezza  informatica  nell'ambito  dei
compiti di vigilanza nazionale dell'Agenzia;
    s) «elenco dei  laboratori  di  prova  e  degli  esperti  per  le
attivita' di certificazione»: registro aggiornato dei  laboratori  di
prova e degli esperti abilitati dall'Agenzia ad effettuare  attivita'
di valutazione di sicurezza informatica nell'ambito  dei  compiti  di
rilascio dei certificati di cybersicurezza dell'Agenzia;
    t) «Organismo di Certificazione della  Sicurezza  Informatica»  o
«OCSI»: organismo  di  certificazione  dell'Agenzia,  accreditato  ai
sensi dell'articolo 60, paragrafo 2, del  Regolamento,  istituito  ai
sensi dell'articolo 4 del decreto del Presidente  del  Consiglio  dei
ministri del 30 ottobre 2003, pubblicato nella Gazzetta Ufficiale  n.
98 del 27 aprile 2004;
    u) «dichiarazione UE di conformita'»: attestazione di conformita'
rilasciata da un fabbricante di prodotti TIC o fornitore  di  servizi
TIC ai sensi  dell'articolo  53,  paragrafo  1,  del  regolamento  UE
2019/881, a seguito del processo di  autovalutazione  di  conformita'
previsto dallo stesso articolo;
    v) «emittenti delle dichiarazioni di conformita' UE»: i  soggetti
di cui all'articolo 53, paragrafo 1, del regolamento UE 2019/881;
    z)  «certificato  europeo  di   cybersicurezza»:   un   documento
rilasciato da un organismo  di  certificazione  che  attesta  che  un
determinato prodotto  TIC,  servizio  TIC  o  processo  TIC e'  stato
oggetto di una valutazione di conformita' ai requisiti  stabiliti  da
un sistema europeo di certificazione;
    aa) «certificato europeo di cybersicurezza (o dichiarazione UE di
conformita') non conforme»: certificato europeo di cybersicurezza  (o
dichiarazione  UE  di  conformita')  che  non  soddisfa  uno  o  piu'
requisiti  di  un  sistema  europeo  di   certificazione   ai   sensi
dell'articolo 54, paragrafo 1, del Regolamento;
    bb)  «revoca  di  un  certificato  europeo  di   cybersicurezza»:
annullamento di un certificato europeo di cybersicurezza prima  della
sua scadenza da parte dell'organismo di valutazione della conformita'
emittente o da parte dell'Agenzia;
    cc) «revoca di una dichiarazione UE di conformita'»: annullamento
di una dichiarazione UE di conformita' prima della  sua  scadenza  da
parte del fabbricante o fornitore emittente;
    dd) «livello di affidabilita' di base»: livello di  affidabilita'
che soddisfa i requisiti ed e' valutato con i criteri specificati  al
paragrafo 5 dell'articolo 52 del Regolamento;
    ee)  «livello   di   affidabilita'   sostanziale»:   livello   di
affidabilita' che soddisfa i requisiti ed e' valutato con  i  criteri
specificati al paragrafo 6 dell'articolo 52 del Regolamento;
    ff) «livello di affidabilita' elevato»: livello di  affidabilita'
che soddisfa i requisiti ed e' valutato con i criteri specificati  al
paragrafo 7 dell'articolo 52 del Regolamento;
    gg)   «ECCG»:   Gruppo   europeo    di    certificazione    della
cibersicurezza, ai sensi dell'articolo 62 del Regolamento;
    hh) «ENISA»: l'Agenzia dell'Unione europea per la  cibersicurezza
di cui al Titolo II del regolamento (UE) 2019/881.
Capo II
Autorita' nazionale, attivita' nazionale ed internazionale

                               Art. 4
 
Designazione  dell'autorita'  nazionale   di   certificazione   della
  cybersicurezza, organizzazione e procedure per lo  svolgimento  dei
  compiti in ambito nazionale di certificazione della cybersicurezza
 
  1. L'Agenzia, ai sensi degli articoli 7, comma 1, lettera e), e 16,
comma 12, lettera b),  del  decreto-legge  14  giugno  2021,  n.  82,
convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109,  e'
l'autorita' nazionale di  certificazione  della  cybersicurezza,  nel
rispetto di  quanto  previsto  dall'articolo  58,  paragrafo  1,  del
Regolamento.
  2. Con provvedimento dell'Agenzia, adottato ai sensi  dell'articolo
5, comma 3, del decreto del Presidente del Consiglio dei  ministri  9
dicembre 2021, n. 223, sono definite l'organizzazione e le  procedure
per lo svolgimento dei compiti dell'Agenzia quale Autorita' nazionale
di certificazione della cybersicurezza e sono definite  le  modalita'
applicative delle attivita' di cui al presente  Capo  e  all'articolo
11. Il predetto  provvedimento  dispone  altresi'  che  le  attivita'
dell'Agenzia  relative  al  rilascio  di   certificati   europei   di
cybersicurezza di cui all'articolo 6, comma  1,  siano  rigorosamente
separate dalle attivita' di vigilanza di cui  all'articolo  5  e  che
tali attivita' siano svolte indipendentemente  le  une  dalle  altre,
nell'ambito di due distinte Divisioni di cui all'articolo 4, comma 4,
del decreto del Presidente del  Consiglio  dei  ministri  9  dicembre
2021, n.  223.  L'Agenzia  partecipa  alle  attivita'  internazionali
dell'ECCG e del  comitato  ai  sensi  degli  articoli  62  e  66  del
Regolamento con proprio personale.
  3. Per lo svolgimento dei compiti attribuiti all'Agenzia,  inerenti
la realizzazione e la gestione dei sistemi informativi, la formazione
del personale tecnico ed amministrativo, la ricerca e  l'innovazione,
la   realizzazione   e   l'aggiornamento   di   laboratori   interni,
l'abilitazione di laboratori di prova ed esperti, l'autorizzazione di
organismi   di   valutazione   della   conformita',   la   vigilanza,
l'accreditamento, il rinnovo e  l'estensione  dell'organismo  di  cui
all'articolo 6, comma 1, le missioni nazionali ed internazionali e le
spese generali, e' autorizzata la spesa di 657.500  euro  per  l'anno
2022, 592.500 euro per l'anno 2023 e 637.500 euro annui  a  decorrere
dall'anno 2024. Agli oneri derivanti dal presente comma  si  provvede
ai sensi dell'articolo 14, comma 1.
                               Art. 5
 
                         Vigilanza nazionale
 
  1. L'Agenzia realizza  l'attivita'  di  vigilanza  del  mercato  in
ambito nazionale ai fini della  corretta  applicazione  delle  regole
previste dai sistemi europei di certificazione della  cybersicurezza,
con  riferimento   ai   certificati   di   cybersicurezza   ed   alle
dichiarazioni UE di conformita' emessi nel territorio dello Stato, ai
sensi  dell'articolo  58,  paragrafo  7,  lettere  a)   e   b),   del
Regolamento, vigilando  sui  fornitori  e  fabbricanti  emittenti  le
dichiarazioni UE di conformita', sui titolari di certificati  europei
di cybersicurezza e sugli organismi di valutazione della conformita',
ai sensi dell'articolo 58, paragrafo 8, del  Regolamento.  L'Agenzia,
inoltre, ai sensi dell'articolo 58, paragrafo 7, lettere  c),  d)  ed
e), del Regolamento:
    a) fatto  salvo  l'articolo  60,  paragrafo  3,  del  Regolamento
nonche' quanto stabilito alla lettera b) del presente comma,  assiste
e sostiene attivamente l'Organismo di accreditamento nel monitoraggio
e nella vigilanza delle  attivita'  degli  organismi  di  valutazione
della conformita' ai fini del Regolamento. Le modalita'  di  sostegno
ed  assistenza  dell'Agenzia  all'Organismo  di  accreditamento   per
l'attivita' di vigilanza sono disciplinate da apposita convenzione  o
protocollo di intesa fra i medesimi soggetti;
    b)  monitora  e  vigila  sulle  attivita'  degli   organismi   di
valutazione  della  conformita'  pubblici  di  cui  all'articolo  56,
paragrafo 5, lettera b), del Regolamento;
    c)  ove  previsto  dal  sistema  di   certificazione   ai   sensi
dell'articolo 54, paragrafo 1, lettera f), del Regolamento, autorizza
gli organismi di valutazione della conformita' a norma  dell'articolo
60, paragrafo  3,  del  Regolamento,  e  limita,  sospende  o  revoca
l'autorizzazione  esistente  qualora  violino  le  prescrizioni   del
Regolamento    medesimo,    dandone    notizia    all'Organismo    di
accreditamento.
  2. L'Agenzia, nello svolgimento dell'attivita' di vigilanza di  cui
al comma 1, opera anche in  collaborazione  con  altre  autorita'  di
vigilanza del mercato competenti in Italia  e  con  le  autorita'  di
vigilanza  degli  altri  Stati  membri  ai  sensi  dell'articolo  58,
paragrafo 7, lettere a) ed  h),  del  Regolamento.  L'Agenzia  esegue
l'attivita' di vigilanza di cui al comma 1  anche  in  collaborazione
con le Forze dell'ordine.
  3. L'Agenzia, nell'attivita' di vigilanza di cui al comma  1,  puo'
effettuare,  nei  confronti  degli  organismi  di  valutazione  della
conformita', dei titolari dei certificati europei di cybersicurezza e
degli emittenti le  dichiarazioni  di  conformita'  UE,  indagini  ed
audit, ottenendo informazioni anche tramite l'accesso ai locali degli
organismi  di  valutazione  della  conformita'  o  dei  titolari  dei
certificati europei di cybersicurezza, revocare certificati ai  sensi
del comma 4, irrogare sanzioni  pecuniarie  ed  accessorie  ai  sensi
dell'articolo  10.  L'attivita'  di   vigilanza   dell'Agenzia   puo'
prevedere prelievi di prodotti.
  4. Nel caso in cui l'Agenzia, in esito alle attivita' di  vigilanza
di cui  al  comma  1,  accerti  l'emissione  di  un  certificato  non
conforme, rilasciato ai  sensi  dell'articolo  56,  paragrafi  4,  5,
lettera b), o 6, lettere a) e b), del Regolamento, il certificato  e'
sottoposto a revoca:
    a) per il livello di affidabilita' elevato;
    b) per il livello di affidabilita' di base o sostanziale nel caso
in cui il certificato non conforme sia relativo ad un  prodotto  TIC,
servizio  TIC  o  processo  TIC  che  ha  comportato  un  concreto  e
dimostrato  pregiudizio  ad   un   servizio   essenziale   ai   sensi
dell'allegato II del decreto legislativo 18 maggio 2018, n. 65,  o  a
un servizio di comunicazione elettronica ai  sensi  dell'articolo  2,
comma 1, lettera fff), del decreto legislativo  1°  agosto  2003,  n.
259, o alla salute o all'incolumita' personale;
    c) se previsto espressamente dallo specifico sistema  europeo  di
certificazione.
  5. Nella fattispecie di cui alla lettera a) del comma  4  l'Agenzia
provvede direttamente alla revoca del certificato. Nella  fattispecie
di cui alla lettera b) del comma  4  l'Agenzia  chiede  all'organismo
emittente il certificato di provvedere alla  revoca  del  certificato
entro e non  oltre  cinque  giorni  e,  in  caso  di  inottemperanza,
provvede  direttamente  entro  i  successivi  cinque  giorni.   Nella
fattispecie di cui alla lettera c) del comma 4 si  provvede  in  base
alle regole stabilite dal sistema specifico di certificazione.
  6. Accertata l'emissione di un certificato non conforme  rilasciato
ai sensi dell'articolo 56, paragrafi 4, 5, lettera b), o  6,  lettere
a) e b), del Regolamento, in esito alle attivita' di vigilanza di cui
al comma 1, fatti salvi i casi di revoca di cui alle lettere a), b) o
c) del comma 4, l'Agenzia  chiede  all'organismo  che  ha  emesso  il
certificato  di  ripetere  in  tutto  o  in  parte   l'attivita'   di
valutazione o integrare  l'attivita'  di  valutazione  con  ulteriori
verifiche e ricondurre il certificato a conformita' entro  centoventi
giorni o revocare il certificato. In caso di mancata  riconduzione  a
conformita' o mancata revoca del certificato non  conforme  da  parte
dell'organismo, il certificato decade. La riconduzione a  conformita'
o la revoca del certificato sono divulgate ai sensi dell'articolo 54,
paragrafo 1, lettera s), del Regolamento.
  7. L'Agenzia, per le prove tecniche nell'ambito delle attivita'  di
cui al comma 1, puo' effettuare valutazioni di sicurezza  informatica
anche attraverso esperti esterni  o  laboratori  di  prova  abilitati
dall'Agenzia,  ai  sensi  dell'articolo  8,  comma  4,   e   iscritti
nell'elenco dei laboratori di prova e degli esperti per le  attivita'
di vigilanza nazionale.
  8.  E'  fatto  obbligo  agli   organismi   di   valutazione   della
conformita', ai titolari dei certificati europei di cybersicurezza ed
agli emittenti delle dichiarazioni di conformita' durante l'attivita'
di vigilanza  a  cui  sono  sottoposti  di  cooperare  con  l'Agenzia
nell'attivita' di verifica sui certificati e sulle  dichiarazioni  UE
da essi emessi. Gli  stessi  mettono  a  disposizione,  su  richiesta
dell'Agenzia,  tutti  i  documenti  di  valutazione   necessari   per
dimostrare la conformita' dei certificati e le dichiarazioni  oggetto
di  verifica  da  parte  dell'Agenzia  assieme  agli   strumenti   di
valutazione eventualmente forniti dal  fabbricante  o  dal  fornitore
nell'attivita'  di  valutazione  come  indicato   nei   rapporti   di
valutazione. L'onere della prova della conformita' di  certificati  e
dichiarazioni  e'  in  capo  agli  organismi  di  valutazione   della
conformita', ai titolari  dei  certificati  o  agli  emittenti  delle
dichiarazioni di conformita'.
  9. Ai sensi dell'articolo 30, commi 4 e 5, della legge 24  dicembre
2012, n. 234, gli oneri derivanti dall'applicazione dei commi 3, 8  e
9 per i controlli effettuati dall'Agenzia e relativi  in  particolare
all'impiego del personale in forza all'Agenzia, della  strumentazione
utilizzata nelle prove e dei materiali di consumo e per le missioni e
spese generali, sono a carico  dell'organismo  di  valutazione  della
conformita', del titolare  del  certificato  o  dell'emittente  della
dichiarazione  UE  di   conformita'   sottoposto   all'attivita'   di
vigilanza. Nel caso in cui l'attivita' di vigilanza includa ulteriori
spese, tra cui l'utilizzo di laboratori di prova esterni ed eventuali
spese di trasporto per prodotti prelevati o sequestrati da sottoporre
a verifica, le ulteriori spese sono ugualmente a carico del  soggetto
sottoposto all'attivita' di vigilanza. Le somme di  cui  al  presente
comma sono determinate e sono da corrispondere ai sensi dell'articolo
13.
                               Art. 6
 
             Rilascio dei certificati di cybersicurezza
 
  1. L'Agenzia rilascia i certificati di cybersicurezza  con  livello
di affidabilita' elevato tramite l'Organismo di Certificazione  della
Sicurezza Informatica (OCSI), di cui all'articolo  60,  paragrafo  2,
del Regolamento, che si puo' avvalere di esperti o di  laboratori  di
prova, ai sensi dell'articolo 8, comma 4, abilitati  dall'Agenzia  ad
operare per proprio conto e iscritti nell'elenco  dei  laboratori  di
prova e degli esperti per le attivita' di vigilanza nazionale,  ferme
restando, per  specifici  sistemi  di  certificazione,  le  possibili
modalita' di emissione dei certificati  alternative  ai  sensi  degli
articoli 56, paragrafo 6, lettere a) e b), del Regolamento.
  2. Ove uno specifico sistema di certificazione preveda il  rilascio
dei certificati con livello di affidabilita' sostanziale  o  di  base
unicamente da parte di un organismo pubblico, ai sensi  dell'articolo
56, paragrafo 5, del Regolamento, l'Agenzia rilascia tali certificati
attraverso l'organismo di cui al comma 1. Il rilascio  puo'  avvenire
ad  opera  di  altro  organismo  di  valutazione  della   conformita'
pubblico, accreditato dall'Organismo di Accreditamento, monitorato  e
vigilato  dall'Agenzia,  ai  sensi  dell'articolo  58,  paragrafo  7,
lettera d), del Regolamento, e designato dall'Agenzia  ai  sensi  del
provvedimento  di  cui  all'articolo  4,  comma  2,   salvo   diverse
disposizioni dello specifico sistema europeo di certificazione.
  3. La  certificazione  della  cybersicurezza e'  volontaria,  salvo
diversamente  specificato  dal  diritto  dell'Unione  o  dal  diritto
nazionale, ai sensi dell'articolo 56, paragrafo 2,  del  Regolamento.
In mancanza di un diritto  dell'Unione  armonizzato,  l'Agenzia  puo'
adottare,  previa  consultazione  con  i  portatori   di   interesse,
regolamentazioni  tecniche  nazionali  in  cui   sia   prevista   una
certificazione obbligatoria nel  quadro  di  un  sistema  europeo  di
certificazione della cybersicurezza ai sensi del decreto  legislativo
del 15 dicembre 2017, n. 223.
  4. Ai sensi dell'articolo 30, commi 4 e 5, della legge 24  dicembre
2012, n. 234, gli oneri derivanti dall'applicazione dei commi 1  e  2
del presente articolo  per  il  rilascio  dei  certificati  da  parte
dell'Agenzia   sono   a   carico   del   soggetto   richiedente    la
certificazione. Le somme di cui al presente comma sono determinate  e
sono da corrispondere ai sensi dell'articolo 13.
                               Art. 7
 
                   Dichiarazioni UE di conformita'
 
  1.  In  un  sistema  di  certificazione  in  cui   e'   autorizzata
l'autovalutazione di conformita' ai sensi dell'articolo 54, paragrafo
1, lettera e), del Regolamento, i fornitori o fabbricanti di prodotti
TIC, servizi TIC o processi TIC possono rilasciare sotto  la  propria
responsabilita' dichiarazioni UE di conformita' di  livello  di  base
per dimostrare il rispetto di requisiti tecnici previsti nel sistema.
  2. Il fabbricante o  fornitore  di  prodotti  TIC,  servizi  TIC  o
processi TIC rende disponibile all'Agenzia, per il periodo  stabilito
nel  corrispondente   sistema   europeo   di   certificazione   della
cybersicurezza ai sensi dell'articolo 54, paragrafo  1,  lettera  q),
del   Regolamento,   la   dichiarazione   UE   di   conformita',   la
documentazione tecnica  e  tutte  le  altre  informazioni  pertinenti
relative alla conformita' dei prodotti TIC o servizi TIC al  sistema.
Una  copia  della  dichiarazione  UE  di   conformita' e'   trasmessa
all'Agenzia e all'ENISA.
  3. Ove l'Agenzia accerti la non conformita' di una dichiarazione UE
di  conformita'  in  esito  alle  attivita'  di  vigilanza   di   cui
all'articolo 5, comma 1, e' fatto obbligo al fabbricante o  fornitore
emittente  di  revisionare  o  revocare  la   dichiarazione   UE   di
conformita' entro trenta giorni dandone comunicazione  all'Agenzia  e
all'ENISA, salvo diversa  disposizione  dello  specifico  sistema  di
certificazione.
  4.  Il  rilascio  di  una  dichiarazione   UE   di   conformita' e'
volontario, salvo diversamente specificato nel diritto dell'Unione  o
dal diritto nazionale, ai sensi dell'articolo  53,  paragrafo  4  del
Regolamento. In  mancanza  di  un  diritto  dell'Unione  armonizzato,
l'Agenzia puo' stabilire l'obbligatorieta' della dichiarazione UE  di
conformita' nelle fattispecie di cui all'articolo 6, comma 3.
                               Art. 8
 
Accreditamento ed autorizzazione degli organismi di valutazione della
  conformita' ed abilitazione dei  laboratori  di  prova  ed  esperti
  dell'Agenzia
 
  1. L'Organismo di accreditamento, nello svolgimento dei compiti  di
cui ai paragrafi 1, 2 e 4 dell'articolo 60  del  Regolamento,  ed  in
conformita'  con  le  disposizioni   dello   specifico   sistema   di
certificazione,  comunica  all'Agenzia  ed   all'ufficio   unico   di
collegamento designato per l'Italia ai sensi dell'articolo 10,  comma
3, del regolamento  (UE)  2019/1020  del  Parlamento  europeo  e  del
Consiglio, del 20 giugno 2019, sulla vigilanza del  mercato  e  sulla
conformita' dei prodotti e che modifica la direttiva 2004/42/CE  e  i
regolamenti (CE) n. 765/2008 e (UE) n. 305/2011,  ogni  aggiornamento
in merito agli organismi di valutazione della conformita' accreditati
quanto a  nuovi  rilasci,  revoche,  sospensioni  e  limitazioni  dei
certificati di accreditamento per la  successiva  notifica  da  parte
dell'Agenzia alla Commissione europea ai sensi dell'articolo  61  del
Regolamento.
  2. L'Agenzia partecipa con propri rappresentanti alle deliberazioni
dell'Organismo di accreditamento in ordine alle attivita' di  cui  al
comma 1.
  3.  Qualora  un  sistema  europeo  di   certificazione   stabilisca
requisiti  specifici  o  supplementari  a  norma  dell'articolo   54,
paragrafo 1, lettera f),  del  Regolamento,  solo  gli  organismi  di
valutazione della conformita' che  soddisfano  detti  requisiti  sono
autorizzati dall'Agenzia  a  svolgere  i  compiti  previsti  da  tale
sistema.
  4. In relazione alle attivita' di vigilanza nazionale e di rilascio
dei certificati, l'Agenzia, con  provvedimento  adottato  secondo  la
procedura di cui all'articolo 5, comma 3,  alinea,  del  decreto  del
Presidente del Consiglio  dei  ministri  9  dicembre  2021,  n.  223,
costituisce, aggiorna e rende pubblici due elenchi di  esperti  e  di
laboratori di prova da essa abilitati ad operare  rispettivamente  ai
sensi dell'articolo 5, comma 7, ed ai sensi dell'articolo 6, comma 1,
a supporto delle attivita' di vigilanza e rilascio dei certificati in
capo all'Agenzia. Gli  esperti  e  i  laboratori  di  prova  inseriti
nell'elenco dei soggetti abilitati di cui all'articolo  5,  comma  7,
non possono effettuare attivita' di valutazione  per  l'emissione  di
certificati con livello di affidabilita' sostanziale  o  di  base  in
ambito nazionale ai sensi dell'articolo 56, paragrafo 4, o  paragrafo
5, lettera b), del Regolamento, ne' possono essere  accreditati  come
organismi di valutazione della conformita' per il  rilascio  di  tali
certificati. Con la medesima procedura di cui al primo periodo,  sono
individuate le modalita' per l'abilitazione  e  l'eventuale  rinnovo,
l'inserimento,  la  sospensione  e  la  cancellazione  di  esperti  e
laboratori di prova dai suddetti elenchi.
  5. Ai sensi dell'articolo 30, commi 4 e 5, della legge 24  dicembre
2012, n. 234, gli oneri derivanti dall'abilitazione di cui  al  comma
4, le spese per le eventuali attivita' di autorizzazione  di  cui  al
comma 3, e gli  eventuali  successivi  aggiornamenti  sono  a  carico
dell'esperto  o  dell'organismo  di  valutazione  della   conformita'
richiedente l'abilitazione o l'autorizzazione. Le  somme  di  cui  al
presente comma sono determinate e  sono  da  corrispondere  ai  sensi
dell'articolo 13.
                               Art. 9
 
Attivita'  di  ricerca,  formazione   e   sperimentazione   nazionale
  nell'ambito della certificazione della cybersicurezza
 
  1. Allo scopo di elevare il livello  nazionale  di  cybersicurezza,
l'Agenzia puo' realizzare progetti di ricerca, ivi inclusi quelli per
lo sviluppo di software, e di formazione, anche in collaborazione con
universita', centri di ricerca o laboratori specializzati  nel  campo
della valutazione della sicurezza informatica, anche nel contesto  di
attivita' di supporto alla  standardizzazione  a  livello  nazionale,
europeo ed internazionale.
  2. L'Agenzia monitora gli sviluppi nel campo  della  certificazione
della cybersicurezza, anche  consultando  i  portatori  di  interesse
nazionale del settore e scambiando informazioni, esperienze  e  buone
pratiche con la Commissione europea e le  altre  autorita'  nazionali
della cybersicurezza.
  3. Conformemente all'articolo 57 del Regolamento ed in  assenza  di
un sistema  europeo  di  certificazione,  l'Agenzia  puo'  introdurre
sistemi  di  certificazione  nazionali  della   cybersicurezza,   per
prodotti TIC, servizi TIC o processi TIC.
Capo III
Sanzioni, reclami e ricorsi giurisdizionali

                               Art. 10
 
                        Quadro sanzionatorio
 
  1. L'Agenzia, anche ai sensi dell'articolo 7, comma 1, lettera  e),
del  decreto-legge  14  giugno   2021,   n.   82,   convertito,   con
modificazioni, dalla  legge  4  agosto  2021,  n.  109,  in  caso  di
violazione degli obblighi del quadro europeo di certificazione  della
cybersicurezza, ai sensi degli articoli 58, paragrafo 8, lettera  f),
e 65  del  Regolamento  irroga  sanzioni  pecuniarie  ed  accessorie,
chiedendo la cessazione immediata della violazione.  Si  applica,  in
quanto compatibile, la disciplina della legge 24  novembre  1981,  n.
689.
  2. Salvo che il fatto costituisca reato, l'organismo di valutazione
della conformita' che emette un  certificato  di  cybersicurezza  non
conforme e' punito con la sanzione del  pagamento  di  una  somma  da
15.000 euro a 75.000 euro. In caso di omessa revoca di un certificato
da  parte  dell'organismo  su   richiesta   dell'Agenzia   ai   sensi
dell'articolo 5, comma 5, si applica la sanzione del pagamento di una
somma da 30.000 euro a 150.000 euro.
  3. Salvo che il fatto costituisca reato, il fabbricante o fornitore
che  emette  una  dichiarazione  UE  di  conformita'  volontaria  non
conforme e' punito con la sanzione del  pagamento  di  una  somma  da
15.000 euro a 75.000 euro. In caso di omessa revisione  o  revoca  di
dichiarazione UE di conformita' volontaria o  obbligatoria  ai  sensi
dell'articolo 7, comma 3, si applica la sanzione del pagamento di una
somma da 30.000 euro a 150.000 euro.
  4. Salvo che il fatto costituisca reato, in caso di obbligatorieta'
di una dichiarazione UE di conformita',  ai  sensi  dell'articolo  7,
comma  4,  o  di  un  certificato   di   cybersicurezza,   ai   sensi
dell'articolo 6, comma 3, il fabbricante  o  fornitore  che  mette  a
disposizione sul mercato un prodotto TIC  o  servizio  TIC  privo  di
dichiarazione UE di conformita' obbligatoria o con  dichiarazione  UE
di conformita' obbligatoria non conforme o in assenza del certificato
di  cybersicurezza  obbligatorio,  e'  punito  con  la  sanzione  del
pagamento di una somma da 30.000 euro a 150.000 euro.  Alla  medesima
sanzione e' assoggettato il fabbricante o fornitore che per la  messa
a disposizione sul mercato di un prodotto TIC o di un servizio TIC si
avvale di un processo TIC privo di dichiarazione  UE  di  conformita'
obbligatoria o con dichiarazione UE di conformita'  obbligatoria  non
conforme o in assenza di certificato di cybersicurezza obbligatorio.
  5. Nei casi  di  cui  al  comma  4  oppure  ove,  in  esito  ad  un
accertamento di  non  conformita'  ai  sensi  dei  commi  4,  5  o  6
dell'articolo 5, sia revocato o decada  un  certificato  obbligatorio
per la messa a disposizione sul mercato di un prodotto TIC  o  di  un
servizio TIC, l'Agenzia dispone il ritiro del prodotto o l'inibizione
del servizio dal mercato a carico esclusivo  del  fabbricante  o  del
fornitore indicando i tempi ed eventuali modalita'  per  il  richiamo
dei  prodotti  gia'  immessi  sul  mercato  o  per  l'inibizione  del
servizio;
  6. Salvo che il fatto costituisca reato,  il  fabbricante  che  non
ottempera a quanto prescritto al comma 5 per il richiamo di  prodotti
gia' immessi sul mercato e' assoggettato alla sanzione del  pagamento
di una somma da 60.000 euro a  300.000  euro.  Nel  caso  in  cui  il
fabbricante non  ottemperi  al  richiamo  di  prodotti  dal  mercato,
l'Agenzia,  trascorsi  sei  mesi   dalla   scadenza   fissata,   puo'
provvedere, al sequestro dei prodotti in  questione  dal  mercato,  a
spese del fabbricante.
  7. Salvo che il fatto  costituisca  reato,  il  fornitore  che  non
ottempera a  quanto  prescritto  al  comma  5  per  l'inibizione  del
servizio dal mercato e' assoggettato alla sanzione amministrativa  da
60.000 euro a 300.000 euro.
  8. Salvo  che  il  fatto  costituisca  reato,  Il  titolare  di  un
certificato europeo di cybersicurezza che  non  notifichi,  ai  sensi
dell'articolo   56,   paragrafo   8,   del   Regolamento,   eventuali
vulnerabilita' o irregolarita' rilevate in relazione  alla  sicurezza
dei prodotti TIC, servizi TIC o processi TIC  certificati  e'  punito
con la sanzione del pagamento di una somma da 60.000 euro  a  300.000
euro.  Alla  medesima  sanzione  e'   assoggettato   l'organismo   di
valutazione   della   conformita'   emittente   un   certificato   di
cybersicurezza o il suo titolare ovvero il  fornitore  o  fabbricante
emittente una dichiarazione UE di conformita', che dovesse rilevare o
venire a conoscenza della presenza  di  vulnerabilita'  nel  prodotto
TIC, servizio TIC o processo TIC certificato o  dichiarato  conforme,
che non siano state riscontrate durante il processo di valutazione, e
non ottemperi agli obblighi riguardanti il modo in  cui  segnalare  e
trattare le vulnerabilita'  previste  per  lo  specifico  sistema  di
certificazione ai sensi dell'articolo 54, paragrafo  1,  lettera  m),
del Regolamento.
  9. Salvo che il fatto costituisca reato, il fabbricante o fornitore
che  non  renda  disponibile,  per  il  periodo  stabilito  ai  sensi
dell'articolo 54,  paragrafo  1,  lettera  q),  del  Regolamento,  la
dichiarazione UE di conformita' o la documentazione tecnica  o  tutte
le altre informazioni pertinenti o  non  trasmetta  una  copia  della
dichiarazione UE di conformita'  all'Agenzia  o  ad  ENISA  ai  sensi
dell'articolo 53, paragrafo  3,  del  Regolamento  ovvero  non  renda
disponibili pubblicamente una o piu' delle informazioni  previste  ai
sensi dell'articolo 55 del Regolamento o non rispetti il formato o le
procedure  di  aggiornamento  delle  stesse  informazioni  ai   sensi
dell'articolo  54,  paragrafo  1,  lettera  v),  del  Regolamento   o
pubblichi informazioni non corrette sui certificati detenuti o  sulle
dichiarazioni UE di conformita' emesse, e' assoggettato alla sanzione
del pagamento di una somma  da  30.000  euro  a  150.000  euro.  Alla
medesima sanzione e' assoggettato il fornitore o fabbricante che  non
comunichi la revisione  o  la  revoca  di  una  dichiarazione  UE  di
conformita' ai sensi dell'articolo 7, comma 3, del presente decreto.
  10.  Salvo  che  il  fatto  costituisca   reato,   l'organismo   di
valutazione della conformita' che  non  ottempera  agli  obblighi  di
divulgazione dei certificati europei  di  cybersicurezza  rilasciati,
modificati o  revocati  come  previsto  nell'ambito  dello  specifico
sistema di certificazione, ai sensi dell'articolo  54,  paragrafo  1,
lettera s), del Regolamento, nonche'  secondo  le  modalita'  di  cui
all'articolo 5, comma 6, e' assoggettato alla sanzione del  pagamento
di una somma da 30.000 euro a 150.000 euro. Alla medesima sanzione e'
assoggettato l'organismo di valutazione della conformita' autorizzato
dall'Agenzia ai sensi dell'articolo 60, paragrafo 3, del Regolamento,
che non specifichi nella procedura per i reclami  definita  ai  sensi
dell'articolo 11, comma 2,  l'inoltro  degli  stessi  per  conoscenza
anche all'Agenzia.
  11. Salvo che il fatto costituisca reato, nel caso di  accertamento
di esercizio di organismo  di  valutazione  della  conformita'  senza
autorizzazione di cui all'articolo 60, paragrafo 3,  del  Regolamento
si applica la sanzione del pagamento di una somma da 120.000  euro  a
600.000 euro e al soggetto non possono  essere  rilasciate  ulteriori
autorizzazioni  nei  successivi  tre  anni  dall'accertamento   della
violazione. Se l'autorizzazione e' scaduta da  meno  di  un  anno  la
sanzione e' compresa tra 30.000 euro e 150.000 euro  ed  il  soggetto
puo' richiedere il rilascio di nuova autorizzazione.
  12. Salvo che i fatti costituiscano reato, il  richiedente  di  una
certificazione che nell'ambito dello  svolgimento  dell'attivita'  di
valutazione e di rilascio  dei  certificati,  scientemente,  fornisce
dati, informazioni  o  documentazione  falsi  o  ometta  informazioni
necessarie   per   espletare   la   certificazione,   in   violazione
dell'articolo 54,  paragrafo  1,  lettera  h),  e  dell'articolo  56,
paragrafo 7, del  Regolamento,  e'  assoggettato  alla  sanzione  del
pagamento di una somma da 90.000 euro a 450.000 euro.  Alla  medesima
sanzione e' assoggettato il soggetto che,  scientemente,  durante  le
verifiche di vigilanza, a cui e' sottoposto, ai  sensi  dell'articolo
5, comma 8, fornisce dati, informazioni o documentazione falsi.
  13. Salvo che il fatto costituisca reato, il fabbricante che  viola
le condizioni di utilizzo degli eventuali marchi o etichette previste
da un sistema europeo di certificazione, ai sensi  dell'articolo  54,
paragrafo 1,  lettera  i),  del  Regolamento,  e'  assoggettato  alla
sanzione del pagamento di una somma da 30.000 euro a 150.000 euro.
  14.  Salvo  che  il  fatto  costituisca   reato,   l'organismo   di
valutazione  della  conformita'  che  non  ottempera  agli  eventuali
obblighi  riguardanti  la   conservazione   dei   registri   di   cui
all'articolo  54,  paragrafo  1,  lettera  n),  del  Regolamento,  e'
assoggettato alla sanzione del pagamento di una somma da 45.000  euro
a 225.000 euro.
  15. L'Agenzia puo' impartire ordini o intimare diffide ai  soggetti
che operano in contrasto con quanto previsto dal  quadro  europeo  di
certificazione. Ai soggetti che non ottemperano nel termine  indicato
nell'ordine  o  nella  diffida  l'Agenzia  commina  la  sanzione  del
pagamento di una somma da 200.000 euro ad 1.000.000 di  euro.  Se  le
violazioni  riguardano  provvedimenti   adottati   dall'Agenzia   nei
confronti di soggetti con fatturato pari almeno a  200.000.000  euro,
si applica a ciascun soggetto interessato una sanzione amministrativa
pecuniaria non inferiore allo 0,3 per cento e non  superiore  all'1,5
per cento del fatturato, restando comunque fermo il limite massimo di
5.000.000 di euro. Come riferimento per il  fatturato  si  assume  il
valore realizzato dallo stesso soggetto nell'esercizio  precedente  a
quello in cui sia stato impartito l'ordine o sia  stata  intimata  la
diffida.
  16. Fermo restando il limite massimo di 5.000.000 di  euro  per  la
sanzione, i valori minimi e massimi  delle  sanzioni  pecuniarie  dal
comma 2 al comma 15, sono triplicati, se la violazione ha  riguardato
un certificato relativo ad un prodotto TIC, ad un servizio TIC  o  ad
un  processo  TIC   rilasciato   nell'ambito   di   un   sistema   di
certificazione destinato, ai sensi  dell'articolo  54,  paragrafo  1,
lettere a) o b), del Regolamento, all'utilizzo  con  le  finalita'  o
nell'ambito di un servizio essenziale ai sensi dell'allegato  II  del
decreto legislativo 18 maggio 2018,  n.  65,  o  di  un  servizio  di
comunicazione elettronica ai sensi dell'articolo 2, comma 1,  lettera
fff), del decreto legislativo 1° agosto 2003, n. 259.
  17.  I  criteri  di  graduazione  nell'irrogazione  delle  sanzioni
pecuniarie sono definiti con successivo  provvedimento  dell'Agenzia,
adottato secondo la procedura di cui all'articolo 5, comma 3, alinea,
del decreto del Presidente del  Consiglio  dei  ministri  9  dicembre
2021,  n.  223.  Nelle  more  dell'adozione  del   provvedimento   di
definizione dei criteri di graduazione si applicano i criteri di  cui
all'articolo 11 della legge 24 novembre 1981, n. 689.
  18. Fermo restando il limite massimo di 5.000.000 di  euro  per  la
sanzione, le sanzioni amministrative pecuniarie previste ai commi dal
2  al  14  sono  rivalutate  ogni  cinque  anni   con   provvedimento
dell'Agenzia, adottato secondo la procedura di  cui  all'articolo  5,
comma 3, alinea, del regolamento adottato con decreto del  Presidente
del Consiglio dei ministri 9 dicembre 2021, n. 223,  in  misura  pari
all'indice  ISTAT  dei  prezzi  al  consumo   previo   arrotondamento
all'unita' di euro secondo il seguente criterio: se la parte decimale
e' inferiore  a  50  centesimi  l'arrotondamento  va  effettuato  per
difetto, se e' uguale o superiore a 50 centesimi l'arrotondamento  va
effettuato  per  eccesso.   L'importo   della   sanzione   pecuniaria
rivalutato secondo i predetti criteri si applica  esclusivamente  per
le violazioni commesse successivamente alla data di entrata in vigore
del provvedimento che lo prevede.
  19.  L'autorizzazione  di  un  organismo   di   valutazione   della
conformita' ad operare nel sistema europeo di certificazione ai sensi
dell'articolo 60, paragrafo 3,  del  Regolamento,  ove  prevista,  e'
sospesa per 6 mesi o revocata nel caso di piu' di due violazioni  del
quadro europeo di certificazione rispettivamente in un quinquennio  o
in un biennio. In caso di revoca dell'autorizzazione, il trasgressore
non puo' ottenere nuova autorizzazione nei successivi cinque anni dal
provvedimento di revoca.
  20.  L'Agenzia  notifica  alla  Commissione   europea   il   quadro
sanzionatorio di cui al presente articolo entro sessanta giorni dalla
data di entrata in vigore del presente decreto e provvede poi a  dare
notifica delle eventuali modifiche entro sessanta  giorni  successivi
alle stesse.
                               Art. 11
 
              Reclami sui certificati di cybersicurezza
               e sulle dichiarazioni UE di conformita'
 
  1. Le persone fisiche e giuridiche hanno il diritto  di  presentare
un reclamo all'emittente di un certificato europeo di  cybersicurezza
o all'Agenzia se  il  reclamo  riguarda  un  certificato  europeo  di
cybersicurezza   rilasciato    dall'organismo    di    certificazione
dell'Agenzia o da suo organismo di valutazione della conformita'  che
agisce in conformita' all'articolo 56, paragrafo 6, del  Regolamento.
L'Agenzia, ai sensi dell'articolo 58, paragrafo 7,  lettera  f),  del
Regolamento, tratta inoltre i reclami degli stessi in relazione  alle
dichiarazioni UE di conformita' di cui all'articolo 7.
  2. Avverso  le  decisioni  degli  organismi  di  valutazione  della
conformita'  diversi  dall'organismo  di  certificazione   ai   sensi
dell'articolo 6, comma 1, puo' essere proposta procedura di reclamo a
tal fine indicata dagli stessi organismi. Nel caso di  autorizzazione
ai sensi dell'articolo 60, paragrafo 3, del Regolamento, la procedura
di reclamo indicata dall'organismo prevede l'inoltro del  reclamo  da
parte del reclamante oltreche'  all'organismo  anche  per  conoscenza
all'Agenzia.
  3. Avverso le decisioni dell'Agenzia riguardanti le  certificazioni
oppure  le  dichiarazioni  UE  di  conformita'  rilasciate  ai  sensi
dell'articolo 53 del Regolamento puo' essere  proposta  procedura  di
reclamo. Il reclamante formula istanza all'Agenzia, identificando  il
certificato di cybersicurezza o la dichiarazione  UE  di  conformita'
oggetto del reclamo, le ragioni del reclamo e  le  azioni  correttive
che ritiene necessarie.
  4. L'Agenzia, a seguito di un reclamo ai sensi del comma 3, informa
il reclamante dello stato del procedimento e della decisione adottata
e informa il reclamante del  diritto  a  un  ricorso  giurisdizionale
effettivo. L'Agenzia risponde ai reclami  entro  novanta  giorni  dal
ricevimento dell'istanza. In caso di mancata risposta ad  un  reclamo
inoltrato all'Agenzia entro i  termini  previsti,  lo  stesso  e'  da
intendersi rigettato.
                               Art. 12
 
                  Ricorso all'autorita' giudiziaria
 
  1. Fatti salvi eventuali ricorsi  amministrativi  o  altri  ricorsi
extragiudiziali, le persone fisiche  e  giuridiche  possono  proporre
impugnazione avverso:
    a)  le  decisioni  assunte  dall'Agenzia  o  dagli  organismi  di
valutazione della conformita', anche, se del caso,  in  relazione  al
rilascio improprio, al mancato rilascio o  al  riconoscimento  di  un
certificato  europeo  di  cybersicurezza  detenuto  da  tali  persone
fisiche e giuridiche;
    b) il mancato o parziale accoglimento di  un  reclamo  presentato
all'Agenzia o agli organismi di valutazione della conformita'.
  2. A norma del presente articolo, i  ricorsi  contro  le  decisioni
dell'Agenzia sono  presentati  dinanzi  al  tribunale  amministrativo
regionale  del  Lazio  e  quelli  contro  le  decisioni  degli  altri
organismi   di   valutazione   della   conformita'    al    tribunale
amministrativo del luogo ove e' ubicata la sede di tali organismi.
Capo IV
Disposizioni finanziarie

                               Art. 13
 
                 Destinazione dei proventi derivanti
                    dalle attivita' dell'Agenzia
 
  1. Le attivita' di vigilanza di cui all'articolo  5,  comma  1,  di
certificazione di cui all'articolo 6, comma 1, di  autorizzazione  di
cui all'articolo 8, comma 3, di abilitazione di cui  all'articolo  8,
comma 4, sono sottoposte a tariffa,  da  calcolarsi  sulla  base  dei
costi effettivi dei servizi resi. I relativi proventi sono versati ad
apposito capitolo dell'entrata del bilancio dello  Stato  per  essere
successivamente riassegnati, con decreto del Ministro dell'economia e
delle finanze sul pertinente capitolo dello stato di previsione della
spesa del Ministero dell'economia e delle finanze,  per  incrementare
la dotazione degli appositi capitoli dell'Agenzia.  Con  decreto  del
Presidente del Consiglio dei ministri, di concerto  con  il  Ministro
dell'economia e delle finanze, su  proposta  del  Direttore  generale
dell'Agenzia, sono determinate le tariffe e modalita' di riscossione.
  2. Le  spese  per  l'impiego  di  esperti  o  laboratori  abilitati
dall'Agenzia per le attivita' di vigilanza  di  cui  all'articolo  5,
comma 1, sono calcolate ai sensi del decreto di cui al comma 1.
  3.  Gli  introiti  derivanti  dalle  sanzioni  pecuniarie  di   cui
all'articolo 10 sono versati ad apposito  capitolo  dell'entrata  del
bilancio dello  Stato  per  essere  successivamente  riassegnati  con
decreto del Ministro dell'economia e  delle  finanze  sul  pertinente
capitolo  dello  stato  di  previsione  della  spesa  del   Ministero
dell'economia e delle finanze,  per  incrementare  la  dotazione  dei
capitoli  del  bilancio  dell'Agenzia  destinati  alle  attivita'  di
ricerca   e   formazione   concernenti   la   certificazione    della
cybersicurezza di prodotti TIC, servizi TIC e  processi  TIC  di  cui
all'articolo 9, comma 1.
                               Art. 14
 
                 Ulteriori disposizioni finanziarie
 
  1. Agli oneri derivanti dall'articolo 4, comma 3,  pari  a  657.500
euro per l'anno 2022, 592.500 euro per l'anno  2023  e  637.500  euro
annui a decorrere dall'anno 2024 si provvede mediante  corrispondente
riduzione del Fondo per il recepimento della normativa europea di cui
all'articolo 41-bis della legge 24 dicembre 2012, n. 234.
  2. Le spese sostenute dall'Agenzia per  l'adeguamento  dei  sistemi
informativi all'articolo 4, comma  3,  sono  coerenti  con  il  Piano
triennale per l'informatica nella pubblica amministrazione  ai  sensi
dei commi da 512 a 520, dell'articolo 1 della legge 28 dicembre 2015,
n. 208.
  3.   Dall'attuazione   del   presente   decreto,   ad    esclusione
dell'articolo 4, comma 3, non devono derivare nuovi o maggiori  oneri
a carico della finanza pubblica e l'Agenzia provvede con  le  risorse
umane, strumentali e finanziarie previste a legislazione vigente.
  4. Il Ministro dell'economia e  delle  finanze  e'  autorizzato  ad
apportare  le  occorrenti  variazioni  di  bilancio  negli  stati  di
previsione  interessati  in  attuazione  del  presente   articolo   e
dell'articolo 13.
Capo V
Disposizioni finali

                               Art. 15
 
                   Successiva attuazione nazionale
                dei sistemi europei di certificazione
 
  1. Ai nuovi sistemi europei di  certificazione  che  sono  adottati
dalla Commissione europea ai sensi dell'articolo 49, paragrafo 7, del
Regolamento e che non siano autonomamente applicabili nel  quadro  di
certificazione nazionale vigente, e' data  attuazione  modificando  o
integrando il provvedimento di cui all'articolo 4, comma 2,  in  ogni
aspetto operativo necessario  per  dare  piena  attuazione  al  nuovo
sistema europeo di certificazione.
  Il presente decreto, munito del sigillo dello Stato, sara' inserito
nella  Raccolta  ufficiale  degli  atti  normativi  della  Repubblica
italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo
osservare.
 
    Dato a Roma, addi' 3 agosto 2022
 
                             MATTARELLA
 
                                  Draghi,  Presidente  del  Consiglio
                                  dei ministri
 
                                  Giorgetti, Ministro dello  sviluppo
                                  economico
 
                                  Di  Maio,  Ministro  degli   affari
                                  esteri   e    della    cooperazione
                                  internazionale
 
                                  Franco,  Ministro  dell'economia  e
                                  delle finanze
 
                                  Cartabia, Ministro della giustizia
 
                                  Lamorgese, Ministro dell'interno
 
                                  Guerini, Ministro della difesa
 
                                  Colao, Ministro  per  l'innovazione
                                  tecnologica   e   la    transizione
                                  digitale
 
Visto, il Guardasigilli: Cartabia

HomeSentenzeArticoliLegislazioneLinksRicercaScrivici