REPUBBLICA ITALIANA

Consiglio di Stato

Sezione Consultiva per gli Atti Normativi

Adunanza di Sezione del 21 maggio 2020

OGGETTO:

Presidenza del Consiglio dei ministri - Dipartimento per gli affari giuridici e legislativi.

Schema di decreto del Presidente del Consiglio dei ministri (d.P.C.M.) in materia di perimetro di sicurezza nazionale cibernetica, adottato in attuazione dell'articolo 1, comma 2, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133.

LA SEZIONE

Vista la nota di trasmissione n. prot. 7829 del 30 aprile 2020, con la quale la Presidenza del Consiglio dei ministri - Dipartimento per gli affari giuridici e legislativi ha trasmesso lo schema di decreto del Presidente del Consiglio dei ministri in materia di perimetro di sicurezza nazionale cibernetica, adottato in attuazione dell'articolo 1, comma 2, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133;

Esaminati gli atti e uditi i relatori, Conss. Paolo Carpentieri e Giuseppe Chiné;

Premesso:

1. Il decreto-legge 21 settembre 2019, n. 105, recante Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, ha istituito, con l’art. 1, il perimetro di sicurezza nazionale cibernetica, al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati aventi una sede nel territorio nazionale, da cui dipende l'esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale.

2. Lo schema di decreto in esame attua in particolare le previsioni del comma 2, lettere a) e b), dell’art. 1 del decreto-legge n. 105 del 2019, in base alle quali entro quattro mesi dalla data di entrata in vigore della legge di conversione del predetto decreto-legge, con decreto del Presidente del Consiglio dei ministri, adottato su proposta del Comitato interministeriale per la sicurezza della Repubblica (CISR):

a) sono definiti modalità e criteri procedurali di individuazione di amministrazioni pubbliche, enti e operatori pubblici e privati di cui al comma 1 aventi una sede nel territorio nazionale, inclusi nel perimetro di sicurezza nazionale cibernetica e tenuti al rispetto delle misure e degli obblighi previsti dal presente articolo;

b) sono definiti, sulla base di un’analisi del rischio e di un criterio di gradualità che tenga conto delle specificità dei diversi settori di attività, i criteri con i quali i soggetti di cui al comma 2-bis [ossia i soggetti del comma 2, lettera a), elencati in un apposito atto amministrativo, adottato dal Presidente del Consiglio dei ministri, su proposta del CISR, entro trenta giorni dalla data di entrata in vigore del presente decreto del Presidente del Consiglio dei ministri] predispongono e aggiornano con cadenza almeno annuale un elenco delle reti, dei sistemi informativi e dei servizi informatici di cui al comma 1, di rispettiva pertinenza, comprensivo della relativa architettura e componentistica (con la precisazione che all'elaborazione di tali criteri provvede, adottando opportuni moduli organizzativi, l'organismo tecnico di supporto al CISR, integrato con un rappresentante della Presidenza del Consiglio dei ministri).

3. Riguardo a tale ultimo organismo tecnico di supporto al CISR, la relazione della Presidenza del Consiglio dei ministri chiarisce che si tratta di un rappresentante della struttura della Presidenza del Consiglio competente per la innovazione tecnologica e la digitalizzazione, designato in ragione degli specifici compiti attribuiti alla Presidenza del Consiglio dal decreto-legge, e che il richiamato riferimento legislativo è all'organismo (c.d. CISR tecnico) istituito presso il Dipartimento delle informazioni per la sicurezza (DIS) di cui all'articolo 4 della legge 3 agosto 2007, n. 124, con compiti di supporto al Comitato interministeriale ai sensi dell'articolo 4, comma 5, del regolamento adottato con decreto del Presidente del Consiglio dei ministri 26 ottobre 2012, n. 2, recante l'ordinamento e l'organizzazione del DIS, organismo ora previsto dall'articolo 4, comma 5, del regolamento adottato con d.P.C.M. 3 aprile 2020, n. 2, che definisce l'ordinamento e l'organizzazione del DIS, adottato ai sensi dell'articolo 43 della citata legge n. 124 del 2007, della cui emanazione è stata data comunicazione nella Gazzetta Ufficiale del 10 aprile scorso.

4. La Presidenza evidenzia altresì come la norma primaria sul perimetro di sicurezza nazionale cibernetica abbia previsto un percorso attuativo frazionato con scadenze temporali diversificate, attraverso quattro decreti del Presidente del Consiglio dei ministri - di cui il presente costituisce quello a scadenza più ravvicinata - e un regolamento, da emanarsi ai sensi dell'articolo 17, comma 1, della legge 23 agosto 1988, n. 400.

5. Sul piano procedurale, lo schema di decreto dovrà poi essere sottoposto, secondo la previsione di cui al comma 4-bis dell'articolo 1 del decreto-legge n. 105 del 2019, aggiunta nei lavori parlamentari di conversione del decreto-legge, al parere delle Commissioni parlamentari competenti della Camera e del Senato, nonché – giusta una modifica normativa apportata in sede di conversione del decreto-legge 30 dicembre 2019, n. 162 (c.d. decreto mille proroghe 2020) - trasmesso al Comitato parlamentare per la sicurezza della Repubblica.

6. Lo schema di decreto si compone complessivamente di 12 articoli ed è suddiviso in quattro Capi. Il Capo I è dedicato alle “Definizioni e criteri generali”, il Capo II alla definizione delle “Modalità e criteri procedurali di individuazione di amministrazioni pubbliche, enti e operatori pubblici e privati, inclusi nel perimetro di sicurezza nazionale cibernetica”, il Capo III alla definizione dei “Criteri per la predisposizione e l'aggiornamento degli elenchi delle reti, dei sistemi informativi e di servizi informatici” e il Capo IV all'individuazione ed alla definizione delle “Disposizioni sulla tutela delle informazioni, transitorie e finali”.

Considerato:

1. Lo schema di decreto del Presidente del Consiglio dei Ministri che perviene all’odierno esame della Sezione, come si è già segnalato nella Premessa e come è rappresentato nella relazione di accompagnamento, costituisce il primo decreto attuativo dell’art. 1 del decreto-legge n. 105 del 2019. La norma di legge prevede invero un percorso attuativo molto complesso e articolato, che si snoda attraverso ben quattro decreti del Presidente del Consiglio dei ministri e un regolamento governativo di esecuzione (ai sensi dell’art. 17, comma 1, della legge n. 400 del 1988). Tale percorso - la cui previsione normativa si spiega verosimilmente con l’esigenza di una progressiva e graduale costruzione del sistema del perimetro di sicurezza nazionale cibernetica, la cui intrinseca razionalità non è certo materia di esame nel presente parere - potrebbe obiettivamente generare un quadro regolatorio dispersivo e frammentato. Sicché appare opportuno, a giudizio della Sezione, segnalare sin d’ora all’Amministrazione l’esigenza di procedere alla redazione (alla fine del complesso percorso attuativo, o anche procedendo gradualmente, man mano che i singoli atti attuativi siano adottati o emanati) di un documento unitario, a fini conoscitivi e con efficacia meramente dichiarativa, che possa fornire un quadro attuativo chiaro ed omogeneo utile per tutti gli operatori, pubblici e privati, coinvolti nell’esecuzione delle misure attuative del perimetro di sicurezza nazionale cibernetica.

2. La Sezione conviene con quanto prospettato nella relazione illustrativa della Presidenza riguardo alla sostanza normativa delle disposizioni contenute nel decreto in esame, al quale può dunque senz’altro riconoscersi natura regolamentare. Il testo in trattazione deve, infatti, tra l’altro, definire i criteri e le modalità procedurali in base ai quali dovranno poi essere individuati [e inseriti nell’elenco da adottarsi con il d.P.C.M., avente, invece, natura provvedimentale, previsto dalla lettera b) del comma 2-bis)] i soggetti, pubblici e privati, che devono ritenersi inclusi, in ragione delle funzioni svolte e/o dei servizi erogati mediante reti, sistemi informativi e servizi informatici, nel perimetro di sicurezza nazionale cibernetica, con tutte le conseguenze applicative (impositive di obblighi di fare) contemplate dal decreto-legge n. 105 del 2019; il decreto qui in esame deve altresì, sul lato oggettivo, definire le tipologie delle reti, dei sistemi informativi e dei servizi informatici e delle relative architetture e componentistica, che sono strumentali alle funzioni e ai servizi essenziali per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale. Tra le linee semantiche disegnate dai termini generici adoperati dal legislatore, dunque, il decreto in esame deve assolvere il non facile compito di integrare i relativi concetti giuridici indeterminati attraverso la definizione che precisi da un lato quali sono le suddette funzioni essenziali dello Stato e i suddetti servizi essenziali per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato, dall’altro lato quali sono (come profilo tipologico) i soggetti, pubblici e privati, che tali funzioni e servizi svolgono ed espletano. Sotto un terzo profilo deve fornire la definizione delle tipologie delle reti, dei sistemi informativi e dei servizi informatici (con annesse architetture e componentistica) che li caratterizzano, per stabilire, infine, quando possa ravvisarsi un rischio di pregiudizio per la sicurezza nazionale dal malfunzionamento, dall’interruzione, anche parziali, ovvero dall’utilizzo improprio, delle suddette reti, sistemi informativi e sistemi informatici.

Si tratta, dunque, di materia che colloca sicuramente a livello normativo-regolamentare il contenuto delle disposizioni contenute nello schema di d.P.C.M. di cui trattasi.

3. L’articolo 1 è dedicato alle definizioni.

3.1. Riguardo alle definizioni, molte delle quali di specifica natura tecnica, la Sezione raccomanda in primo luogo all’Amministrazione di compiere una verifica accurata della rispondenza (e non ridondanza o contraddittorietà) delle varie definizioni e nozioni tecniche adoperate in questo decreto rispetto alle definizioni tecniche contenute in norme di rango primario già vigenti nell’ordinamento giuridico [con particolare riguardo, tra l’altro, alle definizioni tecniche contenute nell’art. 3 del decreto legislativo 18 maggio 2018, n. 65, recante Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione].

3.2. Nell’art. 1, comma 1, lettera d), si introduce la nozione di “amministrazioni CISR, la Presidenza del Consiglio dei ministri, il Ministero degli affari esteri e della cooperazione internazionale, il Ministero dell'interno, il Ministero della difesa, il Ministero della giustizia, il Ministero dell'economia e delle finanze, il Ministero dello sviluppo economico”. Si desume dall’art. 5 della legge n. 124 del 2007 che si tratta delle amministrazioni che siedono nel Comitato interministeriale per la sicurezza della Repubblica (CISR) istituito presso la Presidenza del Consiglio dei ministri con funzioni di consulenza, proposta e deliberazione sugli indirizzi e sulle finalità generali della politica dell'informazione per la sicurezza, presieduto dal Presidente del Consiglio dei ministri e composto dall'Autorità delegata, ove istituita, dal Ministro degli affari esteri, dal Ministro dell'interno, dal Ministro della difesa, dal Ministro della giustizia, dal Ministro dell'economia e delle finanze e dal Ministro dello sviluppo economico.

Poiché, dunque, la definizione delle “amministrazioni CISR” altro non è che l’indicazione delle amministrazioni che partecipano al Comitato interministeriale per la sicurezza della Repubblica (CISR), è preferibile aggiungere nel testo della definizione, per maggiore chiarezza, un rinvio dinamico alla fonte normativa primaria appropriata, considerata anche la possibilità che in astratto tale norma primaria potrebbe mutare nel tempo.

3.3. Nell’art. 1, comma 1, lettera e), si introduce la nozione di “Amministrazioni dello Stato” mediante il richiamo alla legge 7 agosto 2015, n. 124 recante Deleghe al Governo in materia di riorganizzazione delle amministrazioni pubbliche, in particolare all’art. 8 (Riorganizzazione dell'amministrazione dello Stato), a mente del quale “Il Governo è delegato ad adottare, entro diciotto mesi dalla data di entrata in vigore della presente legge, uno o più decreti legislativi per modificare la disciplina della Presidenza del Consiglio dei ministri, dei Ministeri, delle agenzie governative nazionali e degli enti pubblici non economici nazionali”, in luogo dei più usuali richiami all’art. 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165 (Norme generali sull'ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche), o alla legge 31 dicembre 2009, n. 196 (Legge di contabilità e finanza pubblica), il cui art. 1, comma 2, reca anch’esso una definizione di “Amministrazioni pubbliche”.

Sembra di comprendere, anche se sul punto la relazione illustrativa non fornisce chiarimenti, che la scelta della nozione ricavabile dalla legge n. 124 del 2015 sia stata valutata preferibile perché più selettiva rispetto a quella, più ampia, desumibile dal d.lgs. n. 165 del 2001 e dalla legge n. 196 del 2009. Sul punto si ritiene necessario che nella relazione illustrativa siano aggiunti opportuni chiarimenti.

3.4. Nell’art. 1, comma 1, lettera f), si introduce la nozione di “pregiudizio per la sicurezza nazionale”, nei seguenti termini: “danno o pericolo di danno all'indipendenza, all'integrità o alla sicurezza della Repubblica e delle istituzioni democratiche poste dalla Costituzione a suo fondamento, ovvero agli interessi politici, militari, economici, scientifici e industriali dell'Italia, conseguente all'interruzione o alla compromissione di una funzione essenziale dello Stato o di un servizio essenziale di cui all'articolo 2”. La relazione non chiarisce da dove sia derivata la nozione di sicurezza nazionale implicata dalla definizione proposta (definizione che non risulta contenuta nella norma di base, di cui al decreto-legge n. 105 del 2019). È verosimile che, al fine di costruire questa definizione, si sia fatto riferimento alle vigenti disposizioni normative di settore [legge 3 agosto 2007, n. 124 (Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto), art. 1; decreto legislativo 11 aprile 2011, n. 61, art. 2 (Definizioni); decreto-legge 15 marzo 2012, n. 21 (Norme in materia di poteri speciali sugli assetti societari nei settori della difesa e della sicurezza nazionale, nonché per le attività di rilevanza strategica nei settori dell'energia, dei trasporti e delle comunicazioni), convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56; decreto legislativo 18 maggio 2018, n. 65 (Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione)].

Con particolare riferimento alla nozione di “pregiudizio per la sicurezza nazionale”, la cui importanza e centralità nel sistema appaiono evidenti, occorre che l’Amministrazione curi con particolare attenzione la verifica di coerenza, già raccomandata nel par. 3.1, rispetto alle nozioni di tale concetto giuridico che fossero già eventualmente insite in norme di rango primario vigenti.

3.5. La lettera h) dà la definizione di incidente, che è però diversa da quella fornita nella lettera l) del comma 1 dell’art. 3 del d.lgs. n. 65 del 2018 (“incidente, ogni evento con un reale effetto pregiudizievole per la sicurezza della rete e dei sistemi informativi”).

Occorre che l’Amministrazione valuti attentamente se questa differenza sia fondata su solide ragioni oggettive che la giustifichino e se non possa in qualche modo introdurre dubbi applicativi rilevanti.

3.6. Nella lettera l) è data la nozione di “servizio informatico”, come “un servizio consistente interamente o prevalentemente nel trattamento di informazioni, per mezzo della rete e dei sistemi informativi, ivi incluso quello di cloud computing”, definizione che non trova un parallelo nel d.lgs. n. 65 del 2018, che però fornisce, nella lettera aa) del comma 1 dell’art. 3, la definizione di “servizio di cloud computing” (“un servizio digitale che consente l'accesso a un insieme scalabile ed elastico di risorse informatiche condivisibili”).

Valuti l’Amministrazione se non sia utile e opportuno richiamare espressamente tale definizione contenuta nel d.lgs. n. 65 del 2018.

3.7. Nelle lettere m) ed n) sono introdotte le nozioni, rispettivamente, di “bene ICT” (“un insieme di reti, sistemi informativi e servizi informatici, o parti di essi, di qualunque natura considerato unitariamente ai fini dello svolgimento di funzioni essenziali dello Stato o per l'erogazione di servizi essenziali”) e di “parte minimale di un bene ICT” (“una parte di un bene ICT, tale che la compromissione di essa comporta la compromissione del bene ICT ai fini dello svolgimento di una funzione essenziale dello Stato o dell'erogazione di un servizio essenziale”). Atteso il contenuto squisitamente tecnico di tali definizioni, non si hanno osservazioni di merito da svolgere in proposito, salvo rinnovare la raccomandazione di curare la piena corrispondenza (o quanto meno la coerenza) di tali definizioni tecniche con quelle già contenute nell’art. 3, comma 1, del decreto legislativo n. 65 del 2018. Occorre, inoltre, una volta che in ossequio a una diffusa prassi si è deciso di optare per l’acronimo “ICT”, riportarne per esteso, tra parentesi, la corrispondente locuzione inglese (Information and Communication Technologies), o, preferibilmente, la traduzione italiana (Tecnologie dell'informazione e della comunicazione).

4. L’articolo 2 è rubricato Soggetti che esercitano funzioni essenziali e servizi essenziali.

4.1. Il comma 1 riguarda i soggetti che esercitano una funzione essenziale dello Stato, ma fornisce in realtà (in primo luogo) una nozione “oggettiva” delle funzioni essenziali e dei servizi essenziali in base alla quale risalire poi alla successiva individuazione dei soggetti, pubblici e privati, che tali funzioni e servizi svolgono ed espletano.

Si tratta di definizioni molto complesse e impegnative e la relazione non fornisce elementi utili per valutare come esse siano state costruite. Le “funzioni essenziali dello Stato” (sia pure ai soli, specifici fini della definizione dell’ambito applicativo del perimetro di sicurezza nazionale cibernetica) sono identificate, in linea con una consolidata tradizione, in quelle funzioni così dette di “conservazione” proprie dello Stato, che vanno dall’azione di Governo a quella degli Organi costituzionali, dalla sicurezza interna ed esterna alla difesa dello Stato, dalle relazioni internazionali alla sicurezza e all'ordine pubblico, dall'amministrazione della giustizia alla funzionalità dei sistemi economico e finanziario e dei trasporti.

Manca, tuttavia, un richiamo ad alcune pur delicatissime funzioni di tutela ambientale (ad esempio, la radioprotezione e la sicurezza nucleare, la prevenzione dei rischi di incidenti rilevanti in industrie pericolose) o di protezione civile per la prevenzione e la protezione della popolazione dal rischio di calamità naturali (terremoti, pandemie, etc.). Né sembra appropriato che tali campi di attività possano ritenersi inclusi in qualche modo nella nozione, di cui alla lettera b), di servizi essenziali (che comprende anche un riferimento alle “attività necessarie per l'esercizio e il godimento dei diritti fondamentali”). Più in generale, manca, anche nella relazione illustrativa, una disamina attenta e analitica delle materie di cui al secondo comma dell’art. 117 della Costituzione, al fine di esplicitare le ragioni per le quali talune di tali materia non sono state ritenute di interesse e rilevanti ai fini della disciplina in trattazione. Sembra, in definitiva, che, anche in questo caso, la scelta sia stata guidata dal criterio meramente soggettivo delle competenze delle “amministrazioni CISR” [di cui all’art. 1, comma 1, lettera d), dello schema di decreto], senza un’adeguata riflessione sugli oggetti trattati.

Si tratta sicuramente di scelte ampiamente politiche, ma nondimeno appare necessario garantire sempre per quanto possibile il quadro di razionalità di riferimento complessivo all’interno del quale tali scelte si vanno a collocare.

Si rende pertanto necessario, ad avviso della Sezione, che l’Amministrazione svolga ed espliciti in maniera più ampia e diffusa, nella relazione illustrativa, il criterio logico-giuridico che ha presieduto all’elaborazione dell’elenco delle funzioni e dei servizi essenziali come definiti nella disposizione che si esamina.

4.2. La lettera a) del comma 1 dell’art. 2, nel fornire la definizione dei “Soggetti che esercitano funzioni essenziali e servizi essenziali”, prevede che “un soggetto esercita una funzione essenziale dello Stato . . . laddove l'ordinamento gli attribuisca compiti rivolti ad assicurare la continuità dell'azione di Governo e degli Organi costituzionali . . .”.

Il riferimento agli Organi costituzionali, che peraltro non è contenuto nell’art. 1 del decreto-legge n. 105 del 2019, richiede, ad avviso della Sezione, un chiarimento e una precisazione, atteso che (certamente) non è consentito al decreto in esame di imporre adempimenti in capo agli Organi costituzionali, che godono, in quanto tali, di una propria speciale autonomia e indipendenza organizzativa e funzionale. Deve in primo luogo chiarirsi che, nella nozione qui fornita (e dunque, successivamente, nel relativo elenco) dei soggetti sottoposti al particolare regime di coordinamento e controllo introdotto dal perimetro di sicurezza nazionale cibernetica (con annessi obblighi e adempimenti), non possono includersi, sic et simpliciter, gli “Organi costituzionali”, pena il rischio di una lesione della loro sfera di autonomia e indipendenza costituzionalmente garantita. Conseguentemente la disposizione sopra trascritta deve essere letta, correttamente, ponendo l’accento sul riferimento ai soggetti che svolgono “compiti rivolti ad assicurare la continuità dell'azione . . . degli Organi costituzionali”, e non sul riferimento agli Organi costituzionali in quanto tali. Occorre tuttavia precisare che, indubbiamente, anche gli Organi costituzionali (anzi, essi in primo luogo e per certi aspetti più degli altri) svolgono (per definizione) una “funzione essenziale dello Stato” (inteso qui come ordinamento e non come mero apparato, ovviamente), così come è altrettanto vero che un perimetro di sicurezza nazionale cibernetica non sembra poter prescindere dal tema della sicurezza cibernetica che presidia le funzioni essenziali di tali organi, se non altro a fini di coordinamento e di (auspicabile) razionalità ed efficienza ed efficacia dell’intero sistema.

Alla luce di queste considerazioni la Sezione ritiene necessario che nel testo del decreto in esame sia inserita un’integrazione volta a chiarire che le previsioni in esso contenute non devono e non possono in alcun modo ledere l’autonomia propria degli Organi costituzionali e che eventuali esigenze di coordinamento, di cooperazione e di sinergia, nel quadro del perimetro di sicurezza nazionale cibernetica, potranno opportunamente essere definite e sviluppate secondo le modalità da definirsi mediante accordi e intese con gli Organi costituzionali medesimi.

5. L’art. 4 stabilisce le modalità e i criteri di individuazione dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica di cui all’art. 1, comma 1, del decreto-legge n. 105 del 2019.

In particolare, la norma prevede, tra l’altro, che le amministrazioni di cui all’art. 3, comma 2, in relazione ai settori di attività di competenza di cui al medesimo articolo, identificano le funzioni essenziali e i servizi essenziali che dipendono da reti, sistemi informativi o servizi informatici, la cui interruzione o compromissione possa arrecare un pregiudizio per la sicurezza nazionale; le medesime amministrazioni individuano le funzioni essenziali e i servizi essenziali per i quali, sulla base di specifici criteri dettati dalla disposizione, in caso di interruzione o compromissione, il pregiudizio per la sicurezza nazionale è ritenuto massimo e le possibilità di mitigazione minime, e li graduano sulla base di una scala decrescente; individuano, infine, i soggetti che svolgono funzioni o servizi essenziali nei termini suesposti.

Quanto a quest’ultimo profilo, il comma 1, lettera d), secondo periodo, introduce una disposizione transitoria del seguente tenore: “In fase di prima applicazione sono individuati i soggetti titolari delle funzioni essenziali o dei servizi essenziali di cui alla lettera c), un’interruzione delle cui attività comporterebbe il mancato svolgimento della funzione o del servizio”.

La norma suscita perplessità, sia per la genericità dell’incipit (non si comprende quale sia la durata del periodo transitorio di riferimento, con il rischio che la disciplina transitoria divenga quella definitiva), sia per la dubbia compatibilità con l’art. 1, comma 2, lettera a), n. 2-bis), del decreto-legge n. 105 del 2019.

La citata previsione legislativa stabilisce che l’individuazione dei soggetti “avviene sulla base di un criterio di gradualità, tenendo conto dell’entità del pregiudizio per la sicurezza nazionale che, in relazione alle specificità dei diversi settori di attività, può derivare dal malfunzionamento, dall’interruzione, anche parziali, ovvero dall’utilizzo improprio delle reti, dei sistemi informativi e dei servizi informatici predetti”. Si tratta all’evidenza di un precetto inderogabile, che non sembra ammettere deroghe, neppure in via transitoria.

L’introduzione nella normativa regolamentare di una previsione che, sostanzialmente sterilizzando l’indicazione legislativa, permette di procedere alla individuazione dei soggetti titolari delle funzioni essenziali o dei servizi essenziali senza graduare il pregiudizio per la sicurezza nazionale derivante dalla interruzione o compromissione delle funzioni o servizi essenziali, pare difficilmente conciliabile con la fonte primaria di riferimento.

Nel silenzio della relazione illustrativa, che non indica quali siano le specifiche esigenze soddisfatte dalla menzionata previsione, vorrà l’Amministrazione riferente valutarne la soppressione o la riformulazione per renderla aderente alla fonte di rango primario.

6. L’art. 5 dello schema di decreto disciplina il procedimento per la predisposizione, l’adozione e la successiva comunicazione agli iscritti dell’elencazione dei soggetti inclusi nel perimetro di sicurezza cibernetica ai sensi dell’art. 1, comma 2, lettera a), del decreto-legge n. 105 del 2019.

La disposizione intende attuare l’art. 1, comma 2-bis, del decreto-legge n. 105 del 2019, in base al quale l’elencazione è contenuta in un “atto amministrativo” adottato dal Presidente del Consiglio dei Ministri, su proposta del CISR, entro trenta giorni dall’entrata in vigore del regolamento sottoposto al presente vaglio del Consiglio di Stato. Il predetto decreto, non avente natura normativa, non è soggetto a pubblicazione, né è ostensibile ai sensi della disciplina sul diritto di accesso; a ciascun soggetto iscritto nell’elenco è comunque data, separatamente e senza ritardo, comunicazione dell’avvenuta iscrizione. Per l’aggiornamento del decreto, che la fonte primaria non àncora a scadenze prefissate, si segue la medesima procedura prevista per la sua adozione.

In aderenza alla previsione di rango primario, al comma 2, le parole “decreto del Presidente del Consiglio dei ministri, di natura non regolamentare, adottato e aggiornato” devono essere sostituite dalle seguenti: “atto amministrativo, adottato e aggiornato dal Presidente del Consiglio dei ministri,”.

Per rendere puntuale il richiamo normativo, al comma 3 dell’art. 5 dello schema, al primo periodo, dopo le parole “comma 2-bis,”, devono essere aggiunte “secondo periodo,”.

7. L’art. 6 dello schema istituisce e disciplina le competenze del Tavolo interministeriale per l’attuazione del perimetro di sicurezza nazionale cibernetica.

Trattasi di organismo collegiale non previsto dalla disciplina legislativa di riferimento e che, come riferito nella relazione illustrativa che accompagna lo schema, “corrisponde all’esigenza di disporre di un Organo composto da rappresentanti delle amministrazioni, che siano in possesso di competenze tecnico-specialistiche nella materia della sicurezza cibernetica, di cui lo stesso CISR tecnico – composto invece dai dirigenti apicali designati dai Ministri membri del Comitato, nonché dai Direttori delle citate Agenzie – possa avvalersi nella istruttoria in discorso e, più in generale, nella fase di attuazione di una normativa complessa e di progressiva applicazione quale quella del perimetro di sicurezza nazionale cibernetica”.

La Sezione, pur apprezzando l’esigenza evidenziata dall’Amministrazione riferente, non può non rilevare come la disciplina relativa la composizione del Tavolo interministeriale contenuta nel comma 2 dell’art. 6 non sembra allineata alle previsioni della relazione illustrativa, in quanto non viene richiesta per i rappresentanti delle amministrazioni partecipanti al Tavolo alcuna specifica competenza tecnica. Ciò sembra smentire la finalità dichiarata della norma di garantire un apporto di competenze tecnico-specialistiche nella materia della sicurezza cibernetica, non sempre presenti in capo ai componenti del CISR tecnico.

Pertanto, al comma 2, alla fine, deve essere aggiunto il seguente periodo: “Tutti i componenti del Tavolo devono essere in possesso di competenze tecnico-specialistiche nella materia della sicurezza cibernetica.”.

8. L’art. 7 dello schema, inserito in apertura del Capo III, definisce i criteri per la predisposizione e l’aggiornamento degli elenchi delle reti, dei sistemi informativi e dei servizi informatici.

Il comma 1, nel dare dichiarata attuazione all’art 1, comma 2, del decreto-legge n. 105 del 2019, stabilisce che i soggetti inclusi nel perimetro di sicurezza nazionale cibernetica predispongono e aggiornano, con cadenza almeno annuale, l’elenco di beni ICT di rispettiva pertinenza, osservando i criteri dettati dal successivo comma 2.

La disposizione, richiamando i beni ICT, nella definizione contenuta nell’art. 1, lettera m), dello schema, si allontana dalla pertinente fonte primaria di cui all’art. 1, comma 2, lettera b), del decreto-legge n. 105 del 2019, la quale si riferisce ad un elenco “delle reti, dei sistemi informativi e dei servizi informatici di cui al comma 1”.

Pertanto, per rendere il testo dello schema aderente alla fonte primaria, al comma 1 dell’art. 7, le parole “di beni ICT” vanno sostituite con le seguenti: “delle reti, dei sistemi informativi e dei servizi informatici di cui all’articolo 1, comma 1, del decreto-legge”.

8.1 Al comma 2, per allineare il richiamo normativo a quello contenuto nel precedente art. 5, comma 3, primo periodo, e per evitare dubbi applicativi dovuti alla pluralità di comunicazioni disciplinate dal menzionato art. 5, comma 3, le parole “dall’articolo 5, comma 3”, devono essere sostituite dalle seguenti: “dall’articolo 1, comma 2-bis), secondo periodo, del decreto-legge”.

Al comma 2, lettera a), conformemente a quanto osservato con riferimento al comma 1, l’acronimo “ICT” va sostituto con “di cui all’articolo 1, comma 1, del decreto-legge”. Analogamente, al comma 2, lettera a), numero 1), il primo acronimo “ICT” va soppresso, il secondo acronimo “ICT” va sostituto con la parola “stesso”.

Al comma 2, lettera a), numero 1), alla fine, per ragioni di coordinamento normativo e di migliore intelligibilità della norma, va aggiunto l’aggettivo “essenziali”.

Al comma 2, lettera b), primo periodo, in aderenza alla modifica proposta al comma 1, l’acronimo “ICT”, presente due volte nella disposizione, va soppresso.

8.2 Il comma 2, lettera b), secondo periodo, contiene una disciplina transitoria, applicabile “In fase di prima applicazione”, apparentemente poco conciliabile con la norma di rango primario di cui all’art. 1, comma 2, lettera b), del decreto-legge n. 105 del 2019.

Ed invero, analogamente a quanto osservato con riferimento all’art. 4, comma 1, lettera d), secondo periodo, in disparte la indeterminatezza temporale della fase transitoria che si intenderebbe disciplinare (non si comprende se detta fase sia limitata alla prima redazione degli elenchi ovvero estesa anche al loro primo aggiornamento), la disposizione stabilisce che vengano inseriti nell’elenco tutti i beni ICT che, in caso di incidente, causerebbero l’interruzione totale dello svolgimento della funzione o del servizio essenziali o una compromissione degli stessi con effetti irreversibili sotto il profilo della integrità o della riservatezza dei dati e delle informazioni.

Sebbene la formulazione richiami il principio di gradualità, che per espressa previsione della norma di rango primario contenuta nell’art. 1, comma 2, lettera b), del decreto-legge n. 105 del 2019 deve sottostare ai criteri usati per l’individuazione delle reti, dei sistemi informativi e dei servizi informatici da inserire negli elenchi, la disposizione regolamentare transitoria sembra precludere qualsiasi valutazione al soggetto incluso nel perimetro di sicurezza nazionale prodromica all’inserimento dei beni nell’elenco. Essa, invero, impone l’inserimento in elenco di tutti i beni che, in caso di incidente, causerebbero l’interruzione totale della funzione o del servizio essenziali o una compromissione degli stessi con effetti irreversibili.

La norma primaria, al contrario, prevede che i criteri per la predisposizione ed aggiornamento degli elenchi delle reti, dei sistemi informativi e dei servizi informatici, siano definiti sulla base di un’analisi del rischio e di un criterio di gradualità “che tenga conto delle specificità dei diversi settori di attività”. Proprio per dare attuazione a questa indicazione legislativa, il comma 2 dell’art. 7 dello schema di decreto correttamente stabilisce che i soggetti inclusi nel perimetro di sicurezza nazionale, “in esito all’analisi del rischio ed in applicazione del principio di gradualità”, individuano i beni necessari allo svolgimento della funzione o servizio essenziali (lettera a) e predispongono l’elenco di cui all’art. 1, comma 2, lettera b), del decreto-legge n. 105 del 2019 (lettera b).

Pertanto, in assenza di ulteriori indicazioni dell’Amministrazione riferente, appare non facilmente conciliabile con la predetta norma di rango primario una previsione regolamentare che, come quella contenuta nel comma 2, lettera b), secondo periodo, eliminando ogni margine di apprezzamento in capo ai soggetti inseriti nel perimetro di sicurezza nazionale, ed impedendo pertanto a questi ultimi di valutare, sulla base del criterio di gradualità e tenendo conto delle specificità di ciascun settore di attività, con riferimento a ciascuna funzione e servizio essenziali, quali beni, tra quelli descritti all’art. 1, comma 1, del decreto-legge n. 105 del 2019, inserire o meno negli elenchi.

Pertanto, nel silenzio della relazione illustrativa, che non indica quali siano le esigenze soddisfatte dalla menzionata previsione, vorrà l’Amministrazione riferente valutare la soppressione o la riformulazione della disposizione di cui al comma 2, lettera b), secondo periodo, per renderla aderente alla fonte di rango primario.

Si segnala, altresì, che la disposizione, probabilmente per mero errore, con riferimento alla condotta di predisposizione dell’elenco, usa il verbo “conferire” in luogo di quello “individuare”.

9. L’art. 8 disciplina ulteriormente le modalità di redazione degli elenchi dei beni di cui all’art. 7, stabilendo che l’architettura e la componentistica dei medesimi beni sono descritte conformemente ad un modello predisposto e periodicamente aggiornato, sentito il CISR tecnico, dal DIS, che ne cura la comunicazione ai soggetti interessati. Detto modello contiene l’indicazione degli elementi utili alla descrizione dei beni e delle relative dipendenze.

Anche in virtù del silenzio sul punto della relazione illustrativa, non è chiaro se la predisposizione del modello costituisca adempimento necessario ai fini della redazione degli elenchi e, conseguentemente, la sua mancata predisposizione impedisca ai soggetti inseriti nel perimetro di sicurezza nazionale cibernetica di adempiere a quanto previsto dall’art. 1, comma 2, del decreto-legge n. 105 del 2019. In tale evenienza, la mancata predisposizione del modello avrebbe come effetto quello di paralizzare l’attuazione della pertinente disciplina regolamentare.

Non è del pari chiaro se l’aggiornamento del modello debba avvenire con una cadenza annuale, analogamente a quanto previsto dall’art. 7, comma 1, dello schema di decreto per l’aggiornamento degli elenchi dei beni.

Si raccomanda pertanto all’Amministrazione riferente di intervenire sul testo della disposizione, inserendo un termine per gli adempimenti (predisposizione del modello e suo aggiornamento) ovvero semplicemente precisando quale sia il suo corretto ambito applicativo.

In analogia a quanto osservato con riferimento all’articolo 7, l’acronimo “ICT” va soppresso.

10. L’art. 9 dello schema di decreto è dedicato alle modalità di trasmissione degli elenchi delle reti, dei sistemi informativi e dei servizi informatici.

Il comma 1 stabilisce che i soggetti iscritti nell’elenco di cui all’art. 5, comma 2, entro sei mesi dal ricevimento della comunicazione di avvenuta iscrizione, trasmettono, “tramite una piattaforma digitale costituita presso il DIS”, anche per le attività di prevenzione, preparazione e gestione delle crisi cibernetiche affidate al NSC, gli elenchi di beni ICT di cui all’art. 7, comma 2, lettera b), comprensivi della descrizione dell’architettura e della componentistica predisposta secondo il modello di cui all’art. 8, nonché dell’analisi del rischio, “rispettivamente, alla struttura della Presidenza del Consiglio dei ministri competente per la innovazione tecnologica e la digitalizzazione, e al Ministero dello sviluppo economico”. Il secondo periodo del medesimo comma aggiunge che “Le disposizioni di cui al presente comma si applicano anche per l’aggiornamento degli elenchi di beni ICT e del modello di cui all’articolo 8, comma 2”.

In primo luogo, si osserva che il richiamo all’art. 5, comma 2, dello schema (norma che a sua volta richiama l’art. 1, comma 2-bis, del decreto-legge n. 105 del 2019), va correttamente sostituito con quello alla norma primaria. Pertanto, le parole “di cui all’articolo 5, comma 2,” vanno sostituite con “di cui all’articolo 1, comma 2-bis, del decreto-legge,”.

Analogamente, nel medesimo comma, le parole “di cui all’articolo 7, comma 2, lettera b),” vanno sostituite con “di cui all’articolo 1, comma 2, lettera b), del decreto-legge,” e va conseguentemente soppresso l’acronimo “ITC”.

In secondo luogo, il comma 1 menziona una piattaforma digitale costituita presso il DIS, senza precisare se trattasi di piattaforma esistente o di nuova istituzione e, in tale ultimo caso, quale sia la base normativa di riferimento. Ciò, all’evidenza, ha immediate ricadute di natura economico-finanziaria, giacché la relazione tecnica, peraltro priva di positiva verifica da parte del Dipartimento della Ragioneria Generale dello Stato, rimane sul punto silente.

Anche tenuto conto della clausola di neutralità finanziaria inserita nell’art. 12 dello schema di decreto, secondo cui “Dal presente decreto non derivano nuovi o maggiori oneri per la finanza pubblica”, l’Amministrazione riferente dovrà quindi provvedere ad integrare la disposizione normativa e/o la relazione tecnica per dimostrare l’effettiva neutralità finanziaria del precetto in esame.

In terzo luogo, la disposizione contenuta nel comma 1, per come formulata, non chiarisce chi siano i destinatari delle comunicazioni inserite nella piattaforma digitale. In particolare, non risulta chiaro in quali casi la comunicazione deve essere effettuata alla struttura della Presidenza del Consiglio dei ministri competente per l’innovazione tecnologica e la digitalizzazione ed in quali casi al Ministero dello sviluppo economico.

Nel silenzio della relazione illustrativa, ed argomentando dall’art. 1, comma 2, lettera b), del decreto-legge n. 105 del 2019, si deve ritenere che l’Amministrazione riferente abbia dimenticato di completare la formulazione della norma, con la precisazione che la comunicazione è effettuata, per i soggetti pubblici e quelli di cui all’art. 29 del codice dell’amministrazione digitale, di cui al decreto legislativo n. 82 del 2005, alla struttura della Presidenza del Consiglio dei ministri competente per l’innovazione tecnologica e la digitalizzazione, e per i soggetti privati al Ministero dello sviluppo economico.

Pertanto, per rendere la disposizione intelligibile ed aderente alla fonte di rango primario, vorrà l’Amministrazione riferente apportare le suindicate modifiche al testo dello schema di decreto.

L’ultimo periodo del comma 1 reca un richiamo normativo erroneo: il riferimento al “comma 2” deve essere sostituito con quello al “comma 1” dell’articolo 8. Analogamente a quanto osservato con riferimento agli articoli 7, 8 e 9, comma 1, l’acronimo “ICT” ivi presente va soppresso.

10.1 Al comma 2, per una migliore intelligibilità della disposizione, e coerentemente a quanto sopra osservato in relazione al comma 1, dopo le parole “per i profili di”, occorre aggiungere “rispettiva”.

Al comma 3, non appare corretto il richiamo normativo al “modello di cui all’articolo 8, comma 2”, in quanto detto modello non è disciplinato dal comma 2, bensì dal comma 1 del medesimo articolo 8, mentre il comma 2 contribuisce a determinare il contenuto del citato modello.

La disposizione va pertanto riformulata sostituendo le parole “dal modello di cui all’articolo” con “ai sensi dell’articolo”.

Il comma 4 stabilisce che l’organo del Ministero dell’interno per la sicurezza e la regolarità dei servizi di telecomunicazione di cui all’articolo 7-bis del decreto-legge n. 144 del 2005, convertito, con modificazioni, dalla legge n. 155 del 2005, accede per il tramite della piattaforma digitale agli elenchi di cui al comma 1 e fornisce alla stessa piattaforma gli elenchi di pertinenza del Ministero.

Il richiamo alla “piattaforma digitale”, senza ulteriori precisazioni, appare affatto generico ed indeterminato. Pertanto, ove il riferimento fosse alla piattaforma costituita presso il DIS, dopo la parola “digitale” vanno inserite le seguenti: “di cui al comma 1”.

In analogia a quanto osservato in precedenza con riferimento al comma 1 e ad analoghi richiami interni, le parole “al comma 1” vanno sostituite con “all’articolo 1, comma 2, lettera b), del decreto-legge”.

11. L’art. 10 dello schema reca una disposizione dedicata alla tutela delle informazioni contenute negli elenchi dei soggetti inclusi nel perimetro di sicurezza cibernetica e di quelli delle reti, dei sistemi informativi e dei servizi informatici.

In aderenza a quanto osservato in precedenza, i richiami interni a disposizioni dello schema di decreto vanno sostituti con quelli a norme contenute nella pertinente fonte di rango primario.

In particolare, le parole “5, comma 2” vanno sostituite con “1, comma 2-bis, del decreto-legge”; e “7, comma 2, lettera b),” con “1, comma 2, lettera b), del decreto-legge,”.

12. L’art. 11 dello schema contiene una disposizione transitoria che richiama gli obblighi in materia di notifica degli incidenti, di misure di sicurezza, nonché di affidamento delle forniture di cui all’art. 1, commi 3 e 6, del decreto-legge n. 105 del 2019, stabilendo che detti obblighi decorrono “dalle date indicate dal decreto di cui all’articolo 1, comma 3, del decreto-legge e dal regolamento di cui all’articolo 1, comma 6, del decreto-legge”.

Poiché la data di decorrenza degli obblighi di denuncia saranno stabiliti dal decreto del Presidente del Consiglio dei ministri adottato ai sensi dell’art. 1, comma 3, del decreto-legge n. 105 del 2019, mentre quella di decorrenza degli obblighi di affidamento dal regolamento adottato ai sensi dell’art. 1, comma 6, del medesimo decreto-legge, per una migliore intelligibilità della disposizione, dopo la parola “indicate” va inserito l’avverbio “rispettivamente” tra due virgole.

P.Q.M.

In tali sensi è il parere della Sezione.

IL SEGRETARIO

Maurizia Campobasso