Titolo II
Art. 12
12 / 18Organizzazione
In vigore dal 28 dic 2021
1. L'Agenzia, nei limiti stabiliti dall', comma 1, del decreto-legge, e fatto salvo quanto previsto dall', si articola nei seguenti servizi:
a) Gabinetto;
b) Autorità e sanzioni;
c) Certificazione e vigilanza;
d) Operazioni;
e) Programmi industriali, tecnologici, di ricerca e formazione;
f) Risorse umane e strumentali;
g) Strategie e cooperazione.
2. Nell'ambito delle competenze e delle funzioni che sono attribuite per legge all'Agenzia e tenuto conto degli indirizzi che saranno progressivamente definiti dal Direttore generale:
a) il Gabinetto assicura, a supporto del Direttore generale, il coordinamento tra i diversi Servizi e articolazioni dell'Agenzia e il raccordo tra le relative attività, e svolge funzioni a valenza generale. In particolare, per tali ultime funzioni, operando in stretto raccordo con i Servizi e avvalendosi del relativo supporto:
1) assicura le funzioni di gestione dei flussi documentali, raccolta e canalizzazione di notizie, conoscenze ed esperienze, gestione del protocollo informatico e degli archivi dati, nonché di eventi suscettibili di immediato superiore apprezzamento;
2) assicura il supporto necessario ai fini della tutela della riservatezza dei dati personali;
3) assolve agli obblighi di informazione e comunicazione al Parlamento e al Comitato parlamentare per la sicurezza della Repubblica (COPASIR) di cui all'articolo 30 della legge 3 agosto 2007, n. 124;
4) cura e promuove, anche attraverso il costante monitoraggio dell'attività parlamentare e di Governo, l'espressione di pareri non vincolanti su rilevanti iniziative legislative o regolamentari, ovvero ne propone l'adozione, al fine della definizione e del mantenimento di un quadro giuridico nazionale aggiornato e coerente nel dominio della cybersicurezza, tenendo anche conto degli orientamenti e degli sviluppi in ambito internazionale;
5) sulla base delle attività di competenza del Nucleo per la cybersicurezza, cura le attività di cui all', comma 1, lettera l), del decreto-legge;
6) supporta il Nucleo per la cybersicurezza, fermo restando quanto previsto dalla lettera d), numero 5);
7) cura le collaborazioni istituzionali con altri organi dello Stato e in generale con le altre amministrazioni, ivi compreso il Garante per la protezione dei dati personali e le altre Autorità indipendenti, le Forze armate e di polizia e gli altri enti pubblici;
8) svolge studi e analisi su rilevanti iniziative, politiche e strategie in materia di cybersicurezza, laddove necessari per informare e supportare i processi decisionali dell'Agenzia;
b) il Servizio autorità e sanzioni assicura lo svolgimento della funzione di regolamentazione e la connessa attività sanzionatoria attribuite all'Agenzia dalla normativa vigente. A tal fine, in particolare:
1) cura gli adempimenti delle disposizioni del decreto legislativo NIS, con particolare riferimento a quanto previsto in materia di identificazione degli operatori di servizi essenziali e fornitori di servizi digitali e gestione dei rispettivi elenchi, determinazione delle soglie di incidenti, definizione delle misure di sicurezza, raccordo con le autorità di settore, presidenza del Comitato tecnico di raccordo;
2) cura gli adempimenti delle disposizioni del decreto-legge perimetro;
3) cura la definizione delle misure di sicurezza e delle soglie di significatività degli incidenti riguardanti le reti pubbliche di comunicazione o servizi di comunicazione elettronica accessibili al pubblico, ai sensi del Codice delle comunicazioni elettroniche;
4) cura l'attuazione degli articoli 51 e 71 del Codice dell'amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, con particolare riferimento alla previsione di linee guida contenenti regole tecniche di cybersicurezza della pubblica amministrazione;
5) stabilisce i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la pubblica amministrazione;
6) provvede all'irrogazione delle sanzioni in caso di inadempimento degli obblighi stabiliti dalle normative vigenti in materia di cybersicurezza di competenza dell'Agenzia, garantendo la necessaria partecipazione procedimentale degli interessati ed una adeguata terzietà rispetto all'articolazione a cui spettano compiti ispettivi;
7) cura il contenzioso dell'Agenzia, con particolare riguardo a quello connesso ai procedimenti sanzionatori, assicurando il supporto all'Avvocatura dello Stato;
c) il Servizio Certificazione e vigilanza sovrintende ai processi di certificazione, qualificazione e valutazione, nonché cura l'attività ispettiva e di verifica attribuiti all'Agenzia dalla normativa vigente. A tal fine, in particolare:
1) cura le attività svolte dall'Agenzia in materia di certificazione di sicurezza cibernetica;
2) cura le attività dell'Agenzia quale CVCN, anche ai sensi del decreto-legge perimetro e del decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56;
3) cura e svolge l'attività ispettiva e di verifica di competenza dell'Agenzia concernente gli adempimenti di cybersicurezza nei confronti dei soggetti pubblici e privati;
4) cura le attività dell'Agenzia volte and assicurare l'attuazione del regolamento (UE) n. 2019/881 e, in particolare, garantisce che l'Agenzia assolva al ruolo di autorità nazionale di certificazione in materia di cybersicurezza, ai sensi dell'articolo 58 del regolamento (UE) n. 2019/881, e partecipi ai lavori del Gruppo europeo per la certificazione della cybersicurezza, ai sensi dell'articolo 62 del regolamento (UE) n. 2019/881;
5) è responsabile della promozione e dello svolgimento delle attività volte alla qualificazione dei servizi cloud per la pubblica amministrazione;
6) cura e promuove le attività volte allo sviluppo di algoritmi proprietari e alla valorizzazione della crittografia come strumento di cybersicurezza;
d) il Servizio Operazioni contribuisce alla preparazione, prevenzione, gestione e risposta a eventi cibernetici. Nell'ambito del Servizio Operazioni è collocato il CSIRT Italia. Il Servizio Operazioni, a tal fine, in particolare:
1) assicura il funzionamento del CSIRT Italia sulla base dei compiti che sono ad esso attribuiti per legge, tra i quali il monitoraggio e l'analisi dei rischi e delle minacce cyber a livello nazionale, l'emissione di preallarmi, allerte, annunci e la divulgazione di rilevanti informazioni agli operatori interessati, la ricezione di notifiche obbligatorie e volontarie di incidenti cyber, l'analisi degli incidenti e la definizione di modalità di intervento e risposta;
2) cura lo sviluppo e il mantenimento di capacità nazionali di prevenzione, monitoraggio, rilevamento, analisi e risposta, per prevenire e gestire gli incidenti di sicurezza informatica e gli attacchi informatici, anche attraverso il CSIRT Italia;
3) è responsabile per le attività inerenti alla preparazione, prevenzione, gestione e risposta a eventi cibernetici di natura critica, supportando le attività volte al più celere ripristino della situazione ante-evento da parte dei soggetti interessati;
4) coordina e partecipa a esercitazioni nazionali e internazionali che riguardano aspetti tecnici e operativi di gestione di eventi o crisi con profili di cybersicurezza;
5) supporta il Nucleo per la cybersicurezza nella programmazione e pianificazione operativa della risposta a situazioni di crisi cibernetica da parte delle amministrazioni e degli operatori privati interessati, nonché nelle attività cui all', comma 4, del decreto-legge, curando gli opportuni raccordi con il Gabinetto;
6) valuta e promuove, in raccordo con le amministrazioni competenti per specifici profili della cybersicurezza, procedure di condivisione delle informazioni, anche con gli operatori privati interessati, ai fini della diffusione di allarmi relativi ad eventi cibernetici e per la gestione delle crisi;
e) il Servizio Programmi industriali, tecnologici, di ricerca e formazione svolge funzioni di indirizzo e gestione delle attività svolte dall'Agenzia per promuovere l'autonomia strategica e la sovranità tecnologica nazionale. A tal fine, in particolare:
1) cura le attività dell'Agenzia volte alla promozione, allo sviluppo e al finanziamento di specifici progetti e iniziative nazionali e internazionali in materia di cybersicurezza, volti anche a favorire il trasferimento tecnologico dei risultati della ricerca; cura la partecipazione dell'Agenzia a progetti europei e internazionali, nonché l'utilizzazione dei fondi europei;
2) si occupa dello sviluppo di competenze e capacità industriali, tecnologiche e scientifiche, mediante il coinvolgimento del sistema dell'università e della ricerca, nonché del sistema produttivo nazionale;
3) è responsabile per la promozione e la costituzione di aree dedicate allo sviluppo di capacità e competenze nei settori avanzati della cybersicurezza, nonché alla realizzazione di studi di fattibilità e di analisi valutative finalizzati a tale scopo;
4) svolge i compiti necessari ad assicurare il funzionamento del Centro nazionale di coordinamento in materia di cybersicurezza nell'ambito industriale, tecnologico e della ricerca;
5) cura le attività necessarie alla costituzione ed alla partecipazione a partenariati pubblico-privato sul territorio nazionale, nonché - previa autorizzazione del Presidente del Consiglio dei ministri, resa anche in seno al Comitato di Vertice - a consorzi, fondazioni o società con soggetti pubblici e privati, italiani e stranieri;
6) promuove iniziative di formazione, tra le quali quelle riservate ai giovani che aderiscono al servizio civile, nonché di crescita tecnico-professionale e qualificazione delle risorse umane in materia di cybersicurezza, anche sulla base di convenzioni con soggetti pubblici e privati;
f) il Servizio risorse umane e strumentali svolge funzioni di indirizzo e gestione dell'attività amministrativa dell'Agenzia. A tal fine, in particolare:
1) assicura la corretta ed efficace gestione del personale dell'Agenzia, svolgendo funzioni di carattere ordinamentale e procedurale in materia di reclutamento, incarichi, mobilità, formazione, sviluppo professionale, valutazione del personale, gestione dello stato giuridico, trattamento economico e di fine rapporto, trattamento pensionistico;
2) cura e coordina l'acquisizione, la gestione, la crescita e lo sviluppo professionale del personale dell'Agenzia, nonché la promozione delle pari opportunità;
3) provvede alle ispezioni, inchieste e controlli interni su richiesta del direttore generale o del Vice direttore generale;
4) definisce il sistema di valutazione del personale, i piani di assunzione e formazione, al fine di garantirne lo sviluppo professionale e di assicurare la presenza delle competenze necessarie ai fabbisogni dell'Agenzia, nonché di migliorare le prestazioni nell'ambito delle posizioni organizzative di appartenenza e sviluppare le potenzialità dei singoli dipendenti, secondo un processo di adeguamento delle competenze funzionale all'evoluzione dell'Agenzia;
5) assicura l'applicazione del decreto legislativo 9 aprile 2008, n. 81, in materia di tutela della salute e della sicurezza nei luoghi di lavoro;
6) sovrintende alle politiche di bilancio, agli obblighi contabili, agli adempimenti fiscali e alla gestione degli aspetti finanziari e di tesoreria, curandone i relativi processi e procedure, anche con l'eventuale supporto degli altri Servizi interessati;
7) cura e coordina le politiche di approvvigionamento e i relativi processi sulla base delle esigenze manifestate dai Servizi interessati;
8) gestisce le attività relative alla logistica e alla manutenzione degli immobili e delle dotazioni dell'Agenzia;
9) cura i processi di pianificazione, sviluppo, ottimizzazione, elaborazione delle future esigenze e manutenzione delle infrastrutture, dei sistemi tecnologici e di telecomunicazione in dotazione all'Agenzia, assicurandone la gestione tecnica ed il funzionamento, anche in relazione al rispetto delle norme e dei requisiti in materia di sicurezza informatica e di tutela dei dati personali;
10) cura il contenzioso in materia di personale e di attività negoziale, assicurando il supporto all'Avvocatura dello Stato;
g) il Servizio Strategie e cooperazione definisce gli indirizzi strategici e gli strumenti di policy nazionali in materia di cybersicurezza, ne monitora l'attuazione, nonché mantiene e sviluppa le relazioni e la cooperazione internazionale dell'Agenzia. A tal fine, in particolare:
1) elabora le politiche nazionali in materia di cybersicurezza e, in particolare, predispone ed aggiorna la strategia nazionale di cybersicurezza, monitorandone la concreta attuazione;
2) contribuisce all'organizzazione di esercitazioni nazionali e internazionali in materia di cybersicurezza, definendo gli scenari di riferimento;
3) promuove, gestisce e supporta le relazioni internazionali dell'Agenzia, sia a livello bilaterale sia multilaterale, anche attraverso l'individuazione o la proposizione di rilevanti iniziative;
4) coordina e svolge attività di cooperazione internazionale in materia di cybersicurezza in cui è coinvolta l'Agenzia, in particolare, curando i rapporti con i competenti organismi, istituzioni ed enti dell'Unione europea e di altre organizzazioni internazionali, seguendo nelle competenti sedi istituzionali internazionali le tematiche di cybersicurezza, nonché assicurando, attraverso il raccordo con le altre amministrazioni nazionali, la definizione e il mantenimento di posizioni nazionali unitarie e coerenti in materia di cybersicurezza;
5) promuove, nei confronti delle altre amministrazioni, delle organizzazioni private, incluse le piccole e le medie imprese, e della società civile nel pertinente insieme, la consapevolezza in materia di cybersicurezza, al fine di contribuire allo sviluppo di una cultura nazionale in materia.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Prourn:nir:stato:decreto.del.presidente.del.consiglio.dei.ministri:2021-12-09;223#art-12