Legalize
Legalize / Italia / Decreto legislativo

DECRETO LEGISLATIVO 4 settembre 2024, n. 134

Type Decreto legislativo
Publication 2024-09-04
State In force
Source Normattiva
Reform history JSON API

IL PRESIDENTE DELLA REPUBBLICA

Visti gli articoli 76 e 87, quinto comma, della Costituzione;

Vista la legge 23 agosto 1988, n. 400, recante «Disciplina dell'attività di Governo e ordinamento della Presidenza del Consiglio dei ministri» e, in particolare, l'articolo 14;

Vista la legge 24 dicembre 2012, n. 234, recante «Norme generali sulla partecipazione dell'Italia alla formazione e all'attuazione della normativa e delle politiche dell'Unione europea» e, in particolare, gli articoli 31 e 32;

Vista la legge 21 febbraio 2024, n. 15, recante «Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea - Legge di delegazione europea 2022-2023» e, in particolare, l'articolo 5, che reca principi e criteri direttivi per l'esercizio della delega per il recepimento della direttiva (UE) 2022/2557, relativa alla resilienza dei soggetti critici;

Vista la direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio;

Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchè alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati);

Visto il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011;

Vista la direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2);

Visto il regolamento delegato (UE) 2023/2450 della Commissione, del 25 luglio 2023, che integra la direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio stabilendo un elenco di servizi essenziali;

Visto il decreto legislativo 30 giugno 2003, n. 196, recante «Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchè alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE»;

Visto il decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, recante «Misure urgenti per il contrasto del terrorismo internazionale»;

Vista la legge 3 agosto 2007, n. 124, recante «Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto»;

Visto il decreto legislativo 11 aprile 2011, n. 61, recante «Attuazione della direttiva 2008/114/CE recante l'individuazione e la designazione delle infrastrutture critiche europee e la valutazione della necessità di migliorarne la protezione»;

Visto il decreto legislativo 23 giugno 2011, n. 118, recante «Disposizioni in materia di armonizzazione dei sistemi contabili e degli schemi di bilancio delle Regioni, degli enti locali e dei loro organismi, a norma degli articoli 1 e 2 della legge 5 maggio 2009, n. 42»;

Visto il decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, recante «Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale»;

Vista la preliminare deliberazione del Consiglio dei ministri, adottata nella riunione del 10 giugno 2024;

Acquisito il parere del Garante per la protezione dei dati personali, reso nella seduta del 18 luglio 2024;

Acquisito il parere della Conferenza unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, reso nella seduta dell'11 luglio 2024;

Acquisiti i pareri delle competenti Commissioni della Camera dei deputati e del Senato della Repubblica;

Vista la deliberazione del Consiglio dei ministri, adottata nella riunione del 7 agosto 2024;

Sulla proposta del Presidente del Consiglio dei ministri e del Ministro per gli affari europei, il Sud, le politiche di coesione e il PNRR, di concerto con i Ministri per gli affari regionali e le autonomie, per la protezione civile e le politiche del mare, degli affari esteri e della cooperazione internazionale, dell'interno, della giustizia, della difesa, dell'economia e delle finanze, delle imprese e del made in Italy, dell'ambiente e della sicurezza energetica, delle infrastrutture e dei trasporti, della salute e dell'agricoltura, della sovranità alimentare e delle foreste;

Emana

il seguente decreto legislativo:

Art. 1

Oggetto e ambito di applicazione

2.Fermo restando quanto previsto dall'articolo 10, il presente decreto non si applica alle materie disciplinate dalle disposizioni nazionali di attuazione della direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, le cui misure sulla gestione dei rischi della cibersicurezza sono basate su un approccio multirischio che mira a proteggere anche l'ambiente fisico dei sistemi informatici da eventi che possono avere origini diverse.

3.Qualora gli obblighi previsti per i soggetti critici di adottare misure per rafforzare la loro resilienza siano oggetto di uno specifico atto giuridico dell'Unione europea, si applicano le disposizioni di detto atto giuridico nella misura in cui gli effetti di tali obblighi siano almeno equivalenti a quelli degli obblighi di cui al presente decreto. In tale circostanza non si applicano le disposizioni in materia di vigilanza ed esecuzione di cui al presente decreto.

4.Fatto salvo quanto previsto dall'articolo 346 del Trattato sul funzionamento dell'Unione europea, se l'applicazione del presente decreto comporta la comunicazione di informazioni riservate ai sensi delle disposizioni nazionali o delle disposizioni dell'Unione europea, tale comunicazione è limitata a quanto strettamente necessario ai fini dell'applicazione medesima e le informazioni scambiate sono esclusivamente quelle pertinenti e commisurate allo scopo. In ogni caso, la comunicazione di cui al primo periodo tutela la riservatezza di tali informazioni, nonchè la sicurezza e gli interessi commerciali dei soggetti critici di cui all'articolo 2, comma 1, lettera a). Gli obblighi stabiliti dal presente decreto non comportano la comunicazione di informazioni la cui divulgazione sarebbe contraria agli interessi essenziali dello Stato in materia di sicurezza nazionale, di difesa o di pubblica sicurezza.

5.Resta impregiudicata la responsabilità dello Stato di tutelare la sicurezza nazionale, la difesa e le altre funzioni essenziali dello Stato, tra cui la garanzia dell'integrità territoriale dello Stato e il mantenimento dell'ordine pubblico.

6.Il presente decreto non si applica agli organi e alle articolazioni della pubblica amministrazione, nonchè agli enti di cui all'articolo 2, comma 1, lettera l), che operano nei settori della pubblica sicurezza, della difesa nazionale o dell'attività di contrasto, compresi l'indagine, l'accertamento e il perseguimento di reati, nonchè agli organismi di informazione per la sicurezza di cui alla legge 3 agosto 2007, n. 124, all'Agenzia per la cybersicurezza nazionale di cui al decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109. Esso non si applica, altresì, al Parlamento, alla Banca d'Italia, all'Unità di informazione finanziaria per l'Italia di cui all'articolo 6 del decreto legislativo 21 novembre 2007, n. 231 e agli organi giudiziari.

7.Con uno o più decreti del Presidente del Consiglio dei ministri, di concerto, per gli ambiti di rispettiva competenza, con i Ministri della giustizia, dell'interno e della difesa, sentito il Comitato interministeriale per la resilienza di cui all'articolo 4, sono individuati specifici soggetti critici che svolgono attività principalmente nei settori della pubblica sicurezza, della protezione civile, della difesa o dell'attività di contrasto, accertamento e perseguimento di reati, ovvero che forniscono servizi esclusivamente agli organi, alle articolazioni o agli enti della pubblica amministrazione di cui al comma 6, ai quali, nell'espletamento di tali attività o servizi, non si applicano le disposizioni di cui all'articolo 12 e ai capi III, IV e VI del presente decreto.

8.Resta ferma l'applicazione del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196.

9.Con decreto del Presidente del Consiglio dei ministri, da adottare ai sensi dell'articolo 43 della legge 3 agosto 2007, n. 124, sono individuati specifici soggetti critici che svolgono attività principalmente o forniscono servizi esclusivamente per gli organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della legge n. 124 del 2007, ai quali, nell'espletamento delle predette attività o servizi, non si applicano le disposizioni di cui all'articolo 12 e ai capi III, IV e VI del presente decreto.

La consultazione di questo documento non sostituisce la lettura della Gazzetta Ufficiale della Repubblica Italiana. Non ci assumiamo responsabilità per eventuali inesattezze derivanti dalla trascrizione dell'originale in questo formato.