1. Il presente decreto stabilisce misure volte ad adeguare la normativa nazionale al nuovo quadro europeo di certificazione della cybersicurezza, introdotto mediante le disposizioni del Titolo III del regolamento (UE) 2019/881.

2. Ai fini del comma 1, il presente decreto prevede:

a) l'individuazione dell'organizzazione dell'autorità nazionale di certificazione della cybersicurezza in Italia, di cui all'articolo 4, comma 1, in base ai compiti ed ai poteri ad essa attribuiti in materia di vigilanza in ambito nazionale e di rilascio dei certificati di cybersicurezza, con riferimento al quadro europeo di certificazione;

b) le modalità di cooperazione dell'autorità di cui alla lettera a) con le altre autorità pubbliche nazionali ed europee e con l'Organismo di accreditamento;

c) la definizione di un sistema sanzionatorio applicabile in caso di violazione delle norme del quadro europeo di certificazione con sanzioni effettive, proporzionate e dissuasive.

3. Il presente decreto si applica fatte salve le disposizioni specifiche riguardanti le attività nel settore della pubblica sicurezza, della difesa, della sicurezza nazionale e le attività dello Stato nell'ambito del diritto penale.

1. Il trattamento dei dati personali derivante dall'applicazione del presente decreto è effettuato ai sensi del regolamento (UE) 2016/679 e del decreto legislativo 30 giugno 2003, n. 196.

1. Ai fini del presente decreto, oltre alle definizioni contenute nel regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, si applicano le seguenti:

a) «TIC»: Tecnologia dell'Informazione e della Comunicazione;

b) «Regolamento»: Titolo III del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013;

c) «quadro europeo di certificazione»: il Regolamento ed i successivi sistemi europei di certificazione adottati a norma dell'articolo 49 del Regolamento;

d) «messa a disposizione sul mercato»: la fornitura di un prodotto TIC o di un servizio TIC per la distribuzione, il consumo o l'uso sul mercato dell'Unione Europea nel corso di un'attività commerciale, a titolo oneroso o gratuito;

e) «richiamo»: qualsiasi provvedimento volto ad ottenere la restituzione di un prodotto TIC che è già stato reso disponibile all'utilizzatore finale;

f) «ritiro»: qualsiasi provvedimento volto ad impedire la messa a disposizione sul mercato di un prodotto TIC o servizio TIC nella catena della fornitura;

g) «vigilanza del mercato»: le attività svolte ed i provvedimenti adottati dall' Agenzia e dalle altre autorità pubbliche competenti per garantire che i prodotti TIC, i servizi TIC ed i processi TIC ad essi collegati siano conformi ai requisiti stabiliti dal quadro europeo di certificazione e non pregiudichino la salute, la sicurezza o qualsiasi altro aspetto della protezione del pubblico interesse;

h) «Agenzia»: l'Agenzia per la cybersicurezza nazionale di cui all'articolo 5 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, designata dall'articolo 7, comma 1, lettera e), del medesimo decreto-legge, per l'Italia, quale autorità nazionale di certificazione della cybersicurezza, di cui all'articolo 58, paragrafo 1, del Regolamento;

i) «standard» o «norma»: una specifica tecnica, adottata da un organismo di normazione riconosciuto ai sensi dell'articolo 2, paragrafo 1, numero 1), del regolamento (UE) n. 1025/2012;

l) «norma armonizzata»: una norma europea adottata sulla base di una richiesta della Commissione Europea ai fini dell'applicazione della legislazione dell'Unione sull'armonizzazione ai sensi dell'articolo 2, paragrafo 1, numero 1, lettera c), del regolamento (UE) n. 1025/2012;

m) «Organismo di accreditamento»: l'organismo autorizzato a svolgere l'attività di accreditamento nel territorio dello Stato, ai sensi dell'articolo 2, paragrafo 1, numero 11, del regolamento (CE) 765/2008, designato con decreto del Ministro dello sviluppo economico del 22 dicembre 2009 in attuazione dell'articolo 4, comma 2, della legge 23 luglio 2009, n. 99;

n) «autorizzazione»: provvedimento con il quale l'Agenzia accerta il possesso, a norma dell'articolo 54, paragrafo 1, lettera f), del Regolamento, di requisiti specifici o supplementari a cui sono soggetti gli organismi di valutazione della conformità per poter operare nell'ambito di uno specifico sistema europeo di certificazione, in aggiunta a quanto già previsto nell'allegato del Regolamento;

o) «abilitazione»: provvedimento con il quale l'Agenzia accerta i requisiti necessari affinchè un esperto o un laboratorio di prova possa coadiuvare l'Agenzia nelle attività di vigilanza nazionale o di rilascio dei certificati di cybersicurezza;

p) «laboratorio di prova»: organismo di valutazione della conformità che svolge verifiche documentali e/o prove in base alle norme armonizzate europee ed agli standard e specifiche tecniche nell'ambito del sistema europeo di certificazione in cui è accreditato;

q) «organismo di certificazione»: organismo di valutazione della conformità che emette certificati europei di cybersicurezza in base alle norme armonizzate europee ed agli standard di riferimento ai sensi dell'articolo 54, paragrafo 1, lettera c), del Regolamento per il sistema di certificazione in cui è accreditato;

r) «elenco dei laboratori di prova e degli esperti per le attività di vigilanza nazionale»: registro aggiornato dei laboratori di prova e degli esperti abilitati dall'Agenzia ad effettuare attività di valutazione di sicurezza informatica nell'ambito dei compiti di vigilanza nazionale dell'Agenzia;

s) «elenco dei laboratori di prova e degli esperti per le attività di certificazione»: registro aggiornato dei laboratori di prova e degli esperti abilitati dall'Agenzia ad effettuare attività di valutazione di sicurezza informatica nell'ambito dei compiti di rilascio dei certificati di cybersicurezza dell'Agenzia;

t) «Organismo di Certificazione della Sicurezza Informatica» o «OCSI»: organismo di certificazione dell'Agenzia, accreditato ai sensi dell'articolo 60, paragrafo 2, del Regolamento, istituito ai sensi dell'articolo 4 del decreto del Presidente del Consiglio dei ministri del 30 ottobre 2003, pubblicato nella Gazzetta Ufficiale n. 98 del 27 aprile 2004;

u) «dichiarazione UE di conformità»: attestazione di conformità rilasciata da un fabbricante di prodotti TIC o fornitore di servizi TIC ai sensi dell'articolo 53, paragrafo 1, del regolamento UE 2019/881, a seguito del processo di autovalutazione di conformità previsto dallo stesso articolo;

v) «emittenti delle dichiarazioni di conformità UE»: i soggetti di cui all'articolo 53, paragrafo 1, del regolamento UE 2019/881;

z) «certificato europeo di cybersicurezza»: un documento rilasciato da un organismo di certificazione che attesta che un determinato prodotto TIC, servizio TIC o processo TIC è stato oggetto di una valutazione di conformità ai requisiti stabiliti da un sistema europeo di certificazione;

aa) «certificato europeo di cybersicurezza (o dichiarazione UE di conformità) non conforme»: certificato europeo di cybersicurezza (o dichiarazione UE di conformità) che non soddisfa uno o più requisiti di un sistema europeo di certificazione ai sensi dell'articolo 54, paragrafo 1, del Regolamento;

bb) «revoca di un certificato europeo di cybersicurezza»: annullamento di un certificato europeo di cybersicurezza prima della sua scadenza da parte dell'organismo di valutazione della conformità emittente o da parte dell'Agenzia;

cc) «revoca di una dichiarazione UE di conformità»: annullamento di una dichiarazione UE di conformità prima della sua scadenza da parte del fabbricante o fornitore emittente;

dd) «livello di affidabilità di base»: livello di affidabilità che soddisfa i requisiti ed è valutato con i criteri specificati al paragrafo 5 dell'articolo 52 del Regolamento;

ee) «livello di affidabilità sostanziale»: livello di affidabilità che soddisfa i requisiti ed è valutato con i criteri specificati al paragrafo 6 dell'articolo 52 del Regolamento;

ff) «livello di affidabilità elevato»: livello di affidabilità che soddisfa i requisiti ed è valutato con i criteri specificati al paragrafo 7 dell'articolo 52 del Regolamento;

gg) «ECCG»: Gruppo europeo di certificazione della cibersicurezza, ai sensi dell'articolo 62 del Regolamento;

hh) «ENISA»: l'Agenzia dell'Unione europea per la cibersicurezza di cui al Titolo II del regolamento (UE) 2019/881.

1. L'Agenzia, ai sensi degli articoli 7, comma 1, lettera e), e 16, comma 12, lettera b), del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, è l'autorità nazionale di certificazione della cybersicurezza, nel rispetto di quanto previsto dall'articolo 58, paragrafo 1, del Regolamento.

2. Con provvedimento dell'Agenzia, adottato ai sensi dell'articolo 5, comma 3, del decreto del Presidente del Consiglio dei ministri 9 dicembre 2021, n. 223, sono definite l'organizzazione e le procedure per lo svolgimento dei compiti dell'Agenzia quale Autorità nazionale di certificazione della cybersicurezza e sono definite le modalità applicative delle attività di cui al presente Capo e all'articolo 11. Il predetto provvedimento dispone altresì che le attività dell'Agenzia relative al rilascio di certificati europei di cybersicurezza di cui all'articolo 6, comma 1, siano rigorosamente separate dalle attività di vigilanza di cui all'articolo 5 e che tali attività siano svolte indipendentemente le une dalle altre, nell'ambito di due distinte Divisioni di cui all'articolo 4, comma 4, del decreto del Presidente del Consiglio dei ministri 9 dicembre 2021, n. 223. L'Agenzia partecipa alle attività internazionali dell'ECCG e del comitato ai sensi degli articoli 62 e 66 del Regolamento con proprio personale.

3. Per lo svolgimento dei compiti attribuiti all'Agenzia, inerenti la realizzazione e la gestione dei sistemi informativi, la formazione del personale tecnico ed amministrativo, la ricerca e l'innovazione, la realizzazione e l'aggiornamento di laboratori interni, l'abilitazione di laboratori di prova ed esperti, l'autorizzazione di organismi di valutazione della conformità, la vigilanza, l'accreditamento, il rinnovo e l'estensione dell'organismo di cui all'articolo 6, comma 1, le missioni nazionali ed internazionali e le spese generali, è autorizzata la spesa di 657.500 euro per l'anno 2022, 592.500 euro per l'anno 2023 e 637.500 euro annui a decorrere dall'anno 2024. Agli oneri derivanti dal presente comma si provvede ai sensi dell'articolo 14, comma 1.

1. L'Agenzia realizza l'attività di vigilanza del mercato in ambito nazionale ai fini della corretta applicazione delle regole previste dai sistemi europei di certificazione della cybersicurezza, con riferimento ai certificati di cybersicurezza ed alle dichiarazioni UE di conformità emessi nel territorio dello Stato, ai sensi dell'articolo 58, paragrafo 7, lettere a) e b), del Regolamento, vigilando sui fornitori e fabbricanti emittenti le dichiarazioni UE di conformità, sui titolari di certificati europei di cybersicurezza e sugli organismi di valutazione della conformità, ai sensi dell'articolo 58, paragrafo 8, del Regolamento. L'Agenzia, inoltre, ai sensi dell'articolo 58, paragrafo 7, lettere c), d) ed e), del Regolamento:

a) fatto salvo l'articolo 60, paragrafo 3, del Regolamento nonchè quanto stabilito alla lettera b) del presente comma, assiste e sostiene attivamente l'Organismo di accreditamento nel monitoraggio e nella vigilanza delle attività degli organismi di valutazione della conformità ai fini del Regolamento. Le modalità di sostegno ed assistenza dell'Agenzia all'Organismo di accreditamento per l'attività di vigilanza sono disciplinate da apposita convenzione o protocollo di intesa fra i medesimi soggetti;

b) monitora e vigila sulle attività degli organismi di valutazione della conformità pubblici di cui all'articolo 56, paragrafo 5, lettera b), del Regolamento;

c) ove previsto dal sistema di certificazione ai sensi dell'articolo 54, paragrafo 1, lettera f), del Regolamento, autorizza gli organismi di valutazione della conformità a norma dell'articolo 60, paragrafo 3, del Regolamento, e limita, sospende o revoca l'autorizzazione esistente qualora violino le prescrizioni del Regolamento medesimo, dandone notizia all'Organismo di accreditamento.

2. L'Agenzia, nello svolgimento dell'attività di vigilanza di cui al comma 1, opera anche in collaborazione con altre autorità di vigilanza del mercato competenti in Italia e con le autorità di vigilanza degli altri Stati membri ai sensi dell'articolo 58, paragrafo 7, lettere a) ed h), del Regolamento. L'Agenzia esegue l'attività di vigilanza di cui al comma 1 anche in collaborazione con le Forze dell'ordine.

3. L'Agenzia, nell'attività di vigilanza di cui al comma 1, può effettuare, nei confronti degli organismi di valutazione della conformità, dei titolari dei certificati europei di cybersicurezza e degli emittenti le dichiarazioni di conformità UE, indagini ed audit, ottenendo informazioni anche tramite l'accesso ai locali degli organismi di valutazione della conformità o dei titolari dei certificati europei di cybersicurezza, revocare certificati ai sensi del comma 4, irrogare sanzioni pecuniarie ed accessorie ai sensi dell'articolo 10. L'attività di vigilanza dell'Agenzia può prevedere prelievi di prodotti.

4. Nel caso in cui l'Agenzia, in esito alle attività di vigilanza di cui al comma 1, accerti l'emissione di un certificato non conforme, rilasciato ai sensi dell'articolo 56, paragrafi 4, 5, lettera b), o 6, lettere a) e b), del Regolamento, il certificato è sottoposto a revoca:

a) per il livello di affidabilità elevato;

b) per il livello di affidabilità di base o sostanziale nel caso in cui il certificato non conforme sia relativo ad un prodotto TIC, servizio TIC o processo TIC che ha comportato un concreto e dimostrato pregiudizio ad un servizio essenziale ai sensi dell'allegato II del decreto legislativo 18 maggio 2018, n. 65, o a un servizio di comunicazione elettronica ai sensi dell'articolo 2, comma 1, lettera fff), del decreto legislativo 1° agosto 2003, n. 259, o alla salute o all'incolumità personale;

c) se previsto espressamente dallo specifico sistema europeo di certificazione.

5. Nella fattispecie di cui alla lettera a) del comma 4 l'Agenzia provvede direttamente alla revoca del certificato. Nella fattispecie di cui alla lettera b) del comma 4 l'Agenzia chiede all'organismo emittente il certificato di provvedere alla revoca del certificato entro e non oltre cinque giorni e, in caso di inottemperanza, provvede direttamente entro i successivi cinque giorni. Nella fattispecie di cui alla lettera c) del comma 4 si provvede in base alle regole stabilite dal sistema specifico di certificazione.

6. Accertata l'emissione di un certificato non conforme rilasciato ai sensi dell'articolo 56, paragrafi 4, 5, lettera b), o 6, lettere a) e b), del Regolamento, in esito alle attività di vigilanza di cui al comma 1, fatti salvi i casi di revoca di cui alle lettere a), b) o c) del comma 4, l'Agenzia chiede all'organismo che ha emesso il certificato di ripetere in tutto o in parte l'attività di valutazione o integrare l'attività di valutazione con ulteriori verifiche e ricondurre il certificato a conformità entro centoventi giorni o revocare il certificato. In caso di mancata riconduzione a conformità o mancata revoca del certificato non conforme da parte dell'organismo, il certificato decade. La riconduzione a conformità o la revoca del certificato sono divulgate ai sensi dell'articolo 54, paragrafo 1, lettera s), del Regolamento.

7. L'Agenzia, per le prove tecniche nell'ambito delle attività di cui al comma 1, può effettuare valutazioni di sicurezza informatica anche attraverso esperti esterni o laboratori di prova abilitati dall'Agenzia, ai sensi dell'articolo 8, comma 4, e iscritti nell'elenco dei laboratori di prova e degli esperti per le attività di vigilanza nazionale.

8. E' fatto obbligo agli organismi di valutazione della conformità, ai titolari dei certificati europei di cybersicurezza ed agli emittenti delle dichiarazioni di conformità durante l'attività di vigilanza a cui sono sottoposti di cooperare con l'Agenzia nell'attività di verifica sui certificati e sulle dichiarazioni UE da essi emessi. Gli stessi mettono a disposizione, su richiesta dell'Agenzia, tutti i documenti di valutazione necessari per dimostrare la conformità dei certificati e le dichiarazioni oggetto di verifica da parte dell'Agenzia assieme agli strumenti di valutazione eventualmente forniti dal fabbricante o dal fornitore nell'attività di valutazione come indicato nei rapporti di valutazione. L'onere della prova della conformità di certificati e dichiarazioni è in capo agli organismi di valutazione della conformità, ai titolari dei certificati o agli emittenti delle dichiarazioni di conformità.

9. Ai sensi dell'articolo 30, commi 4 e 5, della legge 24 dicembre 2012, n. 234, gli oneri derivanti dall'applicazione dei commi 3, 8 e 9 per i controlli effettuati dall'Agenzia e relativi in particolare all'impiego del personale in forza all'Agenzia, della strumentazione utilizzata nelle prove e dei materiali di consumo e per le missioni e spese generali, sono a carico dell'organismo di valutazione della conformità, del titolare del certificato o dell'emittente della dichiarazione UE di conformità sottoposto all'attività di vigilanza. Nel caso in cui l'attività di vigilanza includa ulteriori spese, tra cui l'utilizzo di laboratori di prova esterni ed eventuali spese di trasporto per prodotti prelevati o sequestrati da sottoporre a verifica, le ulteriori spese sono ugualmente a carico del soggetto sottoposto all'attività di vigilanza. Le somme di cui al presente comma sono determinate e sono da corrispondere ai sensi dell'articolo 13.

1. L'Agenzia rilascia i certificati di cybersicurezza con livello di affidabilità elevato tramite l'Organismo di Certificazione della Sicurezza Informatica (OCSI), di cui all'articolo 60, paragrafo 2, del Regolamento, che si può avvalere di esperti o di laboratori di prova, ai sensi dell'articolo 8, comma 4, abilitati dall'Agenzia ad operare per proprio conto e iscritti nell'elenco dei laboratori di prova e degli esperti per le attività di vigilanza nazionale, ferme restando, per specifici sistemi di certificazione, le possibili modalità di emissione dei certificati alternative ai sensi degli articoli 56, paragrafo 6, lettere a) e b), del Regolamento.

2. Ove uno specifico sistema di certificazione preveda il rilascio dei certificati con livello di affidabilità sostanziale o di base unicamente da parte di un organismo pubblico, ai sensi dell'articolo 56, paragrafo 5, del Regolamento, l'Agenzia rilascia tali certificati attraverso l'organismo di cui al comma 1. Il rilascio può avvenire ad opera di altro organismo di valutazione della conformità pubblico, accreditato dall'Organismo di Accreditamento, monitorato e vigilato dall'Agenzia, ai sensi dell'articolo 58, paragrafo 7, lettera d), del Regolamento, e designato dall'Agenzia ai sensi del provvedimento di cui all'articolo 4, comma 2, salvo diverse disposizioni dello specifico sistema europeo di certificazione.

3. La certificazione della cybersicurezza è volontaria, salvo diversamente specificato dal diritto dell'Unione o dal diritto nazionale, ai sensi dell'articolo 56, paragrafo 2, del Regolamento. In mancanza di un diritto dell'Unione armonizzato, l'Agenzia può adottare, previa consultazione con i portatori di interesse, regolamentazioni tecniche nazionali in cui sia prevista una certificazione obbligatoria nel quadro di un sistema europeo di certificazione della cybersicurezza ai sensi del decreto legislativo del 15 dicembre 2017, n. 223.

4. Ai sensi dell'articolo 30, commi 4 e 5, della legge 24 dicembre 2012, n. 234, gli oneri derivanti dall'applicazione dei commi 1 e 2 del presente articolo per il rilascio dei certificati da parte dell'Agenzia sono a carico del soggetto richiedente la certificazione. Le somme di cui al presente comma sono determinate e sono da corrispondere ai sensi dell'articolo 13.

1. In un sistema di certificazione in cui è autorizzata l'autovalutazione di conformità ai sensi dell'articolo 54, paragrafo 1, lettera e), del Regolamento, i fornitori o fabbricanti di prodotti TIC, servizi TIC o processi TIC possono rilasciare sotto la propria responsabilità dichiarazioni UE di conformità di livello di base per dimostrare il rispetto di requisiti tecnici previsti nel sistema.

2. Il fabbricante o fornitore di prodotti TIC, servizi TIC o processi TIC rende disponibile all'Agenzia, per il periodo stabilito nel corrispondente sistema europeo di certificazione della cybersicurezza ai sensi dell'articolo 54, paragrafo 1, lettera q), del Regolamento, la dichiarazione UE di conformità, la documentazione tecnica e tutte le altre informazioni pertinenti relative alla conformità dei prodotti TIC o servizi TIC al sistema. Una copia della dichiarazione UE di conformità è trasmessa all'Agenzia e all'ENISA.

3. Ove l'Agenzia accerti la non conformità di una dichiarazione UE di conformità in esito alle attività di vigilanza di cui all'articolo 5, comma 1, è fatto obbligo al fabbricante o fornitore emittente di revisionare o revocare la dichiarazione UE di conformità entro trenta giorni dandone comunicazione all'Agenzia e all'ENISA, salvo diversa disposizione dello specifico sistema di certificazione.

4. Il rilascio di una dichiarazione UE di conformità è volontario, salvo diversamente specificato nel diritto dell'Unione o dal diritto nazionale, ai sensi dell'articolo 53, paragrafo 4 del Regolamento. In mancanza di un diritto dell'Unione armonizzato, l'Agenzia può stabilire l'obbligatorietà della dichiarazione UE di conformità nelle fattispecie di cui all'articolo 6, comma 3.

1. L'Organismo di accreditamento, nello svolgimento dei compiti di cui ai paragrafi 1, 2 e 4 dell'articolo 60 del Regolamento, ed in conformità con le disposizioni dello specifico sistema di certificazione, comunica all'Agenzia ed all'ufficio unico di collegamento designato per l'Italia ai sensi dell'articolo 10, comma 3, del regolamento (UE) 2019/1020 del Parlamento europeo e del Consiglio, del 20 giugno 2019, sulla vigilanza del mercato e sulla conformità dei prodotti e che modifica la direttiva 2004/42/CE e i regolamenti (CE) n. 765/2008 e (UE) n. 305/2011, ogni aggiornamento in merito agli organismi di valutazione della conformità accreditati quanto a nuovi rilasci, revoche, sospensioni e limitazioni dei certificati di accreditamento per la successiva notifica da parte dell'Agenzia alla Commissione europea ai sensi dell'articolo 61 del Regolamento.

2. L'Agenzia partecipa con propri rappresentanti alle deliberazioni dell'Organismo di accreditamento in ordine alle attività di cui al comma 1.

3. Qualora un sistema europeo di certificazione stabilisca requisiti specifici o supplementari a norma dell'articolo 54, paragrafo 1, lettera f), del Regolamento, solo gli organismi di valutazione della conformità che soddisfano detti requisiti sono autorizzati dall'Agenzia a svolgere i compiti previsti da tale sistema.

4. In relazione alle attività di vigilanza nazionale e di rilascio dei certificati, l'Agenzia, con provvedimento adottato secondo la procedura di cui all'articolo 5, comma 3, alinea, del decreto del Presidente del Consiglio dei ministri 9 dicembre 2021, n. 223, costituisce, aggiorna e rende pubblici due elenchi di esperti e di laboratori di prova da essa abilitati ad operare rispettivamente ai sensi dell'articolo 5, comma 7, ed ai sensi dell'articolo 6, comma 1, a supporto delle attività di vigilanza e rilascio dei certificati in capo all'Agenzia. Gli esperti e i laboratori di prova inseriti nell'elenco dei soggetti abilitati di cui all'articolo 5, comma 7, non possono effettuare attività di valutazione per l'emissione di certificati con livello di affidabilità sostanziale o di base in ambito nazionale ai sensi dell'articolo 56, paragrafo 4, o paragrafo 5, lettera b), del Regolamento, nè possono essere accreditati come organismi di valutazione della conformità per il rilascio di tali certificati. Con la medesima procedura di cui al primo periodo, sono individuate le modalità per l'abilitazione e l'eventuale rinnovo, l'inserimento, la sospensione e la cancellazione di esperti e laboratori di prova dai suddetti elenchi.

5. Ai sensi dell'articolo 30, commi 4 e 5, della legge 24 dicembre 2012, n. 234, gli oneri derivanti dall'abilitazione di cui al comma 4, le spese per le eventuali attività di autorizzazione di cui al comma 3, e gli eventuali successivi aggiornamenti sono a carico dell'esperto o dell'organismo di valutazione della conformità richiedente l'abilitazione o l'autorizzazione. Le somme di cui al presente comma sono determinate e sono da corrispondere ai sensi dell'articolo 13.

1. Allo scopo di elevare il livello nazionale di cybersicurezza, l'Agenzia può realizzare progetti di ricerca, ivi inclusi quelli per lo sviluppo di software, e di formazione, anche in collaborazione con università, centri di ricerca o laboratori specializzati nel campo della valutazione della sicurezza informatica, anche nel contesto di attività di supporto alla standardizzazione a livello nazionale, europeo ed internazionale.

2. L'Agenzia monitora gli sviluppi nel campo della certificazione della cybersicurezza, anche consultando i portatori di interesse nazionale del settore e scambiando informazioni, esperienze e buone pratiche con la Commissione europea e le altre autorità nazionali della cybersicurezza.

3. Conformemente all'articolo 57 del Regolamento ed in assenza di un sistema europeo di certificazione, l'Agenzia può introdurre sistemi di certificazione nazionali della cybersicurezza, per prodotti TIC, servizi TIC o processi TIC.

1. L'Agenzia, anche ai sensi dell'articolo 7, comma 1, lettera e), del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, in caso di violazione degli obblighi del quadro europeo di certificazione della cybersicurezza, ai sensi degli articoli 58, paragrafo 8, lettera f), e 65 del Regolamento irroga sanzioni pecuniarie ed accessorie, chiedendo la cessazione immediata della violazione. Si applica, in quanto compatibile, la disciplina della legge 24 novembre 1981, n. 689.

2. Salvo che il fatto costituisca reato, l'organismo di valutazione della conformità che emette un certificato di cybersicurezza non conforme è punito con la sanzione del pagamento di una somma da 15.000 euro a 75.000 euro. In caso di omessa revoca di un certificato da parte dell'organismo su richiesta dell'Agenzia ai sensi dell'articolo 5, comma 5, si applica la sanzione del pagamento di una somma da 30.000 euro a 150.000 euro.

3. Salvo che il fatto costituisca reato, il fabbricante o fornitore che emette una dichiarazione UE di conformità volontaria non conforme è punito con la sanzione del pagamento di una somma da 15.000 euro a 75.000 euro. In caso di omessa revisione o revoca di dichiarazione UE di conformità volontaria o obbligatoria ai sensi dell'articolo 7, comma 3, si applica la sanzione del pagamento di una somma da 30.000 euro a 150.000 euro.

4. Salvo che il fatto costituisca reato, in caso di obbligatorietà di una dichiarazione UE di conformità, ai sensi dell'articolo 7, comma 4, o di un certificato di cybersicurezza, ai sensi dell'articolo 6, comma 3, il fabbricante o fornitore che mette a disposizione sul mercato un prodotto TIC o servizio TIC privo di dichiarazione UE di conformità obbligatoria o con dichiarazione UE

di conformità obbligatoria non conforme o in assenza del certificato di cybersicurezza obbligatorio, è punito con la sanzione del pagamento di una somma da 30.000 euro a 150.000 euro. Alla medesima sanzione è assoggettato il fabbricante o fornitore che per la messa a disposizione sul mercato di un prodotto TIC o di un servizio TIC si avvale di un processo TIC privo di dichiarazione UE di conformità obbligatoria o con dichiarazione UE di conformità obbligatoria non conforme o in assenza di certificato di cybersicurezza obbligatorio.

5. Nei casi di cui al comma 4 oppure ove, in esito ad un accertamento di non conformità ai sensi dei commi 4, 5 o 6 dell'articolo 5, sia revocato o decada un certificato obbligatorio per la messa a disposizione sul mercato di un prodotto TIC o di un servizio TIC, l'Agenzia dispone il ritiro del prodotto o l'inibizione del servizio dal mercato a carico esclusivo del fabbricante o del fornitore indicando i tempi ed eventuali modalità per il richiamo dei prodotti già immessi sul mercato o per l'inibizione del servizio;

6. Salvo che il fatto costituisca reato, il fabbricante che non ottempera a quanto prescritto al comma 5 per il richiamo di prodotti già immessi sul mercato è assoggettato alla sanzione del pagamento di una somma da 60.000 euro a 300.000 euro. Nel caso in cui il fabbricante non ottemperi al richiamo di prodotti dal mercato, l'Agenzia, trascorsi sei mesi dalla scadenza fissata, può provvedere, al sequestro dei prodotti in questione dal mercato, a spese del fabbricante.

7. Salvo che il fatto costituisca reato, il fornitore che non ottempera a quanto prescritto al comma 5 per l'inibizione del servizio dal mercato è assoggettato alla sanzione amministrativa da 60.000 euro a 300.000 euro.

8. Salvo che il fatto costituisca reato, Il titolare di un certificato europeo di cybersicurezza che non notifichi, ai sensi dell'articolo 56, paragrafo 8, del Regolamento, eventuali vulnerabilità o irregolarità rilevate in relazione alla sicurezza dei prodotti TIC, servizi TIC o processi TIC certificati è punito con la sanzione del pagamento di una somma da 60.000 euro a 300.000 euro. Alla medesima sanzione è assoggettato l'organismo di valutazione della conformità emittente un certificato di cybersicurezza o il suo titolare ovvero il fornitore o fabbricante emittente una dichiarazione UE di conformità, che dovesse rilevare o venire a conoscenza della presenza di vulnerabilità nel prodotto TIC, servizio TIC o processo TIC certificato o dichiarato conforme, che non siano state riscontrate durante il processo di valutazione, e non ottemperi agli obblighi riguardanti il modo in cui segnalare e trattare le vulnerabilità previste per lo specifico sistema di certificazione ai sensi dell'articolo 54, paragrafo 1, lettera m), del Regolamento.

9. Salvo che il fatto costituisca reato, il fabbricante o fornitore che non renda disponibile, per il periodo stabilito ai sensi dell'articolo 54, paragrafo 1, lettera q), del Regolamento, la dichiarazione UE di conformità o la documentazione tecnica o tutte le altre informazioni pertinenti o non trasmetta una copia della dichiarazione UE di conformità all'Agenzia o ad ENISA ai sensi dell'articolo 53, paragrafo 3, del Regolamento ovvero non renda disponibili pubblicamente una o più delle informazioni previste ai sensi dell'articolo 55 del Regolamento o non rispetti il formato o le procedure di aggiornamento delle stesse informazioni ai sensi dell'articolo 54, paragrafo 1, lettera v), del Regolamento o pubblichi informazioni non corrette sui certificati detenuti o sulle dichiarazioni UE di conformità emesse, è assoggettato alla sanzione del pagamento di una somma da 30.000 euro a 150.000 euro. Alla medesima sanzione è assoggettato il fornitore o fabbricante che non comunichi la revisione o la revoca di una dichiarazione UE di conformità ai sensi dell'articolo 7, comma 3, del presente decreto.

10. Salvo che il fatto costituisca reato, l'organismo di valutazione della conformità che non ottempera agli obblighi di divulgazione dei certificati europei di cybersicurezza rilasciati, modificati o revocati come previsto nell'ambito dello specifico sistema di certificazione, ai sensi dell'articolo 54, paragrafo 1, lettera s), del Regolamento, nonchè secondo le modalità di cui all'articolo 5, comma 6, è assoggettato alla sanzione del pagamento di una somma da 30.000 euro a 150.000 euro. Alla medesima sanzione è assoggettato l'organismo di valutazione della conformità autorizzato dall'Agenzia ai sensi dell'articolo 60, paragrafo 3, del Regolamento, che non specifichi nella procedura per i reclami definita ai sensi dell'articolo 11, comma 2, l'inoltro degli stessi per conoscenza anche all'Agenzia.

11. Salvo che il fatto costituisca reato, nel caso di accertamento di esercizio di organismo di valutazione della conformità senza autorizzazione di cui all'articolo 60, paragrafo 3, del Regolamento si applica la sanzione del pagamento di una somma da 120.000 euro a 600.000 euro e al soggetto non possono essere rilasciate ulteriori autorizzazioni nei successivi tre anni dall'accertamento della violazione. Se l'autorizzazione è scaduta da meno di un anno la sanzione è compresa tra 30.000 euro e 150.000 euro ed il soggetto può richiedere il rilascio di nuova autorizzazione.

12. Salvo che i fatti costituiscano reato, il richiedente di una certificazione che nell'ambito dello svolgimento dell'attività di valutazione e di rilascio dei certificati, scientemente, fornisce dati, informazioni o documentazione falsi o ometta informazioni necessarie per espletare la certificazione, in violazione dell'articolo 54, paragrafo 1, lettera h), e dell'articolo 56, paragrafo 7, del Regolamento, è assoggettato alla sanzione del pagamento di una somma da 90.000 euro a 450.000 euro. Alla medesima sanzione è assoggettato il soggetto che, scientemente, durante le verifiche di vigilanza, a cui è sottoposto, ai sensi dell'articolo 5, comma 8, fornisce dati, informazioni o documentazione falsi.

13. Salvo che il fatto costituisca reato, il fabbricante che viola le condizioni di utilizzo degli eventuali marchi o etichette previste da un sistema europeo di certificazione, ai sensi dell'articolo 54, paragrafo 1, lettera i), del Regolamento, è assoggettato alla sanzione del pagamento di una somma da 30.000 euro a 150.000 euro.

14. Salvo che il fatto costituisca reato, l'organismo di valutazione della conformità che non ottempera agli eventuali obblighi riguardanti la conservazione dei registri di cui all'articolo 54, paragrafo 1, lettera n), del Regolamento, è assoggettato alla sanzione del pagamento di una somma da 45.000 euro a 225.000 euro.

15. L'Agenzia può impartire ordini o intimare diffide ai soggetti che operano in contrasto con quanto previsto dal quadro europeo di certificazione. Ai soggetti che non ottemperano nel termine indicato nell'ordine o nella diffida l'Agenzia commina la sanzione del pagamento di una somma da 200.000 euro ad 1.000.000 di euro. Se le violazioni riguardano provvedimenti adottati dall'Agenzia nei confronti di soggetti con fatturato pari almeno a 200.000.000 euro, si applica a ciascun soggetto interessato una sanzione amministrativa pecuniaria non inferiore allo 0,3 per cento e non superiore all'1,5 per cento del fatturato, restando comunque fermo il limite massimo di 5.000.000 di euro. Come riferimento per il fatturato si assume il valore realizzato dallo stesso soggetto nell'esercizio precedente a quello in cui sia stato impartito l'ordine o sia stata intimata la diffida.

16. Fermo restando il limite massimo di 5.000.000 di euro per la sanzione, i valori minimi e massimi delle sanzioni pecuniarie dal comma 2 al comma 15, sono triplicati, se la violazione ha riguardato un certificato relativo ad un prodotto TIC, ad un servizio TIC o ad un processo TIC rilasciato nell'ambito di un sistema di certificazione destinato, ai sensi dell'articolo 54, paragrafo 1, lettere a) o b), del Regolamento, all'utilizzo con le finalità o nell'ambito di un servizio essenziale ai sensi dell'allegato II del decreto legislativo 18 maggio 2018, n. 65, o di un servizio di comunicazione elettronica ai sensi dell'articolo 2, comma 1, lettera fff), del decreto legislativo 1° agosto 2003, n. 259.

17. I criteri di graduazione nell'irrogazione delle sanzioni pecuniarie sono definiti con successivo provvedimento dell'Agenzia, adottato secondo la procedura di cui all'articolo 5, comma 3, alinea, del decreto del Presidente del Consiglio dei ministri 9 dicembre 2021, n. 223. Nelle more dell'adozione del provvedimento di definizione dei criteri di graduazione si applicano i criteri di cui all'articolo 11 della legge 24 novembre 1981, n. 689.

18. Fermo restando il limite massimo di 5.000.000 di euro per la sanzione, le sanzioni amministrative pecuniarie previste ai commi dal 2 al 14 sono rivalutate ogni cinque anni con provvedimento dell'Agenzia, adottato secondo la procedura di cui all'articolo 5, comma 3, alinea, del regolamento adottato con decreto del Presidente del Consiglio dei ministri 9 dicembre 2021, n. 223, in misura pari all'indice ISTAT dei prezzi al consumo previo arrotondamento all'unità di euro secondo il seguente criterio: se la parte decimale è inferiore a 50 centesimi l'arrotondamento va effettuato per difetto, se è uguale o superiore a 50 centesimi l'arrotondamento va effettuato per eccesso. L'importo della sanzione pecuniaria rivalutato secondo i predetti criteri si applica esclusivamente per le violazioni commesse successivamente alla data di entrata in vigore del provvedimento che lo prevede.

19. L'autorizzazione di un organismo di valutazione della conformità ad operare nel sistema europeo di certificazione ai sensi dell'articolo 60, paragrafo 3, del Regolamento, ove prevista, è sospesa per 6 mesi o revocata nel caso di più di due violazioni del quadro europeo di certificazione rispettivamente in un quinquennio o in un biennio. In caso di revoca dell'autorizzazione, il trasgressore non può ottenere nuova autorizzazione nei successivi cinque anni dal provvedimento di revoca.

20. L'Agenzia notifica alla Commissione europea il quadro sanzionatorio di cui al presente articolo entro sessanta giorni dalla data di entrata in vigore del presente decreto e provvede poi a dare notifica delle eventuali modifiche entro sessanta giorni successivi alle stesse.

1. Le persone fisiche e giuridiche hanno il diritto di presentare un reclamo all'emittente di un certificato europeo di cybersicurezza o all'Agenzia se il reclamo riguarda un certificato europeo di cybersicurezza rilasciato dall'organismo di certificazione dell'Agenzia o da suo organismo di valutazione della conformità che agisce in conformità all'articolo 56, paragrafo 6, del Regolamento. L'Agenzia, ai sensi dell'articolo 58, paragrafo 7, lettera f), del Regolamento, tratta inoltre i reclami degli stessi in relazione alle dichiarazioni UE di conformità di cui all'articolo 7.

2. Avverso le decisioni degli organismi di valutazione della conformità diversi dall'organismo di certificazione ai sensi dell'articolo 6, comma 1, può essere proposta procedura di reclamo a tal fine indicata dagli stessi organismi. Nel caso di autorizzazione ai sensi dell'articolo 60, paragrafo 3, del Regolamento, la procedura di reclamo indicata dall'organismo prevede l'inoltro del reclamo da parte del reclamante oltrechè all'organismo anche per conoscenza all'Agenzia.

3. Avverso le decisioni dell'Agenzia riguardanti le certificazioni oppure le dichiarazioni UE di conformità rilasciate ai sensi dell'articolo 53 del Regolamento può essere proposta procedura di reclamo. Il reclamante formula istanza all'Agenzia, identificando il certificato di cybersicurezza o la dichiarazione UE di conformità oggetto del reclamo, le ragioni del reclamo e le azioni correttive che ritiene necessarie.

4. L'Agenzia, a seguito di un reclamo ai sensi del comma 3, informa il reclamante dello stato del procedimento e della decisione adottata e informa il reclamante del diritto a un ricorso giurisdizionale effettivo. L'Agenzia risponde ai reclami entro novanta giorni dal ricevimento dell'istanza. In caso di mancata risposta ad un reclamo inoltrato all'Agenzia entro i termini previsti, lo stesso è da intendersi rigettato.

1. Fatti salvi eventuali ricorsi amministrativi o altri ricorsi extragiudiziali, le persone fisiche e giuridiche possono proporre impugnazione avverso:

a) le decisioni assunte dall'Agenzia o dagli organismi di valutazione della conformità, anche, se del caso, in relazione al rilascio improprio, al mancato rilascio o al riconoscimento di un certificato europeo di cybersicurezza detenuto da tali persone fisiche e giuridiche;

b) il mancato o parziale accoglimento di un reclamo presentato all'Agenzia o agli organismi di valutazione della conformità.

2. A norma del presente articolo, i ricorsi contro le decisioni dell'Agenzia sono presentati dinanzi al tribunale amministrativo regionale del Lazio e quelli contro le decisioni degli altri organismi di valutazione della conformità al tribunale amministrativo del luogo ove è ubicata la sede di tali organismi.

1. Le attività di vigilanza di cui all'articolo 5, comma 1, di certificazione di cui all'articolo 6, comma 1, di autorizzazione di cui all'articolo 8, comma 3, di abilitazione di cui all'articolo 8, comma 4, sono sottoposte a tariffa, da calcolarsi sulla base dei costi effettivi dei servizi resi. I relativi proventi sono versati ad apposito capitolo dell'entrata del bilancio dello Stato per essere successivamente riassegnati, con decreto del Ministro dell'economia e delle finanze sul pertinente capitolo dello stato di previsione della spesa del Ministero dell'economia e delle finanze, per incrementare la dotazione degli appositi capitoli dell'Agenzia. Con decreto del Presidente del Consiglio dei ministri, di concerto con il Ministro dell'economia e delle finanze, su proposta del Direttore generale dell'Agenzia, sono determinate le tariffe e modalità di riscossione.

2. Le spese per l'impiego di esperti o laboratori abilitati dall'Agenzia per le attività di vigilanza di cui all'articolo 5, comma 1, sono calcolate ai sensi del decreto di cui al comma 1.

3. Gli introiti derivanti dalle sanzioni pecuniarie di cui all'articolo 10 sono versati ad apposito capitolo dell'entrata del bilancio dello Stato per essere successivamente riassegnati con decreto del Ministro dell'economia e delle finanze sul pertinente capitolo dello stato di previsione della spesa del Ministero dell'economia e delle finanze, per incrementare la dotazione dei capitoli del bilancio dell'Agenzia destinati alle attività di ricerca e formazione concernenti la certificazione della cybersicurezza di prodotti TIC, servizi TIC e processi TIC di cui all'articolo 9, comma 1.

1. Agli oneri derivanti dall'articolo 4, comma 3, pari a 657.500 euro per l'anno 2022, 592.500 euro per l'anno 2023 e 637.500 euro annui a decorrere dall'anno 2024 si provvede mediante corrispondente riduzione del Fondo per il recepimento della normativa europea di cui all'articolo 41-bis della legge 24 dicembre 2012, n. 234.

2. Le spese sostenute dall'Agenzia per l'adeguamento dei sistemi informativi all'articolo 4, comma 3, sono coerenti con il Piano triennale per l'informatica nella pubblica amministrazione ai sensi dei commi da 512 a 520, dell'articolo 1 della legge 28 dicembre 2015, n. 208.

3. Dall'attuazione del presente decreto, ad esclusione dell'articolo 4, comma 3, non devono derivare nuovi o maggiori oneri a carico della finanza pubblica e l'Agenzia provvede con le risorse umane, strumentali e finanziarie previste a legislazione vigente.

4. Il Ministro dell'economia e delle finanze è autorizzato ad apportare le occorrenti variazioni di bilancio negli stati di previsione interessati in attuazione del presente articolo e dell'articolo 13.

1. Ai nuovi sistemi europei di certificazione che sono adottati dalla Commissione europea ai sensi dell'articolo 49, paragrafo 7, del Regolamento e che non siano autonomamente applicabili nel quadro di certificazione nazionale vigente, è data attuazione modificando o integrando il provvedimento di cui all'articolo 4, comma 2, in ogni aspetto operativo necessario per dare piena attuazione al nuovo sistema europeo di certificazione.

Il presente decreto, munito del sigillo dello Stato, sarà inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.

Dato a Roma, addì 3 agosto 2022

MATTARELLA

DRAGHI, Presidente del Consiglio dei ministri

GIORGETTI, Ministro dello sviluppo economico

DI MAIO, Ministro degli affari esteri e della cooperazione internazionale

FRANCO, Ministro dell'economia e delle finanze

CARTABIA, Ministro della giustizia

LAMORGESE, Ministro dell'interno

GUERINI, Ministro della difesa

COLAO, Ministro per l'innovazione tecnologica e la transizione digitale

Visto, il Guardasigilli: CARTABIA