Draghi allarga il golden power. 5G, software russi e le altre novità

Il governo Draghi amplia i poteri del golden power. Nel decreto legge anti-rincari si introducono sostanziose modifiche (e altre se ne annunciano), a partire dai settori coperti dai poteri speciali. Non più solo comunicazioni, energia, trasporti, ma anche “salute, agroalimentare e finanziario, ivi incluso quello creditizio e assicurativo”, andando incontro alle richieste di molti di considerare strategiche aziende che operano negli ambiti più toccati dalla pandemia, dalle scalate finanziarie e dall’attuale conflitto.

Per queste aziende, chi vorrà comprare una quota “a qualsiasi titolo” dovrà notificare l’operazione al governo in caso di acquisti entro soglie azionarie che sono state aggiornate da questo stesso decreto.

Per gestire questa nuova e maggiore mole di lavoro sarà istituito un nucleo di valutazione e analisi strategica presso il Dipartimento per il coordinamento amministrativo della Presidenza del Consiglio. Ne faranno parte “dieci componenti in possesso di specifica ed elevata competenza in materia giuridica, economica e nelle relazioni internazionali”.

Si introduce anche la possibilità di una “prenotifica” che consenta l’esame da parte del Gruppo di coordinamento. Si potrà anche chiedere una “valutazione preliminare sulla applicabilità” della disciplina e sulla “autorizzabilità dell’operazione”.

Molto rilevante il capitolo dedicato a 5G, cloud e altre attività di rilevanza strategica per il sistema di difesa e sicurezza nazionale. In questo campo saranno predisposti dpcm dedicati, di concerto con i ministri competenti, per individuare “ulteriori beni, rapporti, attività e tecnologie rilevanti ai fini della sicurezza cibernetica, ivi inclusi quelli relativi alla tecnologia cloud”. Una formulazione che tiene conto della velocità di aggiornamento di queste tecnologie, che non possono essere ricomprese tutte in un testo di legge, pena la sua rapida obsolescenza.

Sono previsti nuovi adempimenti per le società “ad alta intensità tecnologica” che operano in questo campo: dovranno presentare un piano annuale nel quale specificare molti elementi: “il settore interessato dalla notifica; dettagliati dati identificativi del soggetto notificante; il programma di acquisti; dettagliati dati identificativi dei relativi, anche potenziali, fornitori; dettagliata descrizione, comprensiva delle specifiche tecniche, dei beni, dei servizi e delle componenti ad alta intensità tecnologica funzionali alla progettazione, alla realizzazione, alla manutenzione e alla gestione delle attività di cui al comma 1” (ovvero banda larga, 5G, cloud e attività e tecnologie rilevanti ai fini della sicurezza cibernetica).

Questo piano può essere aggiornato anche in corso d’anno, in particolare in presenza di “possibili fattori di vulnerabilità, che potrebbero compromettere l’integrità e la sicurezza delle reti, dei dati che vi transitano o dei sistemi”.

Per evitare queste vulnerabilità, i poteri speciali sono esercitati, come già ora, nella forma dell’imposizione di specifiche prescrizioni o condizioni. Ma se le prescrizioni o condizioni non risultano sufficienti ad assicurare la tutela dei citati interessi, “il Governo, tenendo conto dei contenuti del piano notificato, dell’obsolescenza, del costo e dei tempi di sostituzione degli apparati e dell’esigenza di non rallentare lo sviluppo della tecnologia 5G o di altre tecnologie nel Paese, nel rispetto dei principi di proporzionalità e adeguatezza, approva, in tutto o in parte, il piano per un periodo temporale, anche limitato, indicando un termine per l’eventuale sostituzione di determinati beni o servizi ovvero non approva il piano esercitando il potere di veto”.

Infine, si parla di “Rafforzamento della disciplina cyber” e si fa esplicita menzione delle “aziende produttrici di prodotti e servizi tecnologici di sicurezza informatica legate alla Federazione Russa” che “non siano in grado di fornire servizi e aggiornamenti ai propri prodotti appartenenti alle categorie individuate, in conseguenza della crisi in Ucraina”. Il riferimento all’antivirus Kaspersky è chiaro, e si ordina alle amministrazioni che usano software russo di procedere “tempestivamente alla diversificazione dei prodotti in uso”.

 

Qui di seguito i due articoli più rilevanti, il 27 e 28.

***

 

ART. 27

(Ridefinizione dei poteri speciali in materia di comunicazione elettronica a banda larga basati sulla tecnologia 5G e cloud)

1. L’articolo 1-bis del decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, è sostituito dal seguente:

“Art. 1-bis

Poteri speciali inerenti le reti di telecomunicazione elettronica a banda larga con tecnologia 5G, basati sulla tecnologia cloud e altri attivi
1. Ai fini dell’esercizio dei poteri speciali di cui al presente articolo, costituiscono attività di rilevanza strategica per il sistema di difesa e sicurezza nazionale i servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G. Ulteriori beni, rapporti, attività e tecnologie rilevanti ai fini della sicurezza cibernetica, ivi inclusi quelli relativi alla tecnologia cloud, possono essere individuati con uno o più decreti del Presidente del Consiglio dei ministri, di concerto con il Ministro per lo sviluppo economico, il Ministro dell’interno, il Ministro della difesa, il Ministro per gli affari esteri e la cooperazione internazionale, il Ministro per l’innovazione tecnologica e la

transizione digitale, ove nominato, e con gli altri Ministri competenti per settore, e sentita l’Agenzia per la cybersicurezza nazionale, anche in deroga all’articolo 17 della legge 23 agosto 1988, n. 400, previo parere delle Commissioni parlamentari competenti, che è reso entro trenta giorni, decorsi i quali i decreti sono adottati anche in mancanza di parere.

2. Fermi gli obblighi previsti ai sensi del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, le imprese che, anche attraverso contratti o accordi, intendano acquisire, a qualsiasi titolo, beni o servizi relativi alla progettazione, alla realizzazione, alla manutenzione e alla gestione delle attività di cui al comma 1, ovvero componenti ad alta intensità tecnologica funzionali alla predetta realizzazione o gestione, notificano, prima di procedere alla predetta acquisizione, alla Presidenza del Consiglio dei ministri un piano annuale nel quale sono contenuti: il settore interessato dalla notifica; dettagliati dati identificativi del soggetto notificante; il programma di acquisti; dettagliati dati identificativi dei relativi, anche potenziali, fornitori; dettagliata descrizione, comprensiva delle specifiche tecniche, dei beni, dei servizi e delle componenti ad alta intensità tecnologica funzionali alla progettazione, alla realizzazione, alla manutenzione e alla gestione delle attività di cui al comma 1; un’informativa completa sui contratti in corso e sulle prospettive di sviluppo della rete 5G, ovvero degli ulteriori sistemi e attivi di cui al comma 1; ogni ulteriore informazione funzionale a fornire un dettagliato quadro delle modalità di sviluppo dei sistemi di digitalizzazione del notificante, nonché dell’esatto adempimento alle condizioni e alle prescrizioni imposte a seguito di precedenti notifiche; un’informativa completa relativa alle eventuali comunicazioni effettuate ai sensi dell’articolo 1, comma 6, lettera a), del decreto-legge 21 settembre 2019, n. 105, ai fini dello svolgimento delle verifiche di sicurezza da parte del Centro di valutazione e certificazione nazionale (CVCN), inclusiva dell’esito della valutazione, ove disponibile, e delle relative prescrizioni, qualora imposte. Con uno dei decreti di cui al comma 1, ovvero con diverso decreto adottato con il medesimo procedimento, possono altresì essere individuati ulteriori contenuti del piano annuale, eventuali ulteriori criteri e modalità con cui procedere alla notifica del medesimo piano, oltre ad eventuali tipologie di attività escluse dall’obbligo di notifica, anche in considerazione delle ridotte dimensioni dell’operazione.
3. La notifica di cui di cui al comma 2 è trasmessa annualmente, prima di procedere all’attuazione del piano, salva la possibilità di aggiornarlo in corso di anno, con cadenza quadrimestrale. Entro trenta giorni dalla notifica, con decreto del Presidente del Consiglio dei ministri, adottato su conforme delibera del Consiglio dei ministri, è approvato il piano annuale di cui al comma 2, previa eventuale imposizione di prescrizioni o condizioni, ovvero ne è negata l’approvazione con l’esercizio del potere di veto. Salvo diversa previsione nel decreto di approvazione del piano, rimane ferma l’efficacia dei decreti del Presidente del Consiglio dei ministri già adottati alla data di entrata in vigore del presente articolo. Se è necessario svolgere approfondimenti riguardanti aspetti tecnici anche relativi alla valutazione di possibili fattori di vulnerabilità, che potrebbero compromettere l’integrità e la sicurezza delle reti, dei dati che vi transitano o dei sistemi, il termine di trenta giorni previsto dal presente comma può essere prorogato fino a venti giorni, prorogabili ulteriormente di venti giorni, per una sola volta, in casi di particolare complessità. Se nel corso dell’istruttoria si rende necessario richiedere informazioni al notificante, tale termine è sospeso, per una sola volta, fino al ricevimento delle informazioni richieste, che sono rese entro il termine di dieci giorni. Se si rende necessario formulare richieste istruttorie a soggetti terzi, il predetto termine di trenta giorni è sospeso, per una sola volta, fino al ricevimento delle informazioni richieste, che sono rese entro il termine di venti giorni. Le richieste di informazioni e le richieste istruttorie a soggetti terzi successive alla prima non sospendono i termini. In caso di incompletezza della notifica, il termine di trenta giorni previsto dal presente comma decorre dal ricevimento delle

informazioni o degli elementi che la integrano. Decorsi i predetti termini, il piano si intende approvato.

4. I poteri speciali sono esercitati nella forma dell’imposizione di specifiche prescrizioni o condizioni ogniqualvolta ciò sia sufficiente ad assicurare la tutela degli interessi essenziali della difesa e della sicurezza nazionale. A tal fine, sono oggetto di valutazione anche gli elementi indicanti la presenza di fattori di vulnerabilità che potrebbero compromettere l’integrità e la sicurezza delle reti e dei dati che vi transitano, compresi quelli individuati sulla base dei principi e delle linee guida elaborati a livello internazionale e dall’Unione europea. Se le prescrizioni o condizioni non risultano sufficienti ad assicurare la tutela dei citati interessi, il Governo, tenendo conto dei contenuti del piano notificato, dell’obsolescenza, del costo e dei tempi di sostituzione degli apparati e dell’esigenza di non rallentare lo sviluppo della tecnologia 5G o di altre tecnologie nel Paese, nel rispetto dei principi di proporzionalità e adeguatezza, approva, in tutto o in parte, il piano per un periodo temporale, anche limitato, indicando un termine per l’eventuale sostituzione di determinati beni o servizi ovvero non approva il piano esercitando il potere di veto.
5. Salvo quanto previsto dal presente comma, se il soggetto notificante inizia l’esecuzione di contratti o accordi, successivi all’entrata in vigore del presente articolo, compresi nella notifica prima che sia decorso il termine per l’approvazione del piano, il Governo può ingiungere all’impresa, stabilendo il relativo termine, di ripristinare a proprie spese la situazione anteriore all’esecuzione del predetto contratto o accordo. Salvo che il fatto costituisca reato, chiunque non osserva gli obblighi di notifica di cui al presente articolo ovvero le disposizioni contenute nel provvedimento di esercizio dei poteri speciali è soggetto alla sanzione amministrativa pecuniaria fino al tre per cento del fatturato del soggetto tenuto alla notifica. I contratti eventualmente stipulati in violazione delle prescrizioni o delle condizioni contenute nel provvedimento di esercizio dei poteri speciali sono nulli. Il Governo può altresì ingiungere all’impresa, stabilendo il relativo termine, di ripristinare a proprie spese la situazione anteriore alla violazione, applicando una sanzione amministrativa pecuniaria sino a un dodicesimo di quella prevista al periodo precedente per ogni mese di ritardo nell’adempimento, commisurata al ritardo. Analoga sanzione può essere applicata per il ritardo nell’adempimento dell’ingiunzione di cui al primo periodo del presente comma. Nei casi di violazione degli obblighi di notifica di cui al presente articolo, anche in assenza della notifica, la Presidenza del Consiglio dei ministri può avviare d’ufficio il procedimento ai fini dell’eventuale esercizio dei poteri speciali. A tale scopo, trovano applicazione i termini e le norme procedurali previsti dal presente articolo. Il termine di trenta giorni di cui al comma 3 decorre dalla conclusione del procedimento di accertamento della violazione dell’obbligo di notifica.
6. Per l’esercizio dei poteri speciali di cui al presente articolo il gruppo di coordinamento per l’esercizio dei poteri speciali è composto dai rappresentanti della Presidenza del Consiglio dei ministri, del Ministero dello sviluppo economico, del Ministero dell’economia e delle finanze, del Ministero dell’interno, del Ministero della difesa, del Ministero per gli affari esteri e la cooperazione internazionale, dal Ministro per l’innovazione tecnologica e la transizione digitale, ove previsto, nonché dai rappresentanti dell’Agenzia per la cybersicurezza nazionale. Il gruppo di coordinamento si avvale anche del Centro di valutazione e certificazione nazionale (CVCN), istituito presso l’Agenzia per la cybersicurezza nazionale, e delle articolazioni tecniche dei Ministeri dell’interno e della difesa, per le valutazioni tecniche della documentazione relativa al piano annuale di cui al comma 2, e ai suoi eventuali aggiornamenti, propedeutiche all’esercizio dei poteri speciali e relative ai beni e alle componenti ad alta intensità tecnologica funzionali alla progettazione, alla realizzazione, alla manutenzione e alla gestione delle attività di cui al comma

1 nonché ad altri possibili fattori di vulnerabilità che potrebbero compromettere l’integrità e la sicurezza delle reti, dei dati che vi transitano o dei sistemi.

7. Le attività di monitoraggio, tese alla verifica dell’osservanza delle prescrizioni e delle condizioni impartite con il provvedimento di esercizio dei poteri speciali, alla analisi della relativa adeguatezza e alla verifica dell’adozione di adeguate misure, anche tecnologiche, attuative delle medesime prescrizioni o condizioni sono svolte da un comitato composto da uno o più rappresentanti della Presidenza del Consiglio dei ministri, del Ministero dello sviluppo economico, del Ministero per l’innovazione tecnologica e la transizione digitale, o, se non nominato della struttura della Presidenza del Consiglio dei ministri competente per l’innovazione tecnologica e la digitalizzazione, dell’Agenzia per la cybersicurezza nazionale. Per le attività di monitoraggio, il comitato si avvale anche del Centro di valutazione e certificazione nazionale (CVCN), istituito presso l’Agenzia per la cybersicurezza nazionale e delle articolazioni tecniche dei Ministeri dell’interno e della difesa. Ai lavori del comitato di monitoraggio possono essere chiamati a partecipare altri rappresentanti dei Ministeri di cui al comma 6. Al fine del concreto esercizio delle attività di monitoraggio il soggetto interessato comunica con la periodicità indicata con il provvedimento di esercizio dei poteri speciali, ogni attività esecutiva posta in essere, ivi inclusa la stipulazione dei contratti ad essa riferiti, fornendo ogni opportuno dettaglio tecnico ed evidenziando le ragioni idonee ad assicurare la conformità della medesima al piano approvato ai sensi del comma 3. Il soggetto interessato trasmette altresì, una relazione periodica semestrale sulle attività in corso. È fatta salva la possibilità per il comitato di monitoraggio di disporre ispezioni e verifiche tecniche, anche con le modalità di cui all’articolo 2-bis, relativamente ai beni e alle componenti ad alta intensità tecnologica funzionali alla progettazione, alla realizzazione, alla manutenzione e alla gestione delle attività di cui al comma 1 nonché ad altri possibili fattori di vulnerabilità che potrebbero compromettere l’integrità e la sicurezza delle reti, dei dati che vi transitano o dei sistemi, oggetto del provvedimento di esercizio dei poteri speciali. L’inosservanza delle prescrizioni o delle condizioni contenute nel provvedimento di approvazione ovvero qualsiasi altra circostanza idonea a incidere sul provvedimento approvativo è segnalata al gruppo di coordinamento dell’esercizio dei poteri speciali di cui al comma 6, il quale può proporre al Consiglio dei ministri l’applicazione delle sanzioni previste dal comma 7, la revoca o la modifica del provvedimento autorizzativo e il divieto di esercizio delle attività funzionali alla progettazione, alla realizzazione, alla manutenzione e alla gestione delle attività di cui al comma 1.

8.Con decreto del Presidente del Consiglio dei ministri, sentito il Gruppo di coordinamento costituito ai sensi del comma 6 del presente articolo, anche in deroga all’articolo 17 della legge 23 agosto 1988, n. 400, possono essere individuate misure di semplificazione delle modalità di notifica, dei termini e delle procedure relativi all’istruttoria ai fini dell’eventuale esercizio dei poteri di cui al presente articolo.”.

2. In sede di prima applicazione, il piano di cui al comma 2 dell’articolo 1-bis, del citato decreto- legge n. 21 del 2012, come modificato dal presente articolo, include altresì l’informativa completa sui contratti o sugli accordi relativi ai servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G già autorizzati. Ferma l’efficacia dei decreti del Presidente del Consiglio dei ministri già adottati ai sensi dell’articolo 1-bis del decreto legge n. 21 del 2012, i procedimenti in corso alla data di entrata in vigore del presente decreto sono dichiarati estinti dal predetto gruppo di coordinamento e il relativo esame è effettuato in sede di valutazione del piano annuale, fermo restando quanto previsto dai commi 3 e 5 dell’art. 1-bis del decreto legge n. 21 del 2012.
3. Dalla data di entrata in vigore del presente articolo è abrogato l’articolo 16, comma 10, del decreto- legge 14 giugno 2021 n. 82, convertito, con modificazioni, in legge 4 agosto 2021 n. 109.

CAPO II
Cybersicurezza delle reti, dei sistemi informativi e dei servizi informatici e degli approvvigionamenti

ART. 28

(Rafforzamento della disciplina cyber)

1. Al fine di prevenire pregiudizi alla sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, derivanti dal rischio che le aziende produttrici di prodotti e servizi tecnologici di sicurezza informatica legate alla Federazione Russa non siano in grado di fornire servizi e aggiornamenti ai propri prodotti appartenenti alle categorie individuate al comma 3, in conseguenza della crisi in Ucraina, le medesime amministrazioni procedono tempestivamente alla diversificazione dei prodotti in uso.
2. Le stazioni appaltanti, che procedono ai sensi del comma 1, provvedono all’acquisto di un ulteriore prodotto o servizio tecnologico di sicurezza informatica di cui al comma 3 e connessi servizi di supporto mediante gli strumenti di acquisto messi a disposizione dalle centrali di committenza, ovvero, laddove non sussistano o non siano comunque disponibili nell’ambito di tali strumenti, ai sensi dell’articolo 63, comma 1, del decreto legislativo 16 aprile 2016, n. 50. Si applicano le disposizioni di cui al comma 5, secondo, terzo e quarto periodo del medesimo articolo 63.
3. Le categorie di prodotti e servizi di cui al comma 1 sono indicate con circolare dell’Agenzia per la cybersicurezza nazionale, tra quelle volte ad assicurare le seguenti funzioni di sicurezza:
   a) sicurezza dei dispositivi (endpoint security), ivi compresi applicativi antivirus, antimalware ed “endpoint detection and response” (EDR);
4. b) “web application firewall” (WAF);
   Dall’attuazione dei commi 1 e 2 non derivano effetti che possano costituire presupposto per l’azione di responsabilità di cui all’articolo 1 della legge 14 gennaio 1994, n. 20.
   5. Agli oneri derivanti dall’attuazione del presente articolo, pari ad euro _________, si provvede mediante corrispondente riduzione …….
   6. Il Ministro dell’economia e delle finanze è autorizzato ad apportare, con propri decreti, le occorrenti variazioni di bilancio.
   7. All’articolo 5, comma 1, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, dopo le parole “fattore di rischio o alla sua mitigazione,” sono inserite le seguenti: “in deroga ad ogni disposizione vigente, nel rispetto dei principi generali dell’ordinamento giuridico e” e, in fine, sono aggiunti i seguenti periodi: “Laddove nei provvedimenti di cui al presente comma sia recata deroga alle leggi vigenti anche ai fini delle ulteriori necessarie misure correlate alla disattivazione o all’interruzione, gli stessi provvedimenti devono contenere l’indicazione delle principali norme a cui si intende derogare e tali deroghe devono essere specificamente motivate. I provvedimenti di cui al presente comma non sono soggetti al controllo preventivo di legittimità di cui all’articolo 3 della legge 14 gennaio 1994, n. 20.”.
5. Al fine di consentire il più rapido avvio delle attività strumentali alla tutela della sicurezza nazionale nello spazio cibernetico, all’articolo 12 del decreto-legge 14 giugno 2021, n. 82, convertito,

con modificazioni, dalla legge 4 agosto 2021, n. 109, è aggiunto, in fine, il seguente comma: “8-bis. In relazione alle assunzioni a tempo determinato di cui al comma 2, lettera b), i relativi contratti per lo svolgimento delle funzioni volte alla tutela della sicurezza nazionale nello spazio cibernetico attribuite all’Agenzia stessa, possono prevedere una durata massima di 4 anni, rinnovabile per periodi non superiori ad ulteriori complessivi quattro anni. Delle assunzioni e dei rinnovi disposti ai sensi del presente comma è data comunicazione al COPASIR nell’ambito della relazione di cui all’articolo 14, comma 2.”.