PRESIDENZA DEL CONSIGLIO DEI MINISTRI – Decreto 01 settembre 2022

Modalità e termini per assicurare il trasferimento delle funzioni, dei beni strumentali e della documentazione dall’Agenzia per l’Italia digitale e dal Dipartimento per la trasformazione digitale all’Agenzia per la cybersicurezza nazionale

Art. 1

Definizioni

1. Ai fini del presente decreto, si intende per:

a) AgID, l’Agenzia per l’Italia digitale, di cui all’art. 19 del decreto-legge 22 giugno 2012, n. 83, convertito, con modificazioni, dalla legge 7 agosto 2012, n. 134;

b) Agenzia, l’Agenzia per la cybersicurezza nazionale, di cui al decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109;

c) CAD, il Codice dell’Amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82;

d) Dipartimento, il Dipartimento per la trasformazione digitale di cui si avvale il Ministro per l’innovazione tecnologica e la transizione digitale, istituito con il decreto del Presidente del Consiglio dei ministri 19 giugno 2019;

e) Decreto «Cybersicurezza», il decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, recante disposizioni urgenti in materia definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale;

f) Piano triennale, il piano triennale per l’informatica nella pubblica amministrazione, di cui all’art. 14-bis, comma 2, lettera b), del CAD;

g) Regolamento «Cloud della PA», il regolamento, recante i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la PA e le caratteristiche di qualità, sicurezza, performance e scalabilità, portabilità dei servizi cloud per la pubblica amministrazione, le modalità di migrazione nonché le modalità di qualificazione dei servizi cloud per la pubblica amministrazione, adottato ai sensi degli articoli 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, e 17, comma 6, del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109.

Art. 2

Oggetto

1. Il presente decreto disciplina, ai sensi dell’art. 17, comma 5, del decreto «Cybersicurezza», i termini e le modalità per il trasferimento all’Agenzia, ai sensi dell’art. 7 del medesimo decreto-legge, delle funzioni in materia di cybersicurezza già assicurate dall’AgID e dal Dipartimento, nonché le procedure per il trasferimento dei beni strumentali e delle risorse finanziarie idonee ad assicurare la prima operatività dell’Agenzia.

2. Il presente decreto fissa, altresì, ai sensi dell’art. 17, comma 5-bis, del decreto «Cybersicurezza» i termini e le modalità per il trasferimento in capo all’Agenzia dei rapporti giuridici attivi e passivi relativi alle funzioni trasferite.

Art. 3

Trasferimento di funzioni

1. A decorrere dalla data di efficacia del presente decreto, vengono trasferite all’Agenzia, ai sensi dell’art. 7 del decreto «Cybersicurezza», tutte le funzioni in materia di cybersicurezza, già assicurate dall’AgID e dal Dipartimento, ai sensi delle disposizioni vigenti.

2. In particolare, l’Agenzia assume, ai sensi dell’art. 7, comma 1, lettera m), del medesimo decreto «Cybersicurezza» i compiti in materia di cybersicurezza di cui all’art. 51 del CAD, adotta le linee guida contenenti le regole tecniche di cybersicurezza ai sensi dell’art. 71 del CAD e provvede alla qualificazione dei servizi cloud per la pubblica amministrazione, nei termini di cui all’art. 8 del presente decreto. L’Agenzia, inoltre, assume tutte le funzioni attribuite alla Presidenza del Consiglio dei ministri in materia di perimetro di sicurezza nazionale cibernetica ai sensi dello stesso art. 7, comma 1, lettera h), del decreto «Cybersicurezza».

3. Ai fini dell’approvazione del Piano triennale di cui all’art. 14-bis del CAD, l’Agenzia assicura, per gli ambiti di competenza, gli opportuni raccordi con l’AgID, anche in relazione agli obiettivi della Strategia nazionale di cybersicurezza di cui all’art. 6 del decreto legislativo 18 maggio 2018, n. 65.

Art. 4

Trasferimento di beni strumentali

1. Entro sessanta giorni dalla data di efficacia del presente decreto sono trasferiti all’Agenzia i beni dell’AgID, individuati nell’allegato A al presente decreto.

Art. 5

Trasferimento della documentazione

1. Il trasferimento all’Agenzia della documentazione, anche classificata, relativa alle funzioni oggetto del trasferimento, si conclude entro trenta giorni dalla data di efficacia del presente decreto.

2. Il trasferimento di cui al comma 1 avviene nel rispetto della normativa vigente e, in particolare, delle disposizioni in materia di tutela delle informazioni classificate.

Art. 6

Comunicazione in materia di personale

1. Degli inquadramenti effettuati ai sensi dell’art. 17, comma 9, ultimo periodo, del decreto «Cybersicurezza», è data comunicazione al Ministero dell’economia e delle finanze da parte dell’AgID.

Art. 7

Disposizione finanziaria

1. Entro trenta giorni dalla data di efficacia del presente decreto, l’AgID e il Dipartimento svolgono una ricognizione dei residui di competenza e di cassa, dei rapporti giuridici attivi e passivi relativi alle funzioni trasferite e dei rapporti contrattuali in corso, comunque connessi allo svolgimento delle funzioni oggetto di trasferimento.

2. La ricognizione è comunicata al Ministero dell’economia e delle finanze e all’Agenzia entro dieci giorni a decorrere dalla scadenza del termine di cui al comma 1.

3. Il Ministro dell’economia e delle finanze, entro trenta giorni dalla data di comunicazione di cui al comma 2, provvede, con proprio decreto, ad effettuare le occorrenti variazioni di bilancio, in termini di residui, di competenza e di cassa, ai sensi dell’art. 18, comma 3, del decreto «Cybersicurezza». A decorrere dalla data di efficacia del decreto di cui al presente comma, l’Agenzia subentra, alle stesse condizioni, nei rapporti giuridici attivi e passivi relativi alle funzioni trasferite e nei rapporti contrattuali in corso comunque connessi allo svolgimento delle funzioni oggetto di trasferimento, fatta salva l’eventuale determinazione dell’Agenzia di stipulare, per le medesime finalità, nuovi contratti.

4. Fino alla data di subentro dell’Agenzia nei rapporti di cui al comma 1, l’AgID e il Dipartimento sono autorizzati ad adottare gli atti contabili necessari su richiesta dell’Agenzia.

Art. 8

Qualificazione dei servizi cloud per la pubblica amministrazione

1. L’Agenzia subentra ad AgID nella qualificazione dei servizi cloud per la pubblica amministrazione secondo il processo definito all’art. 13 del regolamento «Cloud della PA» il trentesimo giorno successivo a quello della pubblicazione da parte della stessa Agenzia delle modalità di presentazione delle domande di qualificazione, di cui all’art. 12 del medesimo regolamento «Cloud della PA» e comunque non oltre il 18 gennaio 2023.

2. Sino al subentro dell’Agenzia ai sensi del comma 1, l’AgID continua a qualificare i servizi cloud con la piattaforma Cloud Marketplace secondo le modalità attualmente previste.

3. Le qualificazioni rilasciate dall’AgID, in corso di validità all’atto del subentro dell’Agenzia nelle attività di cui al presente articolo, conservano la loro validità fino al rilascio di una nuova qualificazione da parte dell’Agenzia e comunque non oltre il termine di cui all’art. 8, comma 4, del regolamento «Cloud della PA».

4. Sino al subentro dell’Agenzia ai sensi del comma 1, l’AgID provvede al mantenimento della piattaforma Cloud Marketplace, consentendone l’accesso ai soggetti interessati.

Art. 9

Disposizioni finali

1. Il presente decreto ha efficacia dal giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana e sarà inviato agli organi di controllo secondo le vigenti disposizioni.

Allegato A

(art. 4)

Beni oggetto di trasferimento

1) Knowledge Base del sistema MISP per la diffusione degli IoC;

2) codice sorgente e documentazione del tool di Cyber Risk Assessment, completo del data base degli utenti già registrati e relativi dati;

3) codice sorgente ed eventuale documentazione del tool di autoverifica HTTPS/CMS.