Decreto legge 21.03.2022, n. 21
Titolo IV - Rafforzamento dei presidi per la sicurezza, la difesa nazionale e per le reti di comunicazione elettronica
Capo II - Cybersicurezza delle reti, dei sistemi informativi e dei servizi informatici e approvvigionamento di materie prime critiche
1. Al fine di prevenire pregiudizi alla sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, derivanti dal rischio che le aziende produttrici di prodotti e servizi tecnologici di sicurezza informatica legate alla Federazione Russa non siano in grado di fornire servizi e aggiornamenti ai propri prodotti appartenenti alle categorie individuate al comma 3, in conseguenza della crisi in Ucraina, nonché al fine di prevenire possibili pregiudizi per la sicurezza nazionale nello spazio cibernetico, le medesime amministrazioni procedono tempestivamente alla diversificazione dei prodotti in uso.
2. Fermo restando quanto previsto dall'articolo 1, comma 2, lettera a), del decreto-legge 16 luglio 2020, n. 76, convertito, con modificazioni, dalla legge 11 settembre 2020, n. 120, le stazioni appaltanti, che procedono ai sensi del comma 1, provvedono all'acquisto di un ulteriore prodotto o servizio tecnologico di sicurezza informatica di cui al comma 3 e connessi servizi di supporto mediante gli strumenti di acquisto messi a disposizione dalle centrali di committenza, ovvero, laddove non sussistano o non siano comunque disponibili nell'ambito di tali strumenti, mediante la procedura negoziata senza previa pubblicazione del bando di cui all'articolo 63 del codice dei contratti pubblici, di cui al decreto legislativo 18 aprile 2016, n. 50, anche in deroga a quanto disposto dal comma 6, secondo periodo, del medesimo articolo 63.
2-bis. Al fine di garantire l'effettiva tempestività delle misure di cui ai commi 1 e 2:
a) le centrali di committenza di cui al comma 2, tramite gli organismi di direzione tecnica previsti per ciascuna convenzione o accordo quadro che abbia ad oggetto la fornitura di servizi e di prodotti atti a sostituire quelli di cui al comma 1, consentono l'aggiornamento delle offerte mediante l'inserimento di ulteriori prodotti idonei alle finalità di cui al presente articolo, di cui sia valutata la sostenibilità e che contribuiscano al conseguimento dell'autonomia tecnologica nazionale ed europea;
b) all'articolo 31-bis, comma 1, del decreto-legge 16 luglio 2020, n. 76, convertito, con modificazioni, dalla legge 11 settembre 2020, n. 120, le parole: «e che alla medesima data risultino esauriti» sono soppresse.
3. Ai fini di cui al comma 1, è adottata apposita circolare da parte dell'Agenzia per la cybersicurezza nazionale, anche sulla base degli elementi forniti nell'ambito del Nucleo per la cybersicurezza di cui all'articolo 8, comma 1, del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, nella composizione di cui al comma 4 del medesimo articolo 8, nella quale sono altresì indicate, ferma restando la responsabilità di ciascuna amministrazione, le principali raccomandazioni procedurali. Nella predetta circolare sono ricomprese, in particolare, le categorie di prodotti e servizi, ivi incluse le relative aziende produttrici o fornitrici, di cui al comma 1, tra quelle volte ad assicurare le seguenti funzioni di sicurezza:
a) sicurezza dei dispositivi (endpoint security), ivi compresi applicativi antivirus, antimalware ed «endpoint detection and response» (EDR);
b) «web application firewall» (WAF).
4. Dall'attuazione dei commi 1, 2 e 3 non derivano effetti che possano costituire presupposto per l'azione di responsabilità di cui all'articolo 1 della legge 14 gennaio 1994, n. 20. Le amministrazioni interessate provvedono agli adempimenti previsti dai commi 1, 2 e 3 con le risorse umane, finanziarie e strumentali disponibili a legislazione vigente.
5. All'articolo 5, comma 1, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, dopo le parole «fattore di rischio o alla sua mitigazione,» sono inserite le seguenti: «in deroga ad ogni disposizione vigente, nel rispetto dei principi generali dell'ordinamento giuridico e» e dopo il primo periodo sono aggiunti i seguenti: «Laddove nelle determinazioni di cui al presente comma sia recata deroga alle leggi vigenti anche ai fini delle ulteriori necessarie misure correlate alla disattivazione o all'interruzione, le stesse determinazioni devono contenere l'indicazione delle principali norme a cui si intende derogare e tali deroghe devono essere specificamente motivate. Le determinazioni di cui al presente comma non sono soggette al controllo preventivo di legittimità di cui all'articolo 3 della legge 14 gennaio 1994, n. 20.».
6. Al fine di consentire il più rapido avvio delle attività strumentali alla tutela della sicurezza nazionale nello spazio cibernetico, all'articolo 12 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, dopo il comma 8 è aggiunto il seguente: «8-bis. In relazione alle assunzioni a tempo determinato di cui al comma 2, lettera b), i relativi contratti per lo svolgimento delle funzioni volte alla tutela della sicurezza nazionale nello spazio cibernetico attribuite all'Agenzia possono prevedere una durata massima di quattro anni, rinnovabile per periodi non superiori ad ulteriori complessivi quattro anni. Delle assunzioni e dei rinnovi disposti ai sensi del presente comma è data comunicazione al COPASIR nell'ambito della relazione di cui all'articolo 14, comma 2.».