Consiglio di Stato, sez. C, parere definitivo 2020-10-26, n. 202001664

Numero 01664/2020 e data 26/10/2020 Spedizione

REPUBBLICA ITALIANA

Consiglio di Stato

Sezione Consultiva per gli Atti Normativi

Adunanza di Sezione del 20 ottobre 2020

OGGETTO:

Ministero dello svilippo economico.

Schema di decreto del Presidente della Repubblica recante attuazione dell'articolo 1, comma 6, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133; richiesta di parere.

LA SEZIONE

Vista la nota di trasmissione n. prot. 19923 del 18 settembre 2020, con la quale il Ministero dello sviluppo economico ha trasmesso lo schema di decreto del Presidente della Repubblica in materia di perimetro di sicurezza nazionale cibernetica, da adottarsi in attuazione dell'articolo 1, comma 6, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133;

Esaminati gli atti e uditi i relatori, consiglieri P C e G C;

Premesso:

1. Il decreto-legge 21 settembre 2019, n. 105, recante Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica , convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, ha istituito, nell’articolo 1, il perimetro di sicurezza nazionale cibernetica , al dichiarato fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati aventi una sede nel territorio nazionale, da cui dipende l'esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale .

2. Lo schema di decreto in esame attua in particolare le previsioni del comma 6, lettere a ), b ) e c ), dell’articolo 1 citato. Il comma 6, nelle tre lettere ora dette, demanda a un regolamento, da adottarsi ai sensi dell'articolo 17, comma 1, della legge 23 agosto 1988, n. 400 entro dieci mesi dalla data di entrata in vigore della legge di conversione del decreto-legge, tre compiti normativi: 1) definire le procedure, le modalità e i termini [lettera a )] ai quali devono attenersi i soggetti pubblici e privati inclusi nel perimetro di sicurezza nazionale cibernetica che intendano procedere all'affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici, appartenenti (le forniture) a categorie da individuarsi, sulla base di criteri di natura tecnica, da un apposito decreto del Presidente del Consiglio dei ministri (che dovrà essere emanato anch’esso entro il medesimo termine di 10 mesi dall'entrata in vigore della norma di conversione del decreto-legge); 2) stabilire le procedure, le modalità e i termini [lettera b )] con cui i fornitori dei suddetti beni, sistemi e servizi destinati alle reti, ai sistemi e ai servizi rilevanti assicurano la propria collaborazione al Centro di valutazione e certificazione nazionale (CVCN) e ai Centri di valutazione (CV) del Ministero della difesa e del Ministero dell’interno, per quanto di rispettiva competenza, per l’effettuazione delle attività di test, sostenendone gli oneri; 3) definire [lettera c )] le procedure, le modalità e i termini con i quali il Ministero dello sviluppo economico e la Presidenza del Consiglio dei Ministri, negli ambiti rispettivamente loro assegnati nel perimetro, svolgono le attività di ispezione e verifica in relazione a quanto previsto dal decreto-legge.

3. Lo schema di decreto si compone complessivamente di 20 articoli ed è suddiviso in quattro Capi. Il Capo I è dedicato alle “ Disposizioni generali ”, il Capo II alla “ Procedura di valutazione del CVCN e dei CV ”, il Capo III alla definizione delle “ Categorie di tipologie di beni, sistemi e servizi ICT ” e il Capo IV alla disciplina delle “ Ispezioni e verifiche ”.

4. Il testo è corredato di relazione tecnico-finanziaria, di relazione ATN, nonché della nota n. 1844 del 9 settembre 2020 con la quale il Ministero dell'economia e delle finanze ha formulato alcune osservazioni riguardanti eventuali modifiche basate su disposizioni successivamente intervenute con la legge 11 settembre 2020, n. 120, di conversione del decreto-legge 16 luglio 2020, n. 76 e, quindi, successive all'approvazione in Consiglio dei ministri del presente schema di decreto.

Il testo non è corredato di analisi di impatto della regolazione (AIR) poiché ne è richiesta l’esclusione, ai sensi dell’articolo 6, comma 1, del d.P.C.M. n. 169 del 2017 (con nota dell’Ufficio legislativo del Ministero proponente n. prot. 17304 del 3 agosto 2020, vistata dal Capo del Dipartimento per gli affari giuridici e legislativi), con la motivazione che “ il provvedimento in esame concerne misure per rafforzare la sicurezza nazionale in ambito di rilevanza strategica ”.

I concerti e le proposte (ossia la proposta del Presidente del Consiglio dei ministri e del Ministro dello sviluppo economico e i concerti dei Ministri dell'interno, della difesa, dell'economia e delle finanze e per l'innovazione tecnologica e la digitalizzazione, come scritto nel preambolo della bozza di decreto) sono sostituiti da un documento della Presidenza del Consiglio dei ministri in cui si attesta la presenza dei suddetti ministri nel Consiglio dei ministri del 7 agosto 2020, per l’approvazione preliminare del testo. In mancanza di un’apposita previsione al riguardo nella norma primaria speciale, l’individuazione dei ministeri proponenti e concertanti appare ragionevolmente deducibile dall’articolo 17, comma 1, della legge n. 400 del 1988, in considerazione delle competenze coinvolte.

Deve tuttavia richiamarsi quanto rappresentato dalla Sezione nei pareri n. 246/2020 (par. 4) e n. 546/2020 (par. 6.5) emessi, rispettivamente, nelle adunanze del 27 gennaio 2020 e del 27 febbraio 2020, nonché nel parere 7 aprile 2020, n. 731, riguardo all’autonoma rilevanza dell’atto di concerto ministeriale, che non può ritenersi assorbito nella mera presenza del Ministro nella riunione del Consiglio dei ministri di approvazione in via preliminare del provvedimento. Si ribadisce, comunque, che nella specie i concerti non sono richiesti dalla legge attributiva del potere regolamentare.

Considerato:

I. Considerazioni generali

1. La Sezione ha già avuto occasione di recente di occuparsi della tematica degli strumenti attuativi dell’articolo 1 del decreto-legge n. 105 del 2019 in materia di perimetro di sicurezza nazionale cibernetica, pronunciandosi (con il parere n. 983 del 26 maggio 2020) sullo schema di decreto del Presidente del Consiglio dei ministri adottato in attuazione dell'articolo 1, comma 2, del predetto decreto-legge n. 105 del 2019, per la definizione delle modalità e dei criteri procedurali di individuazione delle amministrazioni pubbliche, degli enti e operatori pubblici e privati, aventi una sede nel territorio nazionale, inclusi nel perimetro di sicurezza nazionale cibernetica e tenuti al rispetto delle misure e degli obblighi previsti dalla nuova normativa di sicurezza, nonché per la definizione dei criteri con i quali i suddetti soggetti devono predisporre e aggiornare annualmente un elenco delle reti, dei sistemi informativi e dei servizi informatici, di rispettiva pertinenza, comprensivo della relativa architettura e componentistica.

2. In quella occasione la Sezione aveva evidenziato come la norma primaria sul perimetro di sicurezza nazionale cibernetica avesse previsto un percorso attuativo scandito attraverso cinque decreti del Presidente del Consiglio dei ministri e un regolamento governativo, essendo in particolare previsti, oltre al d.P.C.M. in quella sede esaminato, un secondo decreto del Presidente del Consiglio dei ministri (previsto dal comma 2- bis ), di natura provvedimentale, di definizione dell’elenco dei soggetti individuati ai sensi del comma 2, lettera a ); un terzo decreto (comma 3), da adottarsi entro dieci mesi dalla data di entrata in vigore della legge di conversione del decreto-legge n. 105 del 2019, di disciplina dei termini e delle modalità attuative delle procedure secondo cui i soggetti di cui al comma 2- bis notificano al Gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT) gli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui al comma 2, lettera b ), e sono altresì stabilite le misure volte a garantire elevati livelli di sicurezza delle reti, dei sistemi informativi e dei servizi informatici; quindi (comma 6) un regolamento governativo, che è quello che viene all’odierno esame della Sezione, da adottarsi entro dieci mesi dalla data di entrata in vigore della legge di conversione del decreto-legge, per la disciplina delle procedure, delle modalità e dei termini con cui i soggetti di cui al comma 2- bis danno comunicazione al CVCN delle procedure per l'affidamento di forniture di beni, sistemi e servizi ICT e i soggetti individuati quali fornitori di beni, sistemi e servizi destinati alle reti, ai sistemi informativi e ai servizi informatici di cui al comma 2, lettera b ), assicurano la propria collaborazione per l'effettuazione delle attività di test di sicurezza, etc .; un quarto d.P.C.M. [lettera a ) del comma 6] per l’individuazione, sulla base di criteri di natura tecnica, delle categorie di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici assoggettati all’obbligo di comunicazione; infine, un quinto d.P.C.M. [previsto dalla lettera b ) del comma 7] per la