Relatore per la I Commissione.
La ringrazio, gentile Presidente. Il decreto-legge 21 settembre 2019, n. 105, è stato esaminato dalla Camera dei deputati in prima lettura e trasmesso al Senato della Repubblica, con modificazioni, il 24 ottobre 2019. Nel corso dell'esame al Senato sono state apportate ulteriori modificazioni rispetto al testo approvato dalla Camera e, in particolare, sono state oggetto di modifica le disposizioni di cui all'articolo 1, commi 6, 7, 9 e 19, e di cui all'articolo 6, comma 1, del decreto-legge. Tali modifiche hanno riguardato, in particolare, l'istituzione di un centro di valutazione, CEVA, presso il Ministero dell'Interno e i conseguenti adeguamenti nel testo, compresa la copertura finanziaria per la realizzazione, l'allestimento e il funzionamento del centro.
È stato altresì specificato che l'istituendo centro di valutazione del Ministero dell'Interno, così come quello del Ministero della Difesa già esistente, siano accreditati presso il centro di valutazione e certificazione nazionale, d'ora in poi denominato CVCN, e sono tenuti a impiegare metodologie di verifica e test quali definiti dal medesimo CVCN. Con decreto del Presidente del Consiglio dei ministri saranno inoltre definiti gli obblighi di informativa di tali centri con il CVCN. Anche il titolo del decreto-legge conseguentemente è stato modificato. Originariamente recava: “Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica” con l'integrazione: “e di disciplina dei poteri speciali nei settori di rilevanza strategica”, a seguito dell'introduzione del nuovo articolo 4-bis. Per quanto riguarda, in particolare, le modifiche apportate dal Senato rispetto al testo approvato in prima lettura dalla Camera e già esaminato in sede referente delle Commissioni riunite, si segnala, in primo luogo, l'articolo 1, comma 6, già modificato nel corso dell'esame in prima lettura della Camera dei deputati, che rimette a un regolamento, da emanare con decreto del Presidente del Consiglio dei ministri entro dieci mesi dalla data di entrata in vigore della legge di conversione del decreto-legge, la definizione delle procedure, delle modalità e dei termini nei quali devono attenersi le amministrazioni pubbliche, gli enti e gli operatori nazionali, pubblici e privati, inclusi nel perimetro suddetto, ai sensi del decreto di cui prima, al comma 2, che intendano procedere all'affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici individuati nell'elenco trasmesso alla Presidenza del Consiglio dei ministri e al Ministero dello Sviluppo economico, secondo quanto previsto alla lettera b) del comma 2 succitato.
Tale disciplina non si applica agli affidamenti delle forniture di beni, sistemi e servizi necessari per lo svolgimento delle attività di prevenzione, accertamento e repressione dei reati e a quelli per i quali è stata dal regolamento disposta una deroga, in quanto per la loro acquisizione è indispensabile procedere in sede estera.
A seguito di una modifica introdotta dalla Camera in prima lettura, non si tratta di tutti i beni, sistemi e servizi ICT, ma solo di quelli appartenenti a categorie individuate con decreto del Presidente del Consiglio dei ministri. Nel corso dell'esame al Senato è stata operata una modifica al fine di specificare con maggiore evidenza che le categorie sono individuate sulla base di criteri di natura tecnica.
Secondo quanto previsto dall'ultimo periodo del comma 6, lettera a), per lo svolgimento delle attività di prevenzione, accertamento e di repressione dei reati nei casi di deroga sono utilizzate reti, sistemi e servizi ICT conformi ai livelli di sicurezza di cui al comma 3, lettera b), dell'articolo 1, qualora non incompatibili con gli specifici impieghi cui essi sono destinati.
In particolare, il comma 6, lettera a), stabilisce che i soggetti sopra indicati, ovvero le centrali di committenza cui essi fanno ricorso ai sensi dell'articolo 1, comma 512, della legge n. 208 del 2015, danno comunicazione al CVCN, istituito presso l'Istituto superiore delle comunicazioni e delle tecnologie dell'informazione (ISCTI) del Ministero dello Sviluppo economico, dell'intendimento di provvedere all'affidamento di tali forniture.
A seguito di una modifica approvata alla Camera in prima lettura, la comunicazione comprende anche la valutazione del rischio associata all'oggetto della fornitura anche in relazione all'ambito di impiego. Sempre a seguito della citata modifica, è stato previsto che entro 45 giorni dalla ricezione della comunicazione, prorogabile di 15 giorni una sola volta in caso di particolare complessità, il CVCN può effettuare verifiche preliminari e imporre condizioni e test di hardware e software secondo un approccio gradualmente crescente nelle verifiche di sicurezza. Nel testo approvato dalla Camera era previsto che eventualmente fosse esercitata la facoltà potestativa di imposizione di condizioni e test di hardware e software da parte del CVCN. Nel corso dell'esame al Senato è stata soppressa la parola “eventualmente”.
La medesima modifica approvata dal Senato dispone, inoltre, una riformulazione, onde specificare con maggiore immediatezza che la collaborazione, prevista a seguito di modifiche introdotte dalla Camera dei deputati in prima lettura, dei soggetti rientranti nel perimetro di cui al comma 2, lettera a), dell'articolo, sia all'effettuazione dei test da parte del CVCN.
Decorso il termine senza che il CVCN si sia pronunciato, i soggetti che hanno effettuato la comunicazione possono proseguire nella procedura di affidamento. In caso di imposizione di condizioni e test hardware e software, i relativi bandi di gara e contratti sono integrati con clausole che condizionano sospensivamente ovvero risolutivamente il contratto – il testo originario prevedeva: “l'affidamento ovvero il contratto”: modifica approvata dalla Camera dei deputati in prima lettura che ha espunto la menzione dell'affidamento come ipotetica sede altra delle clausole integratici – al rispetto delle condizioni e all'esito favorevole dei test disposti dal CVCN. Sempre con una modifica introdotta in prima lettura, si prevede che i test devono essere conclusi nel termine di 60 giorni. Decorso tale termine, come precedentemente detto i soggetti che hanno effettuato la comunicazione possono proseguire nella procedura di affidamento.
Una modifica approvata presso il Senato introduce analoga previsione per il Ministero dell'Interno. Cioè, per le forniture di beni, sistemi e servizi ICT da impiegare su reti, sistemi informativi e servizi informatici, il Ministero della Difesa può procedere, nell'ambito delle risorse umane e finanziarie disponibili a legislazione vigente, in coerenza con quanto previsto dal decreto-legge in esame attraverso un proprio centro di valutazione. Si introduce la modifica più significativa introdotta al Senato che introduce analoga previsione, appunto come dicevo, per il Ministero dell'Interno, che così può avvalersi anch'esso di un proprio centro di valutazione denominato d'ora in poi CEVA.
Per la realizzazione di tale centro Ceva, altra conseguente modifica approvata dal Senato riguarda la copertura e cioè autorizza la spesa di 200 mila euro per il 2019 e di 1,5 milioni per ciascun anno 2020-2021. Altra modifica approvata dal Senato specifica che il Ceva della Difesa e quello dell'Interno siano anch'essi accreditati presso il CVCN e sono tenuti a impiegare metodologie di verifica e test quali definite del CVCN. Inoltre, la modifica approvata dal Senato sopprime la previsione di un "raccordo" tra il Ceva della Difesa - cui ora si aggiunge, il Ceva dell'Interno - con la Presidenza del Consiglio dei ministri e il Ministero dello Sviluppo economico, per i profili di rispettiva competenza. Questa previsione è soppressa. La diversa previsione introdotta dal Senato dispone un obbligo di informativa di quei centri di valutazione, i Ceva, con il CVCN, secondo modalità da stabilirsi con decreto del Presidente del Consiglio dei ministri. Una modifica approvata in prima lettura ha previsto l'esenzione dall'obbligo di comunicazione per gli affidamenti delle forniture di beni, sistemi e servizi ICT destinate alle reti, ai sistemi informatici per lo svolgimento delle attività di prevenzione, accertamento e repressione dei reati e i casi di deroga stabiliti con riguardo alle forniture per le quali sia indispensabile procedere in sede estera. Resta fermo così per lo svolgimento di quelle attività che per quei casi di deroga, l'utilizzo di beni sistemi servizi ICT che siano conformi ai livelli di sicurezza. Nel corso dell'esame al Senato è stato, però, previsto che la disposizione è applicata "salvo motivate esigenze connesse agli specifici impieghi cui i beni, sistemi, servizi ICT sono destinati". Il comma 6, lettera b), prevede che i fornitori di beni, sistemi e servizi destinati alle reti, ai sistemi informativi e ai servizi informatici individuati nell'elenco che deve essere trasmesso alla Presidenza del Consiglio dei ministri e al Ministero dello Sviluppo economico assicurano al CVCN e, per le specifiche competenze, al Ceva operante presso il Ministero della Difesa, la propria collaborazione per l'effettuazione delle attività di test, sostenendone gli oneri. Una modifica approvata al Senato, ai fini del coordinamento con la modifica incidente sulla lettera a) del comma 6) menziona altresì il Ceva del Ministero dell'Interno. La mancata collaborazione da parte di tali soggetti fornitori è segnalata al CVCN e anche alla Presidenza del Consiglio dei ministri in casi particolari. Il comma 6, lettera c) prevede che la Presidenza del Consiglio dei ministri e il Mise, secondo la ripartizione di competenza indicata nelle precedenti disposizioni, svolgano attività di ispezione e verifica in relazione a quanto previsto dal comma 2, lettera b), dal comma 3 e dalla lettera a) del comma 6, senza che ciò comporti l'accesso a dati o metadati personali e amministrativi, impartendo, se necessario, specifiche prescrizioni.
Per le reti, i sistemi informativi e i servizi informatici inseriti nell'elenco di cui al comma 2, lettera b), connessi alla funzione di prevenzione e repressione dei reati, alla tutela dell'ordine e della sicurezza pubblica, alla difesa civile (modifica introdotta in prima lettura) e alla difesa e sicurezza militare dello Stato, le attività di ispezione e verifica sono svolte dalle strutture specializzate in tema di prevenzione e di contrasto del crimine informatico delle amministrazioni da cui dipendono le Forze di polizia e le Forze armate, che ne comunicano gli esiti alla Presidenza del Consiglio dei ministri per i profili necessari. Tale attività è svolta nell'ambito delle risorse umane e finanziarie disponibili a legislazione vigente e senza nuovi oneri. Il comma 7 dell'articolo 1 individua alcuni compiti del CVCN, con riferimento all'approvvigionamento di prodotti, processi, servizi di tecnologie dell'informazione e della comunicazione (ICT) e infrastrutture associate, qualora destinati a reti, sistemi informativi e informatici ricompresi nel perimetro di sicurezza nazionale cibernetica. In base al comma 7 il CVCN: contribuisce all'elaborazione delle misure di sicurezza per ciò che concerne l'affidamento di forniture di beni, sistemi e servizi ICT; svolge attività di valutazione del rischio e di verifica delle condizioni di sicurezza e dell'assenza di vulnerabilità note, anche in relazione all'ambito di impiego, dettando, se del caso, prescrizioni di utilizzo al committente. Una modifica introdotta al Senato inserisce, tra i compiti, anche la definizione di metodologie di verifica e di test; ai sensi della lettera c), elabora e adotta, previo conforme avviso del CISR, schemi di certificazione cibernetica, qualora (“laddove”, recita impropriamente il testo) gli schemi di certificazione esistenti non siano ritenuti, per ragioni di sicurezza nazionale, adeguati alle esigenze di tutela del perimetro di sicurezza nazionale cibernetica. Secondo una modifica apportata dalla Camera dei deputati in prima lettura, tali schemi di certificazione devono tenere conto degli standard definiti a livello internazionale e dall'Unione europea. Ai fini delle attività di cui alla lettera b), il CVCN (modifica della Camera) si avvale anche di laboratori da esso accreditati. Una modifica approvata dal Senato aggiunge la previsione che con il medesimo atto siano altresì stabiliti i "raccordi", ivi compresi i contenuti, le modalità e i termini delle comunicazioni tra il CVCN e i predetti laboratori, nonché tra il medesimo CVCN e i Ceva di Interno e Difesa. Ciò anche al fine di assicurare il coordinamento delle rispettive attività e perseguire la convergenza e la non duplicazione delle valutazioni, in presenza di medesime condizioni e livelli di rischio. Per le esigenze delle amministrazioni centrali dello Stato, sono impiegati i laboratori eventualmente istituiti presso le medesime amministrazioni, senza nuovi o maggiori oneri a carico della finanza pubblica. Il comma 9 disciplina una serie di illeciti amministrativi, prevedendo sanzioni. Il comma 19 prevede l'autorizzazione di spesa per la copertura finanziaria relativa alla realizzazione, all'allestimento e al funzionamento del CVCN di cui ai commi 6 e 7. A tal fine, è autorizzata la spesa di euro 3 milioni 200 mila euro per l'anno 2019 e di 2 milioni 850 mila euro per ciascuno degli anni dal 2020 al 2023 e di 750 mila euro annui a decorrere dall'anno 2024. Una modifica approvata dal Senato introduce al comma 19 l'autorizzazione di spesa per il Ceva del Ministero dell'Interno, che nel testo votato dalla Camera non esisteva. Tale copertura è prevista in 200 mila euro per il 2019 e 1,5 milioni per ciascuno degli anni 2020 e 2021. La copertura finanziaria è reperita mediante corrispondente riduzione di spesa del Fondo per l'acquisto e l'ammodernamento dei mezzi strumentali in uso alle Forze di polizia e al Corpo nazionale dei vigili del fuoco, nello stato di previsione del Ministero dell'Economia e delle finanze. L'articolo 6, comma 1, reca la quantificazione degli oneri associati alle disposizioni di cui all'articolo 1, comma 19, e dell'articolo 2, commi 1 e 3. A seguito delle modifiche introdotte dal Senato - cioè la copertura che le ho appena letto, signora Presidente - relative all'istituzione del Ceva del Ministero dell'Interno, la quantificazione risulta essere, diversamente da quanto votato dalla Camera: 3 milioni 400 mila euro per l'anno 2019, 7 milioni 995 mila euro per ciascuno degli anni 2020 e 2021, 6 milioni 495 mila euro per ciascuno degli anni 2022 e 2023. In tale ambito il Senato ha introdotto una lettera b-bis), al fine di assicurare copertura finanziaria alla previsione di un Centro di valutazione operante presso il Ministero dell'Interno, introdotta all'articolo 1, commi 6 e 19. La copertura finanziaria, come ho detto, è reperita mediante corrispondente riduzione dell'autorizzazione di spesa di cui all'articolo 1, comma 623 della legge n. 232 del 2016, il quale ha istituito un Fondo per l'acquisto e l'ammodernamento dei mezzi strumentali, anche utilizzando i meccanismi di centralizzazione degli acquisti attraverso Consip, in uso alle Forze di polizia e al Corpo nazionale dei vigili del fuoco, nello stato di previsione del Ministero dell'Economia e delle finanze.