Archivi tag: Sicurezza

Codice Privacy e Assunzioni in CdM

Il Consiglio dei Ministri, nel corso della riunione dell’8 agosto, ha adottato provvedimenti circa il Codice della Privacy, l’accessibilità dei siti web degli Enti pubblici e l’assunzione a tempo indeterminato di personale della Scuola.


Codice della privacy

Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) (Ministero della Giustizia – esame definitivo)

Il decreto legislativo, in attuazione dell’art. 13 della legge di delegazione europea 2016-2017 (legge 25 ottobre 2017, n. 163), introduce disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Dopo l’esame di una commissione appositamente costituita si è deciso, al fine di semplificare l’applicazione della norma, di agire novellando il codice della privacy esistente, nonostante il regolamento abbia di fatto cambiato la prospettiva dell’approccio alla tutela della privacy rispetto al codice introducendo il principio di dell’accountability. Si è scelto di garantire la continuità facendo salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti. Essi restano fermi nell’attuale configurazione nelle materie di competenza degli Stati membri, mentre possono essere riassunti e modificati su iniziativa delle categorie interessate quali codici di settore. In considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, si è previsto che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento.


Accessibilità dei siti web e delle applicazioni mobili degli enti pubblici

Attuazione della direttiva (UE) 2016/2102 del Parlamento europeo e del Consiglio, del 26 ottobre 2016, relativa all’accessibilità dei siti web e delle applicazioni mobili degli enti pubblici (Presidenza del Consiglio e Ministro per la pubblica amministrazione – esame definitivo)

Il decreto attua la direttiva (UE) 2016/2102 del Parlamento europeo e del Consiglio, del 26 ottobre 2016, relativa all’accessibilità, da parte di tutti i cittadini e in particolare delle persone con disabilità, dei siti web e delle applicazioni mobili degli enti pubblici.

In particolare, in considerazione del fatto che il principio della accessibilità dei siti web delle pubbliche amministrazioni è già sancito e attuato nell’ordinamento interno dal Codice dell’amministrazione digitale, il decreto garantisce la sussistenza dei principi ispiratori della direttiva attraverso interventi di adeguamento, principalmente in materia di “onere sproporzionato”, laddove il criterio dell’accessibilità è temperato da una valutazione di impatto e di esigibilità dal punto di vista organizzativo, tecnologico e finanziario.

Inoltre, istituisce il cosiddetto “meccanismo di feedback”, finalizzato a consentire a chiunque di notificare ai soggetti erogatori eventuali difetti dei sistemi informatici, ivi compresi i siti web e le applicazioni mobili, in termini di conformità ai principi di accessibilità e alle prescrizioni in materia di accessibilità dettate dalle linee guida, nonché di richiedere le informazioni non accessibili. La risposta a richieste legittime e ragionevoli sarà assicurata attraverso la possibilità di presentare reclami al Difensore civico digitale.


PERSONALE DELLA SCUOLA

Autorizzazione all’assunzione di personale a tempo indeterminato (decreto del Presidente della Repubblica)

Il Consiglio dei Ministri, su proposta del Ministro per la Pubblica Amministrazione Giulia Bongiorno e del Ministro dell’economia e delle finanze Giovanni Tria e secondo quanto illustrato dal Ministro dell’istruzione, dell’università e della ricerca Marco Bussetti, ha approvato l’autorizzazione ad assumere, a tempo indeterminato, sui posti effettivamente vacanti e disponibili, per l’anno scolastico 2018/2019, 57.322 unità di personale docente, di cui 43.980 docenti su posto comune e 13.342 docenti su posto di sostegno; 46 unità di personale educativo; 212 dirigenti scolastici; 9.838 unità di personale ATA.

Edilizia scolastica: semplificazione procedure

Edilizia scolastica, Bussetti: “Al via semplificazione delle procedure. Governo sta dimostrando con i fatti che è una priorità”

(Martedì, 31 luglio 2018) “Con le semplificazioni approvate nell’ambito del decreto legge Ministeri, il Governo dà un segnale importante e concreto sull’edilizia scolastica. Stiamo dimostrando con i fatti che per noi la sicurezza dei nostri ragazzi è una priorità: le norme approvate consentiranno di spendere più velocemente e in modo più efficiente le risorse che abbiamo già a disposizione”. Così il Ministro dell’Istruzione, dell’Università e della Ricerca, Marco Bussetti.

Il decreto Ministeri, con un emendamento approvato ieri dall’Aula del Senato, mette infatti in campo lo snellimento di diverse procedure. A partire da quelle che regolano l’assegnazione delle risorse che rientrano nel Fondo unico per l’edilizia scolastica, la principale fonte di investimento in materia. Vengono rese omogenee tutte le procedure di finanziamento, con criteri di riparto delle risorse trasparenti e definiti a monte in un unico Accordo quadro, senza necessità di dover moltiplicare poi i decreti sulle singole linee di finanziamento. Semplificata anche la procedura per la definizione della Programmazione triennale nazionale, con meno decreti interministeriali che finora hanno di fatto appesantito le procedure e ritardato le autorizzazioni anche di parecchi mesi.

“Stiamo lavorando nella direzione della massima semplificazione – ribadisce il Ministro -. Occorre ripensare integralmente la governance del sistema. Per questo ho promosso, d’intesa con il Ministro per gli Affari Regionali e le Autonomie, la costituzione di un Tavolo tecnico tra Stato, Regioni ed Enti locali. Il Tavolo sta lavorando al perfezionamento di un Accordo quadro in Conferenza Unificata che presenteremo nelle prossime settimane per ridurre ulteriormente gli adempimenti burocratici e tagliare i tempi necessari per l’assegnazione delle risorse agli enti locali, proprietari degli edifici scolastici”.

Nota 12 luglio 2018, AOODGCASIS 1428

Ministero dell’Istruzione, dell’Università e della Ricerca
Direzione generale per i contratti, gli acquisti e per i sistemi informativi e la statistica
Ufficio III

All’Ufficio di Gabinetto
Al capo Dipartimento per la Programmazione
Al capo Dipartimento per l’Istruzione
Al capo Dipartimento per l’Università
Ai Direttori Generali dell’Amministrazione Centrale
Ai Dirigenti dell’Amministrazione Centrale
SEDE
Ai Direttori Generali degli Uffici Scolastici Regionali
Ai Dirigenti degli Uffici Scolastici Regionali e degli Ambiti Territoriali
Ai Dirigenti Scolastici delle istituzioni scolastiche statali di ogni ordine e grado
LORO SEDI
E p.c. Ai Referenti della sicurezza dell’Amministrazione centrale e periferica
LORO SEDI

Nota 12 luglio 2018, AOODGCASIS 1428

OGGETTO: Cooperazione Applicativa MIUR/ INAIL – Comunicazione Rappresentanti Lavoratori per la Sicurezza

Circolare INAIL 11 luglio 2018, n. 29

INAIL
Direzione generale
Direzione centrale prevenzione
Direzione centrale rapporto assicurativo
Direzione centrale organizzazione digitale

Al Dirigente Generale Vicario
Ai Responsabili di tutte le Strutture centrali e territoriali
e p.c. a:
Organi Istituzionali
Magistrato della Corte dei conti delegato all’esercizio del controllo
Organismo indipendente di valutazione della performance
Comitati consultivi provinciali

Circolare INAIL 11 luglio 2018, n. 29

Oggetto: Rappresentanti dei lavoratori per la sicurezza: comunicazione a cura delle Amministrazioni statali assicurate con la speciale forma della gestione per conto dello Stato.

Giornata della Trasparenza 2018

Porte aperte il 26 giugno 2018 al Ministero dell’Istruzione, dell’Università e della Ricerca per la quarta Giornata della Trasparenza. Un’occasione per dare visibilità ai risultati dell’azione amministrativa.

Due le sessioni in cui sarà articolata la Giornata. Dalle 9.30 alle 13.30 il Palazzo dell’Istruzione di viale Trastevere, a Roma, ospiterà un momento di incontro, dialogo ed ascolto con il pubblico. I visitatori avranno l’opportunità di essere coinvolti in un percorso multimediale in cui saranno raccontate le attività promosse dall’Amministrazione centrale e periferica in materia di trasparenza, innovazione, servizi all’utenza e prevenzione della corruzione. Dalle 11.00 alle 12.30, presso la Sala conferenze “Aldo Moro”, i rappresentanti istituzionali affronteranno i temi della trasparenza, della performance, dell’innovazione e della privacy in ambito Miur.

La Giornata è stata prevista dal Piano triennale per la prevenzione della corruzione e per la trasparenza 2018-2020 del Ministero, adottato con Decreto del Ministro n. 72 del 31 gennaio scorso, e si propone come momento fondamentale per acquisire riscontri dalle cittadine e dai cittadini sui servizi offerti dal Miur, ad esempio in materia di accessibilità e utilizzabilità dei dati pubblicati, e per individuare ulteriori necessità di informazione. Nell’ottica di un processo di miglioramento continuo della performance, di un adeguamento puntuale alle esigenze dettate dalle nuove normative in materia di trasparenza e privacy e di un costante impegno in favore dell’innovazione.

Ma siamo sicuri?

Ma siamo sicuri

di Alessandro Venerus

Una riflessione sul tema della sicurezza attraverso l’osservazione delle interrelazioni tra il dirigente e le figure/organi che agiscono in ambito scolastico ed i compiti necessari per instaurare buone prassi nella tutela della salute e della sicurezza.

Nuovo Regolamento Privacy UE – GDPR

Dal 25 maggio 2018 acquistano efficacia le disposizioni di diritto europeo sulla protezione dei dati (Regolamento UE 2016/679) ed è abrogato il vigente Codice in materia (decreto legislativo 30 giugno 2003, n. 196).
La nuova disciplina (GDPR – General Data Protection Regulation), a partire da tale data, è rappresentata principalmente dalle disposizioni del Regolamento, immediatamente applicabili e da quelle recate dallo schema di decreto legislativo (in attuazione dell’art. 13 della legge di delegazione europea 2016-2017 – legge 25 ottobre 2017, n. 163), approvato in esame preliminare dal CdM il 21 marzo 2018, volte ad armonizzare l’ordinamento interno al nuovo quadro normativo dell’Unione Europea in tema di tutela della privacy.


Nota 25 maggio 2018, AOODGCASIS 1123

Ministero dell’istruzione, dell’università e della ricerca
Dipartimento per la programmazione e la gestione delle risorse umane, finanziarie e strumentali
Direzione generale per i contratti, gli acquisti e per i sistemi informativi e la statistica
Ufficio III

Ai Dirigenti Scolastici, ai Direttori dei Servizi Generali e Amministrativi, agli Assistenti Amministrativi delle Istituzioni Scolastiche di ogni ordine e grado

Nota 25 maggio 2018, AOODGCASIS 1123

OGGETTO: Avvio del corso di formazione: “GDPR – General Data Protection Regulation” – 28 maggio/8 giugno 2018.


Allegato

Decreto del Presidente del Consiglio dei Ministri 25 maggio 2018

Decreto del Presidente del Consiglio dei Ministri 25 maggio 2018

Criteri e modalità per l’individuazione del responsabile della protezione dei dati personali, mediante il quale la Presidenza del Consiglio dei ministri esercita le funzioni di titolare del trattamento dei dati personali, ai sensi del regolamento (UE) n. 2016/679. (18A04205)

(GU Serie Generale n.139 del 18-06-2018)

IL PRESIDENTE
DEL CONSIGLIO DEI MINISTRI

Vista la legge 23 agosto 1988, n. 400, recante disciplina
dell’attivita’ di governo e ordinamento della Presidenza del
Consiglio dei ministri, e successive modificazioni;
Visto il decreto legislativo 30 luglio 1999, n. 303, recante
ordinamento della Presidenza del Consiglio dei ministri, a norma
dell’art. 11 della legge 15 marzo 1997, n. 59, e successive
modificazioni;
Visto il decreto legislativo 30 marzo 2001, n. 165, recante norme
generali sull’ordinamento del lavoro alle dipendenze selle
amministrazioni pubbliche, e successive modificazioni;
Visto il decreto legislativo 8 aprile 2013, n. 39, recante
«Disposizioni in materia di inconferibilita’ e incompatibilita’ di
incarichi presso le pubbliche amministrazioni e presso gli enti
privati in controllo pubblico, a norma dell’art. 1, commi 49 e 50,
della legge 6 novembre 2012, n. 190»;
Visto il decreto del Presidente del Consiglio dei ministri 22
novembre 2010, recante la disciplina dell’autonomia finanziaria e
contabile della Presidenza del Consiglio dei ministri;
Visto il decreto del Presidente del Consiglio dei ministri 1°
ottobre 2012, e successive modificazioni e integrazioni, recante
ordinamento delle strutture generali della Presidenza del Consiglio
dei ministri;
Visto il decreto del Presidente del Consiglio dei ministri 30
novembre 2006, n. 312, concernente il trattamento dei dati sensibili
e giudiziari presso la Presidenza del Consiglio dei ministri;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del
Consiglio del 27 aprile 2016, relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche’ alla
libera circolazione di tali dati (di seguito regolamento);
Considerato che l’art. 4 del regolamento individua come titolare
del trattamento «la persona fisica o giuridica, l’autorita’ pubblica,
il servizio o altro organismo che, singolarmente o insieme ad altri,
determina le finalita’ e i mezzi del trattamento dei dati personali»;
Considerato, altresi’, che l’art. 37, paragrafo 1, lettera a), del
regolamento prevede l’obbligo per il titolare o il responsabile del
trattamento di designare il responsabile della protezione dei dati
personali (di seguito RPD) «quando il trattamento e’ effettuato da
un’autorita’ pubblica o da un organismo pubblico»;
Considerato che l’art. 37 del Regolamento, ai paragrafi 5 e 6,
stabilisce che il RPD e’ designato in funzione delle qualita’
professionali, in particolare della conoscenza specialistica della
normativa e delle prassi in materia di protezione dei dati, della
capacita’ di assolvere i compiti di cui all’art. 39, e che puo’
essere anche un dipendente del titolare del trattamento o del
responsabile del trattamento oltre che assolvere i suoi compiti in
base a un contratto di servizio;
Considerato che la Presidenza del Consiglio dei ministri, nel
complesso delle sue articolazioni organizzative, e’ titolare del
trattamento dei dati personali;
Considerata l’autonomia organizzativa della Scuola nazionale
dell’amministrazione, posta sotto la vigilanza della Presidenza del
Consiglio dei ministri, le peculiarita’ organizzative e le competenze
del Dipartimento della protezione civile, nonche’ la diversa
dislocazione territoriale oltre alle peculiarita’ organizzative e
alle specifiche competenze dei commissari straordinari del Governo di
cui all’art. 11 della legge 23 agosto 1988, n. 400, dei commissari
straordinari incaricati sulla base di leggi speciali, dei
rappresentanti del Governo nelle Regioni e delle Province autonome di
Trento e di Bolzano, e dell’Unita’ tecnica amministrativa (UTA) con
competenze in materia di gestione del contenzioso sullo smaltimento
dei rifiuti in Campania;
Ritenuto opportuno procedere alla individuazione dei soggetti,
mediante i quali la Presidenza del Consiglio dei ministri esercita le
funzioni di titolare del trattamento dei dati personali;
Ritenuto, altresi’, necessario procedere alla individuazione del
RPD della Presidenza del Consiglio dei ministri;
Visti i decreti del Presidente della Repubblica 12 dicembre 2016,
di nomina del Governo;
Visto il decreto del Presidente del Consiglio dei ministri in data
16 dicembre 2016, con il quale alla Sottosegretaria di Stato alla
Presidenza del Consiglio dei ministri on. avv. Maria Elena Boschi e’
stata delegata la firma dei decreti, degli atti e dei provvedimenti
di competenza del Presidente del Consiglio dei ministri, ad
esclusione di quelli che richiedono una preventiva deliberazione del
Consiglio dei Ministri e di quelli relativi alle attribuzioni di cui
all’art. 5 della legge 23 agosto 1988, n. 400;

Decreta:

Art. 1

Definizioni

  1. Ai fini del presente decreto si intende per:
    a) dato personale: qualsiasi informazione riguardante una persona
    fisica identificata o identificabile in PCM; si considera
    identificabile la persona fisica che puo’ essere identificata,
    direttamente o indirettamente, con particolare riferimento a un
    identificativo come il nome, un numero di identificazione, dati
    relativi all’ubicazione, un identificativo online o uno o piu’
    elementi caratteristici della sua identita’ fisica, fisiologica,
    genetica, psichica, economica, culturale o sociale;
    b) trattamento: qualsiasi operazione o insieme di operazioni,
    compiute in PCM con o senza l’ausilio di processi automatizzati e
    applicate a dati personali o insiemi di dati personali, come la
    raccolta, la registrazione, l’organizzazione, la strutturazione, la
    conservazione, l’adattamento o la modifica, l’estrazione, la
    consultazione, l’uso, la comunicazione mediante trasmissione,
    diffusione o qualsiasi altra forma di messa a disposizione, il
    raffronto o l’interconnessione, la limitazione, la cancellazione o la
    distruzione;
    c) titolare del trattamento: la Presidenza del Consiglio dei
    ministri nelle sue articolazioni organizzative;
    d) responsabile del trattamento: la persona fisica o giuridica,
    estranea alla Presidenza del Consiglio dei ministri che tratta dati
    personali per conto del titolare del trattamento;
    e) violazione dei dati personali: la violazione di sicurezza che
    comporta accidentalmente o in modo illecito la distruzione, la
    perdita, la modifica, la divulgazione non autorizzata o l’accesso ai
    dati personali trasmessi, conservati o comunque trattati.

Art. 2

Oggetto e ambito di applicazione

  1. La Presidenza del Consiglio dei ministri (di seguito PCM) e’ il
    titolare del trattamento dei dati personali.
  2. Il presente decreto individua i soggetti medianti i quali la PCM
    esercita le funzioni di titolare del trattamento dei dati personali.
  3. Le disposizioni del presente decreto si applicano alle seguenti
    articolazioni organizzative della PCM: dipartimenti e uffici
    autonomi, come individuati all’art. 2 del decreto del Presidente del
    Consiglio dei ministri 1° ottobre 2012, e gli organismi collegiali
    presso gli stessi istituiti, uffici di diretta collaborazione del
    Presidente e delle autorita’ politiche delegate dal Presidente del
    Consiglio, strutture di missione.
  4. Sono autonomi titolari del trattamento dei dati personali le
    strutture dei commissari straordinari del Governo di cui all’art. 11
    della legge 23 agosto 1988, n. 400, le strutture dei commissari
    straordinari incaricati sulla base di leggi speciali, le strutture
    dei rappresentanti del Governo nelle Regioni e nelle Province
    autonome di Trento e di Bolzano, nonche’ il Dipartimento della
    protezione civile, la Scuola nazionale dell’amministrazione e l’UTA.
  5. Le strutture di cui al comma 4, provvedono in via autonoma a
    tutti gli adempimenti previsti dal regolamento, nonche’ alla
    designazione di un proprio RPD.
  6. Ove ricorra l’ipotesi di contitolarita’ con la PCM, le
    rispettive responsabilita’ sono disciplinate dagli accordi previsti
    dall’art. 26 del regolamento.

Art. 3

Esercizio delle funzioni di titolare
del trattamento dei dati personali

  1. In conformita’ all’assetto organizzativo della PCM, nell’ambito
    delle strutture di cui all’art. 2, comma 3, i soggetti individuati
    per l’esercizio delle funzioni di titolare del trattamenti dei dati
    personali, ciascuno nel rispettivo ambito di competenza, sono:
    a) i Capi dei Dipartimenti;
    b) i Capi degli uffici autonomi;
    c) i Capi degli uffici di diretta collaborazione del Presidente;
    d) i Capi di Gabinetto degli uffici di diretta collaborazione dei
    Ministri e dei Sottosegretari;
    e) i Coordinatori delle strutture di missione, qualora non
    istituite presso strutture generali della PCM;
    f) il Coordinatore della Segreteria tecnica della Commissione per
    le adozioni internazionali il Coordinatore del Servizio per i voli di
    Stato, di Governo e umanitari, tenuto conto della particolare
    posizione di autonomia funzionale e gestionale delle unita’
    organizzative cui sono preposti.
  2. Il Segretario generale esercita le funzioni di titolare del
    trattamento dei dati personali di cui all’art. 4.
  3. Per le attivita’ a carattere trasversale, esercita le funzioni
    di titolare del trattamento dei dati il Capo della Struttura generale
    con competenza di coordinamento sulla materia.
  4. I Capi delle strutture di cui al comma 3, impartiscono le
    necessarie istruzioni a tutti i dirigenti delle strutture della PCM
    coinvolte nel trattamento.

Art. 4

Attivita’ di coordinamento

  1. Il Segretario generale svolge funzioni di coordinamento,
    fornendo indicazioni di carattere generale alle strutture in termini
    di definizione delle policy in materia di trattamento dei dati
    personali.
  2. Il Segretario generale nomina il RPD e ne da’ comunicazione al
    Garante per la protezione dei dati personali e alle strutture
    interessate.
  3. Per lo svolgimento delle funzioni di cui al comma 1, il
    Segretario generale si avvale di una struttura di supporto tecnico e
    metodologico posta nell’ambito dell’Ufficio del Segretario generale.

Art. 5

Funzioni del titolare

  1. I soggetti di cui all’art. 3, nell’ambito delle strutture cui
    sono preposti, assicurano il rispetto di tutti gli obblighi previsti
    dal regolamento e dalla normativa nazionale in capo al titolare del
    trattamento.
  2. I soggetti di cui al comma 1, sono tenuti anche a porre in
    essere, nell’ambito delle proprie Strutture e nel rispetto delle
    proprie competenze e, ove necessario, in collaborazione con il
    Dipartimento per i servizi strumentali – Ufficio Informatica e
    telematica, misure tecniche e organizzative adeguate per garantire e
    dimostrare che il trattamento dei dati personali e’ effettuato
    conformemente alle disposizioni del regolamento.
  3. Ai soggetti di cui al comma 1 sono altresi’ affidati i seguenti
    compiti:
    a) definire finalita’, mezzi di trattamento e rispettive
    responsabilita’ in merito all’osservanza degli obblighi previsti in
    caso di contitolarita’ del dato personale ai sensi dell’art. 26 del
    regolamento;
    b) designare gli autorizzati al trattamento dei dati personali
    sulla base delle proposte dei dirigenti responsabili del
    procedimento, fornendo adeguate istruzioni per il loro corretto
    trattamento;
    c) stipulare i contratti di cui all’art. 28, paragrafo 3, del
    regolamento, per disciplinare il rapporto con il responsabile del
    trattamento di cui all’art. 7;
    d) notificare al Garante della protezione dei dati personali le
    violazioni dei dati personali (data breach) e provvedere alla
    comunicazione della violazione agli interessati, ai sensi degli
    articoli 33 e 34 del Regolamento, secondo quanto disposto all’art. 9,
    e darne informativa al Segretario generale e al RPD;
    e) nominare un «referente privacy» della struttura per il
    supporto all’esercizio delle funzioni di titolare del trattamento e
    alle attivita’ di gestione degli adempimenti connessi alla protezione
    dei dati nonche’ come punto di contatto con il RPD;
    f) effettuare l’analisi del rischio e la valutazione dell’impatto
    di cui all’art. 35 del regolamento;
    g) adottare misure appropriate al fine di garantire l’esercizio
    dei diritti di coloro i cui dati personali sono oggetto di
    trattamento previsti agli articoli da 15 a 18 e da 20 a 22 del
    regolamento;
    h) verificare la corretta predisposizione delle informative e
    curarne il costante aggiornamento.

Art. 6

Responsabile della protezione
dei dati personali

  1. Il Segretario generale nomina il RPD della PCM fra soggetti in
    possesso dei requisiti previsti dal regolamento e stabilisce la
    durata dell’incarico.
  2. Il RPD assolve ai compiti previsti dall’art. 39 del Regolamento
    e agli eventuali altri compiti affidati allo stesso dal Segretario
    generale.
  3. Per lo svolgimento dei compiti attribuiti, qualora non sia stata
    appositamente individuata, con contratto di servizi una societa’
    esterna, al RPD e’ assegnato personale di supporto con specifiche
    competenze giuridiche, informatiche, di analisi e reingegnerizzazione
    di processi, di risk assessment e risk management, anche ricorrendo
    ad esperti incaricati ai sensi dell’art. 9 del decreto legislativo 30
    luglio 1999, n. 303.
  4. Il personale di cui al comma 3 e’ collocato in una struttura,
    dotata di autonomia funzionale e gestionale, istituita con apposito
    decreto del Presidente del Consiglio dei ministri e posta presso
    l’Ufficio del Segretario generale.
  5. La PCM sostiene il RPD nell’esecuzione dei compiti ad esso
    affidati assicurando l’autonomia e le risorse necessarie per
    assolverli come previsto dall’art. 38 del regolamento.

Art. 7

Registro delle attivita’ di trattamento

  1. Il Segretario generale indica alle strutture della PCM, con
    proprio atto, le modalita’ operative per l’organizzazione del
    registro delle attivita’ di trattamento ai sensi dell’art. 30 del
    regolamento.
  2. I soggetti di cui all’art. 3, provvedono alla tenuta e
    all’aggiornamento del registro delle attivita’ di trattamento, con
    riferimento agli ambiti di competenza delle strutture cui sono
    preposti.
  3. Il Dipartimento per i servizi strumentali assicura la
    disponibilita’ di una procedura informatizzata di cui le strutture si
    avvalgono per la gestione del registro delle attivita’ di
    trattamento.

Art. 8

Responsabile del trattamento

  1. La funzione di responsabile del trattamento discende da
    contratto o altro atto giuridico, sottoscritto dal titolare del
    trattamento ossia da chi ne esercita le funzioni, ai sensi dell’art.
  2. Il responsabile del trattamento tratta i dati personali in
    applicazione di quanto espressamente previsto nel contratto o in
    altro atto giuridico di cui al comma 1, e ai sensi degli articoli 28,
    29, 30 e 31 del regolamento, in ordine a:
    a) materia disciplinata e durata del trattamento;
    b) natura e le finalita’ del trattamento;
    c) tipo di dati personali;
    d) categorie di interessati;
    e) obblighi e i diritti del titolare del trattamento.

Art. 9

Violazione dei dati personali

  1. Chiunque venga a conoscenza di una violazione dei dati personali
    e’ tenuto a segnalarlo, per il tramite del proprio superiore
    gerarchico, al soggetto che esercita le funzioni di titolare del
    trattamento che deve provvedere tempestivamente ai sensi del presente
    articolo.
  2. Il responsabile del trattamento informa il soggetto che esercita
    le funzioni di titolare del trattamento tempestivamente, dopo essere
    venuto a conoscenza della violazione.
  3. Il soggetto che esercita le funzioni di titolare del
    trattamento, ove possibile, notifica la violazione dei dati personali
    al Garante della protezione dei dati personali entro 72 ore dal
    momento in cui ne sia venuto a conoscenza, a meno che sia improbabile
    che la stessa violazione presenti un rischio per la tutela dei
    diritti e delle liberta’ delle persone fisiche. La notifica viene
    effettuata, prevedendo almeno gli elementi indicati al paragrafo 3
    dell’art. 33 del regolamento.
  4. La notifica al Garante della protezione dei dati personali
    effettuata oltre le 72 ore, deve essere motivata.
  5. Le segnalazioni e le notifiche dei casi di violazione dei dati
    personali sono comunicati dai soggetti di cui all’art. 3, al
    Segretario generale e al RPD.
  6. Ulteriori, specifiche modalita’ operative per la segnalazione e
    gestione dei casi di violazione dei dati personali possono essere
    disciplinate mediante linee guida e supportate da soluzioni
    applicative messe a disposizione dal Dipartimento per i servizi
    strumentali.

Art. 10

Autorizzati al trattamento

  1. I dirigenti della Presidenza del Consiglio dei ministri che
    trattano dati personali in relazione alle competenze attribuite o
    comunque esercitate presso gli uffici cui sono preposti, secondo
    l’ordinamento della PCM, sono autorizzati al trattamento nel rispetto
    delle misure e delle istruzioni adottate da chi esercita le funzioni
    di titolare del trattamento dei dati personali.
  2. E’ autorizzato al trattamento dei dati personali tutto il
    personale in servizio presso la PCM che tratta dati personali in
    relazione alle competenze della unita’ organizzativa alla quale e’
    stato assegnato, salvo eventuali diverse determinazioni adottate dai
    soggetti di cui all’art. 3.

Art. 11

Formazione del personale

  1. Il Dipartimento per il personale assicura la programmazione e
    l’organizzazione delle attivita’ formative del personale per la
    corretta applicazione delle disposizioni in materia di trattamento
    dei dati personali.

Art. 12

Oneri

  1. Gli oneri aggiuntivi derivanti dall’attuazione del presente
    decreto gravano sui pertinenti capitoli del bilancio di previsione
    della PCM, nei limiti delle risorse ivi disponibili.
    Il presente decreto e’ trasmesso ai competenti organi di controllo
    ed e’ pubblicato nella Gazzetta Ufficiale della Repubblica italiana.
    Roma, 25 maggio 2018

p. Il Presidente
del Consiglio dei ministri
La Sottosegretaria di Stato
Boschi

Registrato alla Corte dei conti il 5 giugno 2018
Ufficio controllo atti P.C.M. Ministeri giustizia e affari esteri,
reg.ne prev. n. 1196

Nota 22 maggio 2018, AOODPPR 563

Ministero dell’Istruzione, dell’Università e della Ricerca
Dipartimento per la Programmazione e la Gestione delle Risorse Umane, Finanziarie e Strumentali

Ai Dirigenti delle Istituzioni Scolastiche di ogni ordine e grado
E, pc. Al Capo di Gabinetto
Al Capo Dipartimento per il sistema educativo di istruzione e formazione
Ai Direttori degli Uffici Scolastici Regionali

Nota 22 maggio 2018, AOODPPR 563

Oggetto: Regolamento Generale sulla Protezione dei Dati (UE/2016/679) – Responsabile della protezione dei dati personali- Prime indicazioni per le Istituzioni scolastiche

Decreto Legislativo 18 maggio 2018, n. 65

Decreto Legislativo 18 maggio 2018, n. 65

Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione. (18G00092)

(GU Serie Generale n.132 del 09-06-2018)

Capo I

Disposizioni generali

IL PRESIDENTE DELLA REPUBBLICA

Visti gli articoli 76 e 87, quinto comma, della Costituzione;
Vista la legge 24 dicembre 2012, n. 234, recante norme generali
sulla partecipazione dell’Italia alla formazione e all’attuazione
della normativa e delle politiche dell’Unione europea;
Vista la legge 25 ottobre 2017, n. 163, recante delega al Governo
per il recepimento delle direttive europee e l’attuazione di altri
atti dell’Unione europea – Legge di delegazione europea 2016-2017;
Vista la direttiva (UE) 1148/2016 del Parlamento europeo e del
Consiglio, del 6 luglio 2016, recante misure per un livello comune
elevato di sicurezza delle reti e dei sistemi informativi
nell’Unione;
Visto il regolamento (CE) 910/2014 del Parlamento europeo e del
Consiglio, del 23 luglio 2014, in materia di identificazione
elettronica e servizi fiduciari per le transazioni elettroniche nel
mercato interno e che abroga la direttiva 1999/93/CE;
Vista la direttiva 2013/40/UE del Parlamento europeo e del
Consiglio, del 12 agosto 2013, relativa agli attacchi contro i
sistemi di informazione e che sostituisce la decisione quadro
2005/222/GAI del Consiglio;
Vista la raccomandazione 2003/361/CE della Commissione, del 6
maggio 2003, relativa alla definizione delle microimprese, piccole e
medie imprese;
Visto il Regolamento di esecuzione della Commissione n. 2018/151/UE
del 30 gennaio 2018 recante modalita’ di applicazione della direttiva
(UE) 2016/1148 del Parlamento europeo e del Consiglio per quanto
riguarda l’ulteriore specificazione degli elementi che i fornitori di
servizi digitali devono prendere in considerazione ai fini della
gestione dei rischi posti alla sicurezza delle reti e dei sistemi
informativi e dei parametri per determinare l’eventuale impatto
rilevante di un incidente;
Visto il decreto-legge 27 luglio 2005, n. 144, convertito, con
modificazioni, dalla legge 31 luglio 2005, n. 155, recante misure
urgenti per il contrasto del terrorismo internazionale;
Visto il decreto legislativo 4 marzo 2014, n. 39, recante
attuazione della direttiva 2011/93/UE relativa alla lotta contro
l’abuso e lo sfruttamento sessuale dei minori e la pornografia
minorile, che sostituisce la decisione quadro 2004;
Vista la legge 3 agosto 2007, n. 124, recante sistema di
informazione per la sicurezza della Repubblica e nuova disciplina del
segreto;
Visto il decreto-legge 30 ottobre 2015, n. 174, convertito, con
modificazioni, dalla legge 11 dicembre 2015, n. 198, recante proroga
delle missioni internazionali delle Forze armate e di polizia,
iniziative di cooperazione allo sviluppo e sostegno ai processi di
ricostruzione e partecipazione alle iniziative delle organizzazioni
internazionali per il consolidamento dei processi di pace e di
stabilizzazione;
Visto il decreto-legge 22 giugno 2012, n. 83, convertito, con
modificazioni, dalla legge 7 agosto 2012, n. 134, recante misure
urgenti per la crescita del Paese, e, in particolare, l’articolo 19,
che ha istituito l’Agenzia per l’Italia digitale (AgID);
Visto il decreto legislativo 7 marzo 2005, n. 82, recante il codice
dell’amministrazione digitale e, in particolare, le disposizioni in
materia di funzioni dell’AgID e di sicurezza informatica;
Visto il decreto legislativo 11 aprile 2011, n. 61, attuativo della
direttiva 2008/114/CE, recante l’individuazione e la designazione
delle infrastrutture critiche europee e la valutazione della
necessita’ di migliorarne la protezione;
Visto il regolamento adottato con decreto del Presidente del
Consiglio dei ministri 6 novembre 2015, n. 5, recante disposizioni
per la tutela amministrativa del segreto di Stato e delle
informazioni classificate e a diffusione esclusiva;
Vista la direttiva adottata con decreto del Presidente del
Consiglio dei ministri del 17 febbraio 2017, recante indirizzi per la
protezione cibernetica e la sicurezza informatica nazionali,
pubblicato nella Gazzetta Ufficiale n. 87 del 13 aprile 2017;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante il
codice in materia di protezione dei dati personali;
Visto il decreto legislativo 1° agosto 2003, n. 259, recante il
codice delle comunicazioni elettroniche;
Visto il decreto legislativo 23 giugno 2011, n. 118, recante
disposizioni in materia di armonizzazione dei sistemi contabili e
degli schemi di bilancio delle Regioni, degli enti locali e dei loro
organismi, a norma degli articoli 1 e 2 della legge 5 maggio 2009, n.
42;
Vista la preliminare deliberazione del Consiglio dei ministri,
adottata nella riunione dell’8 febbraio 2018;
Acquisito il parere della Conferenza Unificata di cui all’articolo
8 del decreto legislativo 28 agosto 1997, n. 281, reso nella seduta
del 19 aprile 2018;
Acquisiti i pareri delle competenti Commissioni della Camera dei
deputati e del Senato della Repubblica;
Vista la deliberazione del Consiglio dei ministri, adottata nella
riunione del 16 maggio 2018;
Sulla proposta del Presidente del Consiglio dei ministri e del
Ministro dello sviluppo economico, di concerto con i Ministri degli
affari esteri e della cooperazione internazionale, della giustizia,
dell’interno, della difesa, della salute e dell’economia e delle
finanze;

Emana

il seguente decreto legislativo:

Art. 1

Oggetto e ambito di applicazione

  1. Il presente decreto stabilisce misure volte a conseguire un
    livello elevato di sicurezza della rete e dei sistemi informativi in
    ambito nazionale, contribuendo ad incrementare il livello comune di
    sicurezza nell’Unione europea.
  2. Ai fini del comma 1, il presente decreto prevede:
    a) l’inclusione nella strategia nazionale di sicurezza
    cibernetica di previsioni in materia di sicurezza delle reti e dei
    sistemi informativi rientranti nell’ambito di applicazione del
    presente decreto;
    b) la designazione delle autorita’ nazionali competenti e del
    punto di contatto unico, nonche’ del Gruppo di intervento per la
    sicurezza informatica in caso di incidente (CSIRT) in ambito
    nazionale per lo svolgimento dei compiti di cui all’allegato I;
    c) il rispetto di obblighi da parte degli operatori di servizi
    essenziali e dei fornitori di servizi digitali relativamente
    all’adozione di misure di sicurezza e di notifica degli incidenti con
    impatto rilevante;
    d) la partecipazione nazionale al gruppo di cooperazione europeo,
    nell’ottica della collaborazione e dello scambio di informazioni tra
    Stati membri dell’Unione europea, nonche’ dell’incremento della
    fiducia tra di essi;
    e) la partecipazione nazionale alla rete CSIRT nell’ottica di
    assicurare una cooperazione tecnico-operativa rapida ed efficace.
  3. Le disposizioni in materia di misure di sicurezza e di notifica
    degli incidenti di cui al presente decreto non si applicano alle
    imprese soggette agli obblighi di cui agli articoli 16-bis e 16-ter
    del decreto legislativo 1° agosto 2003, n. 259, ne’ ai prestatori di
    servizi fiduciari soggetti agli obblighi di cui all’articolo 19 del
    regolamento (UE) n. 910/2014.
  4. Il presente decreto si applica fatto salvo quanto previsto dal
    decreto legislativo 11 aprile 2011, n. 61, e dalla direttiva
    2013/40/UE relativa agli attacchi contro i sistemi di informazione e
    che sostituisce la decisione quadro 2005/222/GAI, del Consiglio.
  5. Fatto salvo quanto previsto dall’articolo 346 del trattato sul
    funzionamento dell’Unione europea, le informazioni riservate secondo
    quanto disposto dalla normativa dell’Unione europea e nazionale, in
    particolare per quanto concerne la riservatezza degli affari, sono
    scambiate con la Commissione europea e con altre autorita’ competenti
    NIS solo nella misura in cui tale scambio sia necessario ai fini
    dell’applicazione del presente decreto. Le informazioni scambiate
    sono pertinenti e commisurate allo scopo. Lo scambio di informazioni
    ne tutela la riservatezza e protegge la sicurezza e gli interessi
    commerciali degli operatori di servizi essenziali e dei fornitori di
    servizi digitali.
  6. Il presente decreto lascia impregiudicate le misure adottate per
    salvaguardare le funzioni essenziali dello Stato, in particolare di
    tutela della sicurezza nazionale, comprese le misure volte a tutelare
    le informazioni, nei casi in cui la divulgazione sia ritenuta
    contraria agli interessi essenziali di sicurezza e di mantenimento
    dell’ordine pubblico, in particolare a fini di indagine, accertamento
    e perseguimento di reati.
  7. Qualora gli obblighi previsti per gli operatori di servizi
    essenziali o i fornitori di servizi digitali di assicurare la
    sicurezza delle loro reti e dei loro sistemi informativi o di
    notificare gli incidenti siano oggetto di uno specifico atto
    giuridico dell’Unione europea, si applicano le disposizioni di detto
    atto giuridico nella misura in cui gli effetti di tali obblighi siano
    almeno equivalenti a quelli degli obblighi di cui al presente
    decreto.

Art. 2

Trattamento dei dati personali

  1. Il trattamento dei dati personali in applicazione del presente
    decreto e’ effettuato ai sensi del decreto legislativo 30 giugno
    2003, n. 196, e successive modificazioni.

Art. 3

Definizioni

  1. Ai fini del presente decreto si intende per:
    a) autorita’ competente NIS, l’autorita’ competente per settore,
    in materia di sicurezza delle reti e dei sistemi informativi, di cui
    all’articolo 7, comma 1;
    b) CSIRT, gruppo di intervento per la sicurezza informatica in
    caso di incidente, di cui all’articolo 8;
    c) punto di contatto unico, l’organo incaricato a livello
    nazionale di coordinare le questioni relative alla sicurezza delle
    reti e dei sistemi informativi e la cooperazione transfrontaliera a
    livello di Unione europea;
    d) autorita’ di contrasto, l’organo centrale del Ministero
    dell’interno per la sicurezza e per la regolarita’ dei servizi di
    telecomunicazione, di cui all’articolo 7-bis del decreto-legge 27
    luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31
    luglio 2005, n.155;
    e) rete e sistema informativo:
    1) una rete di comunicazione elettronica ai sensi dell’articolo
    1, comma 1, lettera dd), del decreto legislativo 1° agosto 2003, n.
    259;
    2) qualsiasi dispositivo o gruppo di dispositivi interconnessi
    o collegati, uno o piu’ dei quali eseguono, in base ad un programma,
    un trattamento automatico di dati digitali;
    3) i dati digitali conservati, trattati, estratti o trasmessi
    per mezzo di reti o dispositivi di cui ai numeri 1) e 2), per il loro
    funzionamento, uso, protezione e manutenzione;
    f) sicurezza della rete e dei sistemi informativi, la capacita’
    di una rete e dei sistemi informativi di resistere, a un determinato
    livello di riservatezza, a ogni azione che comprometta la
    disponibilita’, l’autenticita’, l’integrita’ o la riservatezza dei
    dati conservati o trasmessi o trattati e dei relativi servizi offerti
    o accessibili tramite tale rete o sistemi informativi;
    g) operatore di servizi essenziali, soggetto pubblico o privato,
    della tipologia di cui all’allegato II, che soddisfa i criteri di cui
    all’articolo 4, comma 2;
    h) servizio digitale, servizio ai sensi dell’articolo 1,
    paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del
    Parlamento europeo e del Consiglio, del 9 settembre 2015, di un tipo
    elencato nell’allegato III;
    i) fornitore di servizio digitale, qualsiasi persona giuridica
    che fornisce un servizio digitale;
    l) incidente, ogni evento con un reale effetto pregiudizievole
    per la sicurezza della rete e dei sistemi informativi;
    m) trattamento dell’incidente, tutte le procedure necessarie per
    l’identificazione, l’analisi e il contenimento di un incidente e
    l’intervento in caso di incidente;
    n) rischio, ogni circostanza o evento ragionevolmente
    individuabile con potenziali effetti pregiudizievoli per la sicurezza
    della rete e dei sistemi informativi;
    o) rappresentante, la persona fisica o giuridica stabilita
    nell’Unione europea espressamente designata ad agire per conto di un
    fornitore di servizi digitali che non e’ stabilito nell’Unione
    europea, a cui l’autorita’ competente NIS o il CSIRT Nazionale puo’
    rivolgersi in luogo del fornitore di servizi digitali, per quanto
    riguarda gli obblighi di quest’ultimo ai sensi del presente decreto;
    p) norma, una norma ai sensi dell’articolo 2, primo paragrafo,
    numero 1), del regolamento (UE) n. 1025/2012;
    q) specifica, una specifica tecnica ai sensi dell’articolo 2,
    primo paragrafo, numero 4), del regolamento (UE) n. 1025/2012;
    r) punto di interscambio internet (IXP), una infrastruttura di
    rete che consente l’interconnessione di piu’ di due sistemi autonomi
    indipendenti, principalmente al fine di agevolare lo scambio del
    traffico internet; un IXP fornisce interconnessione soltanto ai
    sistemi autonomi; un IXP non richiede che il traffico internet che
    passa tra qualsiasi coppia di sistemi autonomi partecipanti passi
    attraverso un terzo sistema autonomo, ne’ altera o interferisce
    altrimenti con tale traffico;
    s) sistema dei nomi di dominio (DNS), e’ un sistema distribuito e
    gerarchico di naming in una rete che inoltra le richieste dei nomi di
    dominio;
    t) fornitore di servizi DNS, un soggetto che fornisce servizi DNS
    su internet;
    u) registro dei nomi di dominio di primo livello, un soggetto che
    amministra e opera la registrazione di nomi di dominio internet
    nell’ambito di uno specifico dominio di primo livello (TLD);
    v) mercato online, un servizio digitale che consente ai
    consumatori ovvero ai professionisti, come definiti rispettivamente
    all’articolo 141, comma 1, lettere a) e b), del decreto legislativo 6
    settembre 2005, n. 206, di concludere contratti di vendita o di
    servizi online con i professionisti sia sul sito web del mercato
    online sia sul sito web di un professionista che utilizza i servizi
    informatici forniti dal mercato on line;
    z) motore di ricerca on line, un servizio digitale che consente
    all’utente di effettuare ricerche, in linea di principio, su tutti i
    siti web o su siti web in una lingua particolare sulla base di
    un’interrogazione su qualsiasi tema sotto forma di parola chiave,
    frase o di altra immissione, e fornisce i link in cui possono essere
    trovate le informazioni relative al contenuto richiesto;
    aa) servizio di cloud computing, un servizio digitale che
    consente l’accesso a un insieme scalabile ed elastico di risorse
    informatiche condivisibili.

Art. 4

Identificazione degli operatori di servizi essenziali

  1. Entro il 9 novembre 2018, con propri provvedimenti, le autorita’
    competenti NIS identificano per ciascun settore e sottosettore di cui
    all’allegato II, gli operatori di servizi essenziali con una sede nel
    territorio nazionale. Gli operatori che prestano attivita’ di
    assistenza sanitaria sono individuati con decreto del Ministro della
    salute, di intesa con la Conferenza permanente per i rapporti tra lo
    Stato, le Regioni e le Province autonome di Trento e di Bolzano. Gli
    operatori che forniscono e distribuiscono acque destinate al consumo
    umano sono individuati con decreto del Ministro dell’ambiente e della
    tutela del territorio e del mare, di intesa con la Conferenza
    permanente per i rapporti tra lo Stato, le Regioni e le Province
    autonome di Trento e di Bolzano.
  2. I criteri per l’identificazione degli operatori di servizi
    essenziali sono i seguenti:
    a) un soggetto fornisce un servizio che e’ essenziale per il
    mantenimento di attivita’ sociali e/o economiche fondamentali;
    b) la fornitura di tale servizio dipende dalla rete e dai sistemi
    informativi;
    c) un incidente avrebbe effetti negativi rilevanti sulla
    fornitura di tale servizio.
  3. Oltre ai criteri indicati nel comma 2, nell’individuazione degli
    operatori di servizi essenziali si tiene conto dei documenti prodotti
    al riguardo dal Gruppo di cooperazione di cui all’articolo 10.
  4. Ai fini del comma 1, prima dell’adozione dei provvedimenti
    previsti dalla medesima disposizione, qualora un soggetto fornisca un
    servizio di cui al comma 2, lettera a), sul territorio nazionale e in
    altro o altri Stati membri dell’Unione europea, le autorita’
    competenti NIS consultano le autorita’ competenti degli altri Stati
    membri.
  5. E’ istituito presso il Ministero dello sviluppo economico un
    elenco nazionale degli operatori di servizi essenziali.
  6. L’elenco degli operatori di servizi essenziali identificati ai
    sensi del comma 1 e’ riesaminato con le medesime modalita’ di cui al
    comma 1 e, se del caso, aggiornato su base regolare, ed almeno ogni
    due anni dopo il 9 maggio 2018, a cura delle autorita’ competenti NIS
    ed e’ comunicato al Ministero dello sviluppo economico.
  7. Entro il 9 novembre 2018, e in seguito ogni due anni, il punto
    di contatto unico trasmette alla Commissione europea le informazioni
    necessarie per la valutazione dell’attuazione del presente decreto,
    in particolare della coerenza dell’approccio in merito
    all’identificazione degli operatori di servizi essenziali.
  8. Le informazioni di cui al comma 7 comprendono almeno:
    a) le misure nazionali che consentono l’identificazione degli
    operatori di servizi essenziali;
    b) l’elenco dei servizi di cui al comma 2;
    c) il numero degli operatori di servizi essenziali identificati
    per ciascun settore di cui all’allegato II ed un’indicazione della
    loro importanza in relazione a tale settore;
    d) le soglie, ove esistano, per determinare il pertinente livello
    di fornitura con riferimento al numero di utenti che dipendono da
    tale servizio di cui all’articolo 5, comma 1, lettera a), o
    all’importanza di tale particolare operatore di servizi essenziali di
    cui all’articolo 5, comma 1, lettera f).

Art. 5

Effetti negativi rilevanti

  1. Ai fini della determinazione della rilevanza degli effetti
    negativi di cui all’articolo 4, comma 2, lettera c), le autorita’
    competenti NIS considerano i seguenti fattori intersettoriali:
    a) il numero di utenti che dipendono dal servizio fornito dal
    soggetto interessato;
    b) la dipendenza di altri settori di cui all’allegato II dal
    servizio fornito da tale soggetto;
    c) l’impatto che gli incidenti potrebbero avere, in termini di
    entita’ e di durata, sulle attivita’ economiche e sociali o sulla
    pubblica sicurezza;
    d) la quota di mercato di detto soggetto;
    e) la diffusione geografica relativamente all’area che potrebbe
    essere interessata da un incidente;
    f) l’importanza del soggetto per il mantenimento di un livello
    sufficiente del servizio, tenendo conto della disponibilita’ di
    strumenti alternativi per la fornitura di tale servizio.
  2. Al fine della determinazione degli effetti negativi rilevanti di
    un incidente sono altresi’ considerati, ove opportuno, fattori
    settoriali.

Capo II

Contesto strategico e istituzionale

Art. 6

Strategia nazionale di sicurezza cibernetica

  1. Il Presidente del Consiglio dei ministri adotta, sentito il
    Comitato interministeriale per la sicurezza della Repubblica (CISR),
    la strategia nazionale di sicurezza cibernetica per la tutela della
    sicurezza delle reti e dei sistemi di interesse nazionale.
  2. Nell’ambito della strategia nazionale di sicurezza cibernetica,
    sono in particolare indicati, per la sicurezza di reti e sistemi
    informativi rientranti nell’ambito di applicazione del presente
    decreto:
    a) gli obiettivi e le priorita’ in materia di sicurezza delle reti
    e dei sistemi informativi;
    b) il quadro di governance per conseguire gli obiettivi e le
    priorita’, inclusi i ruoli e le responsabilita’ degli organismi
    pubblici e degli altri attori pertinenti;
    c) le misure di preparazione, risposta e recupero, inclusa la
    collaborazione tra settore pubblico e settore privato;
    d) i programmi di formazione, sensibilizzazione e istruzione
    relativi alla strategia in materia di sicurezza delle reti e dei
    sistemi informativi;
    e) i piani di ricerca e sviluppo;
    f) un piano di valutazione dei rischi;
    g) l’elenco dei vari attori coinvolti nell’attuazione.
  3. Con la procedura di cui al comma 1 sono adottate linee di
    indirizzo per l’attuazione della strategia nazionale di sicurezza
    cibernetica.
  4. La Presidenza del Consiglio dei ministri trasmette la strategia
    nazionale in materia di sicurezza cibernetica alla Commissione
    europea entro tre mesi dalla sua adozione. Puo’ essere esclusa la
    trasmissione di elementi della strategia riguardanti la sicurezza
    nazionale.

Art. 7

Autorita’ nazionali competenti e punto di contatto unico

  1. Sono designate quali Autorita’ competenti NIS per i settori e
    sottosettori di cui all’allegato II e per i servizi di cui
    all’allegato III:
    a) il Ministero dello sviluppo economico per il settore energia,
    sottosettori energia elettrica, gas e petrolio e per il settore
    infrastrutture digitali, sottosettori IXP, DNS, TLD, nonche’ per i
    servizi digitali;
    b) il Ministero delle infrastrutture e dei trasporti per il settore
    trasporti, sottosettori aereo, ferroviario, per vie d’acqua e su
    strada;
    c) il Ministero dell’economia e delle finanze per il settore
    bancario e per il settore infrastrutture dei mercati finanziari, in
    collaborazione con le autorita’ di vigilanza di settore, Banca
    d’Italia e Consob, secondo modalita’ di collaborazione e di scambio
    di informazioni stabilite con decreto del Ministro dell’economia e
    delle finanze;
    d) il Ministero della salute per l’attivita’ di assistenza
    sanitaria, come definita dall’articolo 3, comma 1, lettera a), del
    decreto legislativo 4 marzo 2014, n. 38, prestata dagli operatori
    dipendenti o incaricati dal medesimo Ministero o convenzionati con lo
    stesso e le Regioni e le Province autonome di Trento e di Bolzano,
    direttamente o per il tramite delle Autorita’ sanitarie
    territorialmente competenti, per le attivita’ di assistenza sanitaria
    prestata dagli operatori autorizzati e accreditati delle Regioni o
    dalle Province autonome negli ambiti territoriali di rispettiva
    competenza;
    e) il Ministero dell’ambiente e della tutela del territorio e del
    mare e le Regioni e le Province autonome di Trento e di Bolzano,
    direttamente o per il tramite delle Autorita’ territorialmente
    competenti, in merito al settore fornitura e distribuzione di acqua
    potabile.
  2. Le Autorita’ competenti NIS sono responsabili dell’attuazione
    del presente decreto con riguardo ai settori di cui all’allegato II e
    ai servizi di cui all’allegato III e vigilano sull’applicazione del
    presente decreto a livello nazionale esercitando altresi’ le relative
    potesta’ ispettive e sanzionatorie.
  3. Il Dipartimento delle informazioni per la sicurezza (DIS) e’
    designato quale punto di contatto unico in materia di sicurezza delle
    reti e dei sistemi informativi.
  4. Il punto di contatto unico svolge una funzione di collegamento
    per garantire la cooperazione transfrontaliera delle autorita’
    competenti NIS con le autorita’ competenti degli altri Stati membri,
    nonche’ con il gruppo di cooperazione di cui all’articolo 10 e la
    rete di CSIRT di cui all’articolo 11.
  5. Il punto di contatto unico collabora nel gruppo di cooperazione
    in modo effettivo, efficiente e sicuro con i rappresentanti designati
    dagli altri Stati.
  6. Le autorita’ competenti NIS e il punto di contatto unico
    consultano, conformemente alla normativa vigente, l’autorita’ di
    contrasto ed il Garante per la protezione dei dati personali e
    collaborano con essi.
  7. La Presidenza del Consiglio dei ministri comunica
    tempestivamente alla Commissione europea la designazione del punto di
    contatto unico e quella delle autorita’ competenti NIS, i relativi
    compiti e qualsiasi ulteriore modifica. Alle designazioni sono
    assicurate idonee forme di pubblicita’.
  8. Agli oneri derivanti dal presente articolo pari a 1.300.000 euro
    a decorrere dal 2018, si provvede ai sensi dell’articolo 22.

Art. 8

Gruppi di intervento per la sicurezza informatica in caso di
incidente – CSIRT

  1. E’ istituito, presso la Presidenza del Consiglio dei ministri,
    il CSIRT italiano, che svolge i compiti e le funzioni del Computer
    Emergency Response Team (CERT) nazionale, di cui all’articolo 16-bis
    del decreto legislativo 1° agosto 2003, n. 259, e del CERT-PA, gia’
    operante presso l’Agenzia per l’Italia digitale ai sensi
    dell’articolo 51 del decreto legislativo 7 marzo 2005, n. 82.
  2. L’organizzazione e il funzionamento del CSIRT italiano sono
    disciplinati con decreto del Presidente del Consiglio dei ministri ai
    sensi dell’articolo 7 del decreto legislativo 30 luglio 1999, n. 303,
    da adottare entro il 9 novembre 2018. Per lo svolgimento delle
    funzioni del CSIRT italiano, la Presidenza del Consiglio dei ministri
    si avvale di un contingente massimo di trenta unita’ di personale, di
    cui quindici scelti tra dipendenti di altre amministrazioni
    pubbliche, in posizione di comando o fuori ruolo, per i quali si
    applica l’articolo 17, comma 14, della legge 15 maggio 1997, n. 127,
    e quindici da assumere, nel limite della dotazione organica vigente,
    in aggiunta alle ordinarie facolta’ assunzionali della Presidenza del
    Consiglio dei ministri, nel limite di spesa annuo di 1.300.000 di
    euro a decorrere dal 2018. Ai relativi oneri si provvede ai sensi
    dell’articolo 22.
  3. Nelle more dell’adozione del decreto di cui al comma 2, le
    funzioni di CSIRT italiano sono svolte dal CERT nazionale unitamente
    al CERT-PA in collaborazione tra loro.
  4. Il CSIRT italiano assicura la conformita’ ai requisiti di cui
    all’allegato I, punto 1, svolge i compiti di cui all’allegato I,
    punto 2, si occupa dei settori di cui all’allegato II e dei servizi
    di cui all’allegato III e dispone di un’infrastruttura di
    informazione e comunicazione appropriata, sicura e resiliente a
    livello nazionale.
  5. Il CSIRT italiano definisce le procedure per la prevenzione e la
    gestione degli incidenti informatici.
  6. Il CSIRT italiano garantisce la collaborazione effettiva,
    efficiente e sicura, nella rete di CSIRT di cui all’articolo 11.
  7. La Presidenza del Consiglio dei ministri comunica alla
    Commissione europea il mandato del CSIRT italiano e le modalita’ di
    trattamento degli incidenti a questo affidati.
  8. Il CSIRT italiano, per lo svolgimento delle proprie funzioni,
    puo’ avvalersi anche dell’Agenzia per l’Italia digitale.
  9. Le funzioni svolte dal Ministero dello sviluppo economico in
    qualita’ di CERT nazionale ai sensi dell’articolo 16-bis, del decreto
    legislativo 1° agosto 2003, n. 259, nonche’ quelle svolte da Agenzia
    per l’Italia digitale in qualita’ di CERT-PA, ai sensi dell’articolo
    51 del decreto legislativo 7 marzo 2005, n. 82, sono trasferite al
    CSIRT italiano a far data dalla entrata in vigore del decreto di cui
    al comma 2.
  10. Per le spese di funzionamento del CSIRT italiano e’ autorizzata
    la spesa di 2.700.000 euro per l’anno 2018, di cui 2.000.000 per le
    spese di investimenti, e di 700.000 annui a decorrere dall’anno 2019.
    A tali oneri si provvede ai sensi dell’articolo 22.

Art. 9

Cooperazione a livello nazionale

  1. Le autorita’ competenti NIS, il punto di contatto unico e il
    CSIRT italiano collaborano per l’adempimento degli obblighi di cui al
    presente decreto. A tal fine e’ istituito, presso la Presidenza del
    Consiglio dei ministri, un Comitato tecnico di raccordo, composto da
    rappresentanti delle amministrazioni statali competenti ai sensi
    dell’articolo 7, comma 1, e da rappresentanti delle Regioni e
    Province autonome in numero non superiore a due, designati dalle
    Regioni e Province autonome in sede di Conferenza permanente per i
    rapporti tra lo Stato, le Regioni e le Province autonome di Trento e
    di Bolzano. L’organizzazione del Comitato e’ definita con decreto del
    Presidente del Consiglio dei ministri, da adottare su proposta dei
    Ministri per la semplificazione e la pubblica amministrazione e dello
    sviluppo economico, sentita la Conferenza unificata. Per la
    partecipazione al Comitato tecnico di raccordo non sono previsti
    gettoni di presenza, compensi o rimborsi spese.
  2. Gli operatori di servizi essenziali e i fornitori di servizi
    digitali inviano le notifiche relative ad incidenti al CSIRT
    italiano.
  3. Il CSIRT italiano informa le autorita’ competenti NIS e il punto
    di contatto unico in merito alle notifiche di incidenti trasmesse ai
    sensi del presente decreto.

Capo III

Cooperazione

Art. 10

Gruppo di cooperazione

  1. Il punto di contatto unico partecipa alle attivita’ del gruppo
    di cooperazione composto da rappresentanti degli Stati membri, della
    Commissione europea e dell’Agenzia dell’Unione europea per la
    sicurezza delle reti e dell’informazione (ENISA) e, in particolare,
    contribuisce a:
    a) condividere buone pratiche sullo scambio di informazioni
    relative alla notifica di incidenti di cui all’articolo 12 e
    all’articolo 14;
    b) scambiare migliori pratiche con gli Stati membri e, in
    collaborazione con l’ENISA, fornire supporto per la creazione di
    capacita’ in materia di sicurezza delle reti e dei sistemi
    informativi;
    c) discutere le capacita’ e lo stato di preparazione degli Stati
    membri e valutare, su base volontaria, le strategie nazionali in
    materia di sicurezza delle reti e dei sistemi informativi e
    l’efficacia dei CSIRT e individuare le migliori pratiche;
    d) scambiare informazioni e migliori pratiche in materia di
    sensibilizzazione e formazione;
    e) scambiare informazioni e migliori pratiche in materia di ricerca
    e sviluppo riguardo alla sicurezza delle reti e dei sistemi
    informativi;
    f) scambiare, ove opportuno, esperienze in materia di sicurezza
    delle reti e dei sistemi informativi con le istituzioni, gli organi e
    gli organismi pertinenti dell’Unione europea;
    g) discutere le norme e le specifiche di cui all’articolo 17 con i
    rappresentanti delle pertinenti organizzazioni di normazione europee;
    h) fornire informazioni in relazione ai rischi e agli incidenti;
    i) esaminare, su base annuale, le relazioni sintetiche di cui al
    comma 4;
    l) discutere il lavoro svolto riguardo a esercitazioni in materia
    di sicurezza delle reti e dei sistemi informativi, programmi di
    istruzione e formazione, comprese le attivita’ svolte dall’ENISA;
    m) con l’assistenza dell’ENISA, scambiare migliori pratiche
    connesse all’identificazione degli operatori di servizi essenziali da
    parte degli Stati membri, anche in relazione alle dipendenze
    transfrontaliere riguardo a rischi e incidenti;
    n) discutere modalita’ per la comunicazione di notifiche di
    incidenti di cui agli articoli 12 e 14.
  2. Le autorita’ competenti NIS, attraverso il punto di contatto
    unico, assicurano la partecipazione al gruppo di cooperazione al fine
    di elaborare ed adottare orientamenti sulle circostanze in cui gli
    operatori di servizi essenziali sono tenuti a notificare gli
    incidenti, compresi i parametri di cui all’articolo 12, comma 8.
  3. Il punto di contatto unico, ove necessario, chiede alle
    autorita’ competenti NIS interessate, nonche’ al CSIRT, la
    partecipazione al gruppo di cooperazione.
  4. Entro il 9 agosto 2018 e in seguito ogni anno, il punto di
    contatto unico trasmette una relazione sintetica al gruppo di
    cooperazione in merito alle notifiche ricevute, compresi il numero di
    notifiche e la natura degli incidenti notificati e alle azioni
    intraprese ai sensi degli articoli 12 e 14.

Art. 11

Rete di CSIRT

  1. Il CSIRT italiano partecipa alla rete di CSIRT, composta da
    rappresentanti dei CSIRT degli Stati membri e del CERT-UE.
  2. Il CSIRT italiano, ai fini del comma 1, provvede a:
    a) scambiare informazioni sui servizi, sulle operazioni e sulle
    capacita’ di cooperazione dei CSIRT;
    b) su richiesta del rappresentante di un CSIRT di uno Stato membro
    potenzialmente interessato da un incidente, scambiare e discutere
    informazioni non sensibili sul piano commerciale connesse a tale
    incidente e i rischi associati, ad eccezione dei casi in cui lo
    scambio di informazioni potrebbe compromettere l’indagine
    sull’incidente;
    c) scambiare e mettere a disposizione su base volontaria
    informazioni non riservate su singoli incidenti;
    d) su richiesta di un rappresentante di un CSIRT di un altro Stato
    membro, discutere e, ove possibile, individuare un intervento
    coordinato per un incidente rilevato nella giurisdizione di quello
    stesso Stato membro;
    e) fornire sostegno agli altri Stati membri nel far fronte a
    incidenti transfrontalieri sulla base dell’assistenza reciproca
    volontaria;
    f) discutere, esaminare e individuare ulteriori forme di
    cooperazione operativa, anche in relazione a:
    1) categorie di rischi e di incidenti;
    2) preallarmi;
    3) assistenza reciproca;
    4) principi e modalita’ di coordinamento, quando gli Stati membri
    intervengono in relazione a rischi e incidenti transfrontalieri;
    g) informare il gruppo di cooperazione in merito alle proprie
    attivita’ e a ulteriori forme di cooperazione operativa discusse
    sulla scorta della lettera f) e chiedere orientamenti in merito;
    h) discutere gli insegnamenti appresi dalle esercitazioni in
    materia di sicurezza delle reti e dei sistemi informativi, comprese
    quelle organizzate dall’ENISA;
    i) formulare orientamenti volti ad agevolare la convergenza delle
    pratiche operative in relazione all’applicazione delle disposizioni
    del presente articolo in materia di cooperazione operativa.

Capo IV

Sicurezza della rete e dei sistemi informativi degli operatori di
servizi essenziali

Art. 12

Obblighi in materia di sicurezza e notifica degli incidenti

  1. Gli operatori di servizi essenziali adottano misure tecniche e
    organizzative adeguate e proporzionate alla gestione dei rischi posti
    alla sicurezza della rete e dei sistemi informativi che utilizzano
    nelle loro operazioni. Tenuto conto delle conoscenze piu’ aggiornate
    in materia, dette misure assicurano un livello di sicurezza della
    rete e dei sistemi informativi adeguato al rischio esistente.
  2. Gli operatori di servizi essenziali adottano misure adeguate per
    prevenire e minimizzare l’impatto di incidenti a carico della
    sicurezza della rete e dei sistemi informativi utilizzati per la
    fornitura dei servizi essenziali, al fine di assicurare la
    continuita’ di tali servizi.
  3. Nell’adozione delle misure di cui ai commi 1 e 2, gli operatori
    di servizi essenziali tengono conto delle linee guida predisposte dal
    gruppo di cooperazione di cui all’articolo 10, nonche’ delle linee
    guida di cui al comma 7.
  4. Fatto salvo quanto previsto dai commi 1, 2 e 3, le autorita’
    competenti NIS possono, se necessario, definire specifiche misure,
    sentiti gli operatori di servizi essenziali.
  5. Gli operatori di servizi essenziali notificano al CSIRT italiano
    e, per conoscenza, all’autorita’ competente NIS, senza ingiustificato
    ritardo, gli incidenti aventi un impatto rilevante sulla continuita’
    dei servizi essenziali forniti.
  6. Il CSIRT italiano inoltra tempestivamente le notifiche
    all’organo istituito presso il Dipartimento informazioni per la
    sicurezza incaricato, ai sensi delle direttive del Presidente del
    Consiglio dei ministri adottate sentito il Comitato interministeriale
    per la sicurezza della Repubblica (CISR), delle attivita’ di
    prevenzione e preparazione ad eventuali situazioni di crisi e di
    attivazione delle procedure di allertamento.
  7. Le notifiche includono le informazioni che consentono al CSIRT
    italiano di determinare un eventuale impatto transfrontaliero
    dell’incidente. La notifica non espone la parte che la effettua a una
    maggiore responsabilita’ rispetto a quella derivante dall’incidente.
    Le autorita’ competenti NIS possono predisporre linee guida per la
    notifica degli incidenti.
  8. Per determinare la rilevanza dell’impatto di un incidente si
    tiene conto in particolare dei seguenti parametri:
    a) il numero di utenti interessati dalla perturbazione del servizio
    essenziale;
    b) la durata dell’incidente;
    c) la diffusione geografica relativamente all’area interessata
    dall’incidente.
  9. Sulla base delle informazioni fornite nella notifica da parte
    dell’operatore di servizi essenziali, il CSIRT italiano informa gli
    eventuali altri Stati membri interessati in cui l’incidente ha un
    impatto rilevante sulla continuita’ dei servizi essenziali.
    10 Ai fini del comma 9, il CSIRT italiano preserva, conformemente
    al diritto dell’Unione europea e alla legislazione nazionale, la
    sicurezza e gli interessi commerciali dell’operatore di servizi
    essenziali, nonche’ la riservatezza delle informazioni fornite nella
    notifica secondo quanto previsto dall’articolo 1, comma 5.
  10. Ove le circostanze lo consentano, il CSIRT italiano fornisce
    all’operatore di servizi essenziali, che effettua la notifica, le
    pertinenti informazioni relative al seguito della notifica stessa,
    nonche’ le informazioni che possono facilitare un trattamento
    efficace dell’incidente.
  11. Su richiesta dell’autorita’ competente NIS o del CSIRT
    italiano, il punto di contatto unico trasmette, previa verifica dei
    presupposti, le notifiche ai punti di contatto unici degli altri
    Stati membri interessati.
  12. Previa valutazione da parte dell’organo di cui al comma 6,
    l’autorita’ competente NIS, d’intesa con il CSIRT italiano, dopo aver
    consultato l’operatore dei servizi essenziali notificante, puo’
    informare il pubblico in merito ai singoli incidenti, qualora ne sia
    necessaria la sensibilizzazione per evitare un incidente o gestire un
    incidente in corso.
  13. Dall’attuazione del presente articolo non devono derivare nuovi
    o maggiori oneri a carico della finanza pubblica. Gli operatori di
    servizi essenziali provvedono agli adempimenti previsti dal presente
    articolo a valere sulle risorse finanziarie disponibili sui propri
    bilanci.

Art. 13

Attuazione e controllo

  1. Le autorita’ competenti NIS valutano il rispetto da parte degli
    operatori di servizi essenziali degli obblighi previsti dall’articolo
    12, nonche’ i relativi effetti sulla sicurezza della rete e dei
    sistemi informativi.
  2. Ai fini del comma 1, gli operatori di servizi essenziali sono
    tenuti a fornire all’autorita’ competente NIS:
    a) le informazioni necessarie per valutare la sicurezza della loro
    rete e dei loro sistemi informativi, compresi i documenti relativi
    alle politiche di sicurezza;
    b) la prova dell’effettiva attuazione delle politiche di sicurezza,
    come i risultati di un audit sulla sicurezza svolto dall’autorita’
    competente NIS o da un revisore abilitato e, in quest’ultimo caso,
    metterne a disposizione dell’autorita’ competente NIS i risultati,
    inclusi gli elementi di prova.
  3. Quando richiede le informazioni o le prove di cui al comma 2,
    l’autorita’ competente NIS indica lo scopo delle richieste
    specificando il tipo di informazioni da fornire.
  4. A seguito della valutazione delle informazioni o dei risultati
    degli audit sulla sicurezza di cui al comma 2, l’autorita’ competente
    NIS puo’ emanare istruzioni vincolanti per gli operatori di servizi
    essenziali al fine di porre rimedio alle carenze individuate.
  5. Nei casi di incidenti che comportano violazioni di dati
    personali, l’autorita’ competente NIS opera in stretta cooperazione
    con il Garante per la protezione dei dati personali.

Capo V

Sicurezza della rete e dei sistemi informativi dei fornitori di
servizi digitali

Art. 14

Obblighi in materia di sicurezza e notifica degli incidenti

  1. I fornitori di servizi digitali identificano e adottano misure
    tecniche e organizzative adeguate e proporzionate alla gestione dei
    rischi relativi alla sicurezza della rete e dei sistemi informativi
    che utilizzano nel contesto dell’offerta di servizi di cui
    all’allegato III all’interno dell’Unione europea.
  2. Tenuto conto delle conoscenze piu’ aggiornate in materia, tali
    misure assicurano un livello di sicurezza della rete e dei sistemi
    informativi adeguato al rischio esistente e tengono conto dei
    seguenti elementi:
    a) la sicurezza dei sistemi e degli impianti;
    b) trattamento degli incidenti;
    c) gestione della continuita’ operativa;
    d) monitoraggio, audit e test;
    e) conformita’ con le norme internazionali.
  3. I fornitori di servizi digitali adottano misure per prevenire e
    minimizzare l’impatto di incidenti a carico della sicurezza della
    rete e dei sistemi informativi del fornitore di servizi digitali sui
    servizi di cui all’allegato III offerti all’interno dell’Unione
    europea, al fine di assicurare la continuita’ di tali servizi.
  4. I fornitori di servizi digitali notificano al CSIRT italiano e,
    per conoscenza, all’autorita’ competente NIS, senza ingiustificato
    ritardo, gli incidenti aventi un impatto rilevante sulla fornitura di
    un servizio di cui all’allegato III che essi offrono all’interno
    dell’Unione europea.
  5. Le notifiche includono le informazioni che consentono al CSIRT
    italiano di determinare la rilevanza di un eventuale impatto
    transfrontaliero. La notifica non espone la parte che la effettua a
    una maggiore responsabilita’ rispetto a quella derivante
    dall’incidente.
  6. Il CSIRT italiano inoltra tempestivamente le notifiche
    all’organo di cui all’articolo 12, comma 6.
  7. Al fine di determinare la rilevanza dell’impatto di un
    incidente, sono tenuti in considerazione, in particolare, i seguenti
    parametri:
    a) il numero di utenti interessati dall’incidente, in particolare
    gli utenti che dipendono dal servizio digitale per la fornitura dei
    propri servizi;
    b) la durata dell’incidente;
    c) la diffusione geografica relativamente all’area interessata
    dall’incidente;
    d) la portata della perturbazione del funzionamento del servizio;
    e) la portata dell’impatto sulle attivita’ economiche e sociali.
  8. L’obbligo di notificare un incidente si applica soltanto qualora
    il fornitore di servizi digitali abbia accesso alle informazioni
    necessarie per valutare l’impatto di un incidente con riferimento ai
    parametri di cui al comma 7.
  9. Qualora un operatore di servizi essenziali dipenda da una terza
    parte fornitrice di servizi digitali per la fornitura di un servizio
    che e’ indispensabile per il mantenimento di attivita’ economiche e
    sociali fondamentali, l’operatore stesso notifica qualsiasi impatto
    rilevante per la continuita’ di servizi essenziali dovuto ad un
    incidente a carico di tale operatore.
  10. Qualora l’incidente di cui al comma 4 riguardi due o piu’ Stati
    membri, il CSIRT italiano informa gli altri Stati membri coinvolti.
  11. Ai fini del comma 9, il CSIRT italiano tutela, nel rispetto del
    diritto dell’Unione europea e della legislazione nazionale, la
    sicurezza e gli interessi commerciali del fornitore del servizio
    digitale nonche’ la riservatezza delle informazioni fornite.
  12. Previa valutazione da parte dell’organo di cui all’articolo 12,
    comma 6, l’autorita’ competente NIS, d’intesa con il CSIRT italiano,
    dopo aver consultato il fornitore di servizi digitali interessato e,
    se del caso, le autorita’ competenti o i CSIRT degli altri Stati
    membri interessati, puo’ informare il pubblico riguardo ai singoli
    incidenti o chiedere al fornitore di servizi digitali di provvedervi,
    qualora ne sia necessaria la sensibilizzazione per evitare un
    incidente o gestirne uno in corso, o qualora sussista comunque un
    interesse pubblico alla divulgazione dell’incidente.
  13. I fornitori di servizi digitali applicano le disposizioni di
    attuazione degli atti di esecuzione della Commissione europea che
    specificano ulteriormente le misure tecnico-organizzative di cui al
    comma 1 e i parametri, ivi compresi formati e procedure, relativi
    agli obblighi di notifica di cui al comma 4.
  14. Fatto salvo quanto previsto dall’articolo 1, comma 7, non sono
    imposti ulteriori obblighi in materia di sicurezza o di notifica ai
    fornitori di servizi digitali.
  15. Il presente capo non si applica alle microimprese e alle
    piccole imprese quali definite nella raccomandazione della
    Commissione europea del 6 maggio 2003, n. 2003/361/CE.

Art. 15

Attuazione e controllo

  1. Nel caso in cui sia dimostrato il mancato rispetto degli
    obblighi di cui all’articolo 14 da parte dei fornitori di servizi
    digitali, l’autorita’ competente NIS puo’ adottare misure di
    vigilanza ex post adeguate alla natura dei servizi e delle
    operazioni. La dimostrazione del mancato rispetto degli obblighi puo’
    essere prodotta dall’autorita’ competente di un altro Stato membro in
    cui e’ fornito il servizio.
  2. Ai fini del comma 1, i fornitori di servizi digitali sono tenuti
    a:
    a) fornire le informazioni necessarie per valutare la sicurezza
    della loro rete e dei loro sistemi informativi, compresi i documenti
    relativi alle politiche di sicurezza;
    b) porre rimedio ad ogni mancato adempimento degli obblighi di cui
    all’articolo 14.
  3. Se un fornitore di servizi digitali ha lo stabilimento
    principale o un rappresentante in uno Stato membro, ma la sua rete o
    i suoi sistemi informativi sono ubicati in uno o piu’ altri Stati
    membri, l’autorita’ competente dello Stato membro dello stabilimento
    principale o del rappresentante e le autorita’ competenti dei
    suddetti altri Stati membri cooperano e si assistono reciprocamente
    in funzione delle necessita’. Tale assistenza e cooperazione puo’
    comprendere scambi di informazioni tra le autorita’ competenti
    interessate e richieste di adottare le misure di vigilanza di cui al
    comma 1.

Art. 16

Giurisdizione e territorialita’

  1. Ai fini del presente decreto, un fornitore di servizi digitali
    e’ considerato soggetto alla giurisdizione dello Stato membro in cui
    ha lo stabilimento principale. Un fornitore di servizi digitali e’
    comunque considerato avere il proprio stabilimento principale in uno
    Stato membro quando ha la sua sede sociale in tale Stato membro.
  2. Un fornitore di servizi digitali che non e’ stabilito
    nell’Unione europea, ma offre servizi di cui all’allegato III
    all’interno dell’Unione europea, designa un rappresentante
    nell’Unione europea.
  3. Il rappresentante e’ stabilito in uno di quegli Stati membri in
    cui sono offerti i servizi. Il fornitore di servizi digitali e’
    considerato soggetto alla giurisdizione dello Stato membro in cui e’
    stabilito il suo rappresentante.
  4. La designazione di un rappresentante da parte di un fornitore di
    servizi digitali fa salve le azioni legali che potrebbero essere
    avviate nei confronti del fornitore stesso di servizi digitali.

Capo VI

Normazione e notifica volontaria

Art. 17

Normazione

  1. Ai fini dell’attuazione armonizzata dell’articolo 12, commi 1 e
    2, e dell’articolo 14, commi 1, 2 e 3, le autorita’ competenti NIS
    promuovono l’adozione di norme e specifiche europee o accettate a
    livello internazionale relative alla sicurezza della rete e dei
    sistemi informativi, senza imporre o creare discriminazioni a favore
    dell’uso di un particolare tipo di tecnologia.
  2. Le autorita’ competenti NIS tengono conto dei pareri e delle
    linee guida predisposti dall’ENISA, in collaborazione con gli Stati
    membri, riguardanti i settori tecnici da prendere in considerazione
    in relazione al comma 1, nonche’ le norme gia’ esistenti, comprese le
    norme nazionali, che potrebbero essere applicate a tali settori.

Art. 18

Notifica volontaria

  1. I soggetti che non sono stati identificati come operatori di
    servizi essenziali e non sono fornitori di servizi digitali possono
    notificare, su base volontaria, gli incidenti aventi un impatto
    rilevante sulla continuita’ dei servizi da loro prestati.
  2. Nel trattamento delle notifiche, il CSIRT italiano applica la
    procedura di cui all’articolo 12.
  3. Le notifiche obbligatorie sono trattate prioritariamente
    rispetto alle notifiche volontarie.
  4. Le notifiche volontarie sono trattate soltanto qualora tale
    trattamento non costituisca un onere sproporzionato o eccessivo.
  5. La notifica volontaria non puo’ avere l’effetto di imporre al
    soggetto notificante alcun obbligo a cui non sarebbe stato sottoposto
    se non avesse effettuato tale notifica.

Capo VII

Disposizioni finali

Art. 19

Poteri ispettivi

  1. L’attivita’ di ispezione e verifica necessarie per le misure
    previste dagli articoli 12, 13, 14 e 15, fatte salve le attribuzioni
    e le competenze degli organi preposti alla tutela dell’ordine e della
    sicurezza pubblica, sono svolte dalle autorita’ competenti NIS.
  2. Con successivo Accordo tra Governo, Regioni e Province autonome
    di Trento e di Bolzano sono definiti i criteri uniformi in ambito
    nazionale per lo svolgimento delle attivita’ di ispezione e verifica,
    necessarie per le misure previste dagli articoli 12, 13, 14 e 15, che
    riguardano le reti e i sistemi informativi utilizzati dagli operatori
    che prestano attivita’ di assistenza sanitaria, nonche’ in merito al
    settore fornitura e distribuzione di acqua potabile.

Art. 20

Autorita’ competente e regime dell’accertamento e dell’irrogazione
delle sanzioni amministrative

  1. Le autorita’ competenti NIS di cui all’articolo 7, comma 1,
    lettere a), b), c), d) ed e), per i rispettivi settori e sottosettori
    di riferimento di cui all’allegato II e per i servizi di cui
    all’allegato III, sono competenti per l’accertamento delle violazioni
    e per l’irrogazione delle sanzioni amministrative previste dal
    presente decreto.
  2. Ai fini dell’accertamento e dell’irrogazione delle sanzioni
    amministrative di cui al comma 1, si osservano le disposizioni
    contenute nel capo I, sezioni I e II, della legge 24 novembre 1981,
    n. 689.

Art. 21

Sanzioni amministrative

  1. Salvo che il fatto costituisca reato, l’operatore di servizi
    essenziali che non adotta le misure tecniche e organizzative adeguate
    e proporzionate per la gestione del rischio per la sicurezza della
    rete e dei sistemi informativi, ai sensi dell’articolo 12, comma 1,
    e’ soggetto ad una sanzione amministrativa pecuniaria da 12.000 euro
    a 120.000 euro. La sanzione e’ ridotta di un terzo se lo stesso fatto
    e’ commesso da un fornitore di servizio digitale, in violazione degli
    obblighi di cui all’articolo 14, comma 1.
  2. Salvo che il fatto costituisca reato, l’operatore di servizi
    essenziali che non adotta le misure adeguate per prevenire e
    minimizzare l’impatto di incidenti a carico della sicurezza della
    rete e dei sistemi informativi utilizzati per la fornitura dei
    servizi essenziali, ai sensi dell’articolo 12, comma 2, e’ soggetto
    ad una sanzione amministrativa pecuniaria da 12.000 euro a 120.000
    euro. La sanzione e’ ridotta di un terzo se lo stesso fatto e’
    commesso da un fornitore di servizio digitale, in violazione degli
    obblighi di cui all’articolo 14, comma 3.
  3. Salvo che il fatto costituisca reato, l’operatore di servizio
    essenziale che non notifica al CSIRT italiano gli incidenti aventi un
    impatto rilevante sulla continuita’ dei servizi essenziali forniti,
    ai sensi dell’articolo 12, comma 5, e’ soggetto ad una sanzione
    amministrativa pecuniaria da 25.000 euro a 125.000 euro.
  4. Salvo che il fatto costituisca reato, l’operatore di servizio
    essenziale che non ottempera agli obblighi, ai sensi dell’articolo
    13, comma 2, e’ soggetto ad una sanzione amministrativa pecuniaria da
    12.000 euro a 120.000 euro.
  5. Salvo che il fatto costituisca reato, l’operatore di servizio
    essenziale che non osserva le istruzioni, ai sensi dell’articolo 13,
    comma 4, e’ soggetto ad una sanzione amministrativa pecuniaria da
    15.000 euro a 150.000 euro.
  6. Salvo che il fatto costituisca reato, il fornitore di servizio
    digitale che non notifica al CSIRT italiano gli incidenti aventi un
    impatto rilevante sulla fornitura di un servizio fornito, ai sensi
    dell’articolo 14, comma 4, e’ soggetto ad una sanzione amministrativa
    pecuniaria da 25.000 euro a 125.000 euro.
  7. Salvo che il fatto costituisca reato, l’operatore di servizi
    essenziali dipendente da terze parti che fornisce servizi digitali
    per la fornitura di un servizio che e’ indispensabile per il
    mantenimento di attivita’ economiche e sociali fondamentali, che
    ometta la notifica, ai sensi dell’articolo 14, comma 9, e’ soggetto
    ad una sanzione amministrativa pecuniaria da 12.000 euro a 120.000
    euro.
  8. Salvo che il fatto costituisca reato, il fornitore di servizi
    digitali che non osserva gli obblighi ai sensi dell’articolo 15,
    comma 2, e’ soggetto ad una sanzione amministrativa pecuniaria da
    12.000 euro a 120.000 euro.
  9. Si ha reiterazione delle violazioni di cui al presente articolo
    nei casi regolati dall’articolo 8-bis della legge 24 novembre del
    1981, n. 689. La reiterazione determina l’aumento fino al triplo
    della sanzione prevista.

Art. 22

Disposizioni finanziarie

  1. Agli oneri derivanti dagli articoli 7 e 8, pari a 5.300.000 euro
    per l’anno 2018 e 3.300.000 euro annui a decorrere dall’anno 2019, si
    provvede mediante corrispondente riduzione del Fondo per il
    recepimento della normativa europea di cui all’articolo 41-bis della
    legge 24 dicembre 2012, n. 234.
  2. Le spese ICT sostenute dalle pubbliche amministrazioni ai sensi
    degli articoli 7, 8 e 12 del presente decreto e piu’ in generale le
    spese ICT sostenute per l’adeguamento dei sistemi informativi al
    presente decreto sono coerenti con il Piano triennale per
    l’informatica nella pubblica amministrazione ai sensi dei commi da
    512 a 520, dell’articolo 1, della legge 28 dicembre 2015, n. 208.
  3. Dall’attuazione del presente decreto, ad esclusione degli
    articoli 7 e 8, non devono derivare nuovi o maggiori oneri a carico
    della finanza pubblica e le amministrazioni pubbliche provvedono con
    le risorse umane, strumentali e finanziarie previste a legislazione
    vigente.
  4. Il Ministro dell’economia e delle finanze e’ autorizzato ad
    apportare le occorrenti variazioni di bilancio negli stati di
    previsione interessati.
    Il presente decreto munito del sigillo dello Stato, sara’ inserito
    nella Raccolta ufficiale degli atti normativi della Repubblica
    italiana. E’ fatto obbligo a chiunque spetti di osservarlo e di farlo
    osservare.
    Dato a Roma, addi’, 18 maggio 2018

MATTARELLA

Gentiloni Silveri, Presidente del
Consiglio dei ministri

Calenda, Ministro dello sviluppo
economico

Alfano, Ministro degli affari esteri
e della cooperazione internazionale

Orlando, Ministro della giustizia

Minniti, Ministro dell’interno

Pinotti, Ministro della difesa

Lorenzin, Ministro della salute

Padoan, Ministro dell’economia e
delle finanze

Visto, il Guardasigilli: Orlando

Allegato I
(di cui all’art. 8)

REQUISITI E COMPITI DEI GRUPPI DI INTERVENTO PER LA SICUREZZA
INFORMATICA IN CASO DI INCIDENTE (CSIRT)

I requisiti e i compiti del CSIRT sono adeguatamente e
chiaramente definiti ai sensi del presente decreto e del decreto del
Presidente del Consiglio dei ministri di cui all’art. 8, comma 2.
Essi includono quanto segue:
1. Requisiti per il CSIRT
a) Il CSIRT garantisce un alto livello di disponibilita’ dei
propri servizi di comunicazione, evitando singoli punti di guasto, e
dispone di vari mezzi che permettono allo stesso di essere contattato
e di contattare altri in qualsiasi momento. Inoltre, i canali di
comunicazione sono chiaramente specificati e ben noti alla loro base
di utenti e ai partner con cui collaborano.
b) I locali del CSIRT e i sistemi informativi di supporto sono
ubicati in siti sicuri.
c) Continuita’ operativa:
i. il CSIRT e’ dotato di un sistema adeguato di gestione e
inoltro delle richieste in modo da facilitare i passaggi;
ii. il CSIRT dispone di personale sufficiente per garantirne
l’operativita’ 24 ore su 24;
iii. il CSIRT opera in base a un’infrastruttura di cui e’
garantita la continuita’. A tal fine e’ necessario che siano
disponibili sistemi ridondanti e spazi di lavoro di backup.
d) Il CSIRT ha la possibilita’, se lo desidera, di partecipare a
reti di cooperazione internazionale.
2. Compiti del CSIRT
a) I compiti del CSIRT comprendono almeno:
i. monitoraggio degli incidenti a livello nazionale;
ii. emissione di preallarmi, allerte, annunci e divulgazione di
informazioni alle parti interessate in merito a rischi e incidenti;
iii. intervento in caso di incidente;
iv. analisi dinamica dei rischi e degli incidenti, nonche’
sensibilizzazione situazionale;
v. partecipazione alla rete dei CSIRT;
b) il CSIRT stabilisce relazioni di cooperazione con il settore
privato;
c) per facilitare la cooperazione, il CSIRT promuove l’adozione e
l’uso di prassi comuni o standardizzate nei seguenti settori:
i. procedure di trattamento degli incidenti e dei rischi;
ii. sistemi di classificazione degli incidenti, dei rischi e
delle informazioni.

Allegato II

Allegato III

(di cui all’art. 3, comma 1, lettera h)

TIPI DI SERVIZI DIGITALI

  1. Mercato online
  2. Motore di ricerca online
  3. Servizi di cloud computing

Atto di indirizzo 14 maggio 2018, AOOUFGAB 39

Atto di Indirizzo 14 maggio 2018, AOOUFGAB 39

Aggiornamento 2017 al Piano nazionale anticorruzione – Sezione Università approvato con Delibera ANAC 22 novembre 2017, n. 1208


Dai codici etici, alla figura del responsabile anticorruzione. Dalla trasparenza nella gestione delle risorse destinate alla ricerca, alla prevenzione dei conflitti di interessi che possono determinarsi quando il personale docente o della ricerca ha incarichi anche all’esterno. Sono alcuni dei temi affrontati nell’Atto di indirizzo in materia di anticorruzione che è stato inviato oggi agli Atenei e agli Enti di ricerca. Il documento arriva a valle dell’aggiornamento del Piano Nazionale Anticorruzione, approvato con apposita delibera lo scorso novembre, che, per la prima volta, contiene una sezione dedicata all’Università. Sezione attraverso la quale l’Autorità nazionale anticorruzione (ANAC) ha invitato il MIUR a raccomandare alle Università (e, per quanto compatibile, agli Enti di ricerca) l’adozione di misure per contrastare fenomeni di corruzione, di cattiva amministrazione e di conflitto di interessi. Il documento è da oggi disponibile sul sito del Ministero dell’Istruzione, dell’Università e della Ricerca ed è stato inviato ai rettori delle Università, ai presidenti degli Enti di ricerca vigilati dal MIUR, al Presidente dell’ANVUR (Agenzia Nazionale di Valutazione del Sistema Universitario e della Ricerca).

“L’Atto di indirizzo che emaniamo è frutto di un lungo lavoro che abbiamo portato avanti in questi mesi con l’ANAC. Lavoro che ha visto anche il coinvolgimento, in appositi tavoli tecnici, durante la stesura del Piano Nazionale Anticorruzione dei rappresentanti del mondo universitario (CRUI e CUN), degli studenti, dell’Agenzia Nazionale di Valutazione del Sistema Universitario e della Ricerca (ANVUR)”, dichiara la Ministra dell’Istruzione, dell’Università e della Ricerca, Valeria Fedeli. “È stato fatto un percorso importante e di grande rilievo, che offre una linea comune di intervento al sistema accademico su un tema particolarmente sensibile come quello dell’anticorruzione, della trasparenza. Aver inserito le università nell’aggiornamento del Piano Nazionale Anticorruzione – prosegue Fedeli – è stata una scelta precisa, in linea con le politiche di rilancio e innovazione del nostro sistema accademico e della ricerca portate avanti dal Governo uscente. Il tassello che riguarda la trasparenza, l’assunzione di responsabilità, la corretta gestione dei procedimenti amministrativi è fondamentale. Con le linee che offriamo agli atenei sarà possibile da un lato valorizzare la parte migliore dell’Università e il suo contributo allo sviluppo del Paese, dall’altro intervenire su alcune criticità applicative di istituti normativi di rilevante portata”.

L’Atto di indirizzo è suddiviso in tre parti: la prima, contiene una ricognizione degli interventi richiesti da ANAC che esigono provvedimenti di tipo regolatorio, di rango legislativo/normativo o amministrativo; la seconda, contiene una ricognizione degli interventi richiesti da ANAC direttamente alle Università; la terza, riguarda gli “Istituti di particolare interesse per il sistema universitario e della ricerca”, in materia, in particolare, di situazioni di possibile conflitto di interessi, cui ha dato il proprio contributo l’ANAC come previsto dall’aggiornamento del Piano Nazionale Anticorruzione.

Fra i punti chiave del documento (in allegato) la necessità di proseguire gli sforzi già messi in campo dal MIUR per rendere sempre più accessibili i fondi per la ricerca superando la frammentarietà del quadro dei finanziamenti e di governance attualmente esistente. Sarà sollecitata anche la partecipazione di tutti i docenti universitari all’albo ‘Reprise’ dei valutatori dei progetti di ricerca, per ampliarne il numero e garantire quindi una rosa molto più ampia di esperti da poter coinvolgere. Per il reclutamento dei docenti universitari si ricorda la sollecitazione dell’ANAC a favorire le procedure concorsuali aperte agli esterni. ANAC e MIUR, si legge sempre nell’Atto di indirizzo, predisporranno apposite linee guida per orientare e promuovere un nuovo ciclo di codici di comportamento/etici da parte delle Università. Sarà rivista la disciplina che regola le Università telematiche per renderla più rispondente alle caratteristiche del settore e al contempo omogenizzarla con quella relativa alle Università tradizionali. Indicazioni sono date anche in merito al responsabile della prevenzione della corruzione e della trasparenza: per tale ruolo va garantita l’indipendenza dalla sfera politico-gestionale. La terza parte del documento è infine dedicata, in particolare, al tema delle incompatibilità e delle attività esterne dei docenti delle Università, con lo scopo di offrire, per la prima volta, un regime di azione omogeneo fra gli atenei che fino ad oggi si sono mossi in modo diverso anche a causa di difficoltà interpretative della legislazione vigente. Attività di consulenza, esercizio di attività libero-professionali, titolarità della partita IVA, attività negli enti senza scopo di lucro sono fra gli argomenti trattati. Con l’invito finale agli atenei ad adeguare i regolamenti interni recependo le indicazioni contenute nell’Atto di indirizzo.

Verifiche e interventi rischio sismico

Avviso 28 marzo 2018, AOODGEFID 8008
AVVISO PUBBLICO PER IL FINANZIAMENTO IN FAVORE DI ENTI LOCALI DI VERIFICHE DI VULNERABILITÀ SISMICA E PROGETTAZIONE DI EVENTUALI INTERVENTI DI ADEGUAMENTO ANTISISMICO


Scuola, dal MIUR e dal Dipartimento Casa Italia 145 milioni agli enti locali per verifiche di vulnerabilità e progettazione di eventuali interventi di adeguamento nelle zone sismiche 1 e 2

Online l’avviso pubblico per la selezione

È da oggi disponibile sul sito del MIUR l’avviso pubblico che stanzia circa 145 milioni di euro in favore degli enti locali per effettuare le verifiche per la valutazione del rischio sismico e la progettazione di eventuali interventi di adeguamento nelle scuole che si trovano all’interno delle zone 1 e 2. Di questi, 100 milioni sono messi a disposizione dal Ministero dell’Istruzione, dell’Università e della Ricerca e 45 dal Dipartimento Casa Italia della Presidenza del Consiglio dei Ministri. Il 20% delle risorse MIUR viene destinato ai Comuni delle quattro Regioni (Abruzzo, Lazio, Marche e Umbria) colpite dai terremoti del 2016 e del 2017.

“Ancora una volta – dichiara la Ministra Valeria Fedeli – manteniamo un impegno, dimostrando quanto prioritaria sia per noi l’edilizia scolastica. Garantire sicurezza, ambienti decorosi e innovativi alle nostre giovani e ai nostri giovani è fondamentale, oltre che funzionale all’apprendimento e all’istruzione di qualità che vogliamo fornire loro. Questo avviso pubblico, che ci vede collaborare con il Dipartimento Casa Italia, ci consente di intervenire nelle aree più fragili del nostro Paese, in maniera strategica, per adeguare le nostre scuole rispetto al rischio sismico. Vogliamo che il tempo trascorso dietro i banchi sia sicuro e proficuo per le alunne e gli alunni, che le famiglie e le comunità scolastiche possano riconoscere il ruolo di centro aggregativo, di luogo protetto e saldo dei nostri istituti scolastici. All’inizio di quest’anno abbiamo firmato due importanti decreti che consolidano questo percorso e rafforzano la nostra intenzione, il primo per le indagini diagnostiche sui solai, il secondo per interventi di miglioramento e adeguamento antisismico. Continuiamo a destinare risorse a questo settore e ad orientarle in base alle reali esigenze del Paese”.

Gli enti locali proprietari di uno o più edifici scolastici di ogni ordine e grado, che si trovano nelle zone sismiche 1 e 2 e censiti nell’Anagrafe dell’edilizia scolastica, possono richiedere il finanziamento per le verifiche di vulnerabilità sismica e, qualora fosse necessario, per le progettazioni di eventuali interventi di adeguamento antisismico. La graduatoria dei beneficiari verrà definita in base ai criteri indicati nell’avviso pubblico, tra cui la vetustà degli edifici, la quota di cofinanziamento, l’appartenenza alla zona sismica 1 o 2, la tipologia costruttiva e di progettazione.

A selezione conclusa, la graduatoria predisposta dal Ministero dell’Istruzione, dell’Università e della Ricerca verrà trasferita al Dipartimento Casa Italia della Presidenza del Consiglio dei Ministri, che provvederà a finanziare, nell’area di propria competenza e con le proprie risorse, le verifiche di vulnerabilità e la progettazione di eventuali interventi di adeguamento degli edifici scolastici che si trovano nella zona sismica 1.

Le domande ammesse al finanziamento in zona 1 che eccederanno la quota di risorse a disposizione del Dipartimento Casa Italia saranno finanziate dal MIUR, che provvederà ad autorizzare le verifiche di valutazione del rischio sismico e le eventuali progettazioni anche nella zona 2, sempre in base alla graduatoria e nei limiti delle risorse disponibili. I contributi saranno erogati da Cassa depositi e prestiti direttamente agli enti locali.

Il contributo per la progettazione sarà riconosciuto per l’importo richiesto solo se, dopo la verifica di vulnerabilità, l’indice di rischio risulterà inferiore allo 0,8 (e quindi sarà necessario sviluppare la progettazione di adeguamento sismico). Non sarà riconosciuto, invece, se l’ente locale deciderà di predisporre una nuova costruzione piuttosto che un intervento di adeguamento sismico, in quanto non conveniente.

Avviso 28 marzo 2018, AOODGEFID 8008

Ministero dell’Istruzione, dell’Università e della Ricerca
Dipartimento per la Programmazione e la gestione delle risorse umane, finanziarie e strumentali
Direzione Generale per interventi in materia di edilizia scolastica, per la gestione dei fondi strutturali per l’istruzione e per l’innovazione digitale

Avviso 28 marzo 2018, AOODGEFID 8008

Avviso pubblico per il finanziamento in favore di enti locali di verifiche di vulnerabilità sismica e progettazione di eventuali interventi di adeguamento antisismico

Codice della Privacy in CdM

Il Consiglio dei ministri, nel corso della riunione del 21 marzo 2018, approva, in esame preliminare, un decreto legislativo recante il Regolamento generale sulla protezione dei dati.


CODICE DELLA PRIVACY

Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)(decreto legislativo – esame preliminare)

Il Consiglio dei Ministri, su proposta del Presidente Paolo Gentiloni e del Ministro della giustizia Andrea Orlando, ha approvato, in esame preliminare, un decreto legislativo che, in attuazione dell’art. 13 della legge di delegazione europea 2016-2017 (legge 25 ottobre 2017, n. 163), introduce disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

A far data dal 25 maggio 2018, data in cui le disposizioni di diritto europeo acquisteranno efficacia, il vigente Codice in materia di protezione dei dai personali, di cui al decreto legislativo 30 giugno 2003, n. 196, sarà abrogato e la nuova disciplina in materia sarà rappresentata principalmente dalle disposizioni del suddetto Regolamento immediatamente applicabili e da quelle recate dallo schema di decreto volte ad armonizzare l’ordinamento interno al nuovo quadro normativo dell’Unione Europea in tema di tutela della privacy.