Art. 29 Rafforzamento della disciplina cyber

1. Al fine di prevenire pregiudizi alla sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, derivanti dal rischio che le aziende produttrici di prodotti e servizi tecnologici di sicurezza informatica legate alla Federazione Russa non siano in grado di fornire servizi e aggiornamenti ai propri prodotti appartenenti alle categorie individuate al comma 3, in conseguenza della crisi in Ucraina, le medesime amministrazioni procedono tempestivamente alla diversificazione dei prodotti in uso.

2. Fermo restando quanto previsto dall'articolo 1, comma 2, lettera a), del decreto-legge 16 luglio 2020, n. 76, convertito, con modificazioni, dalla legge 11 settembre 2020, n. 120, le stazioni appaltanti, che procedono ai sensi del comma 1, provvedono all'acquisto di un ulteriore prodotto o servizio tecnologico di sicurezza informatica di cui al comma 3 e connessi servizi di supporto mediante gli strumenti di acquisto messi a disposizione dalle centrali di committenza, ovvero, laddove non sussistano o non siano comunque disponibili nell'ambito di tali strumenti, mediante la procedura negoziata senza previa pubblicazione del bando di cui all'articolo 63 del decreto legislativo 16 aprile 2016, n. 50, anche in deroga a quanto disposto dal comma 6, secondo periodo, del medesimo articolo 63.

3. Le categorie di prodotti e servizi di cui al comma 1 sono indicate con circolare dell'Agenzia per la cybersicurezza nazionale, tra quelle volte ad assicurare le seguenti funzioni di sicurezza:

a) sicurezza dei dispositivi (endpoint security), ivi compresi applicativi antivirus, antimalware ed «endpoint detection and response» (EDR);

b) «web application firewall» (WAF);

4. Dall'attuazione dei commi 1, 2 e 3 non derivano effetti che possano costituire presupposto per l'azione di responsabilità di cui all'articolo 1 della legge 14 gennaio 1994, n. 20. Le amministrazioni interessate provvedono agli adempimenti previsti dai commi 1, 2 e 3 con le risorse umane, finanziarie e strumentali disponibili a legislazione vigente.

5. All'articolo 5, comma 1, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, dopo le parole «fattore di rischio o alla sua mitigazione,» sono inserite le seguenti: «in deroga ad ogni disposizione vigente, nel rispetto dei principi generali dell'ordinamento giuridico e» e, dopo il primo periodo sono aggiunti i seguenti: «Laddove nelle determinazioni di cui al presente comma sia recata deroga alle leggi vigenti anche ai fini delle ulteriori necessarie misure correlate alla disattivazione o all'interruzione, le stesse determinazioni devono contenere l'indicazione delle principali norme a cui si intende derogare e tali deroghe devono essere specificamente motivate. Le determinazioni di cui al presente comma non sono soggetti al controllo preventivo di legittimità di cui all'articolo 3 della legge 14 gennaio 1994, n. 20.».

6. Al fine di consentire il più rapido avvio delle attività strumentali alla tutela della sicurezza nazionale nello spazio cibernetico, all'articolo 12 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, dopo il comma 8 è aggiunto il seguente: «8-bis. In relazione alle assunzioni a tempo determinato di cui al comma 2, lettera b), i relativi contratti per lo svolgimento delle funzioni volte alla tutela della sicurezza nazionale nello spazio cibernetico attribuite all'Agenzia, possono prevedere una durata massima di quattro anni, rinnovabile per periodi non superiori ad ulteriori complessivi quattro anni. Delle assunzioni e dei rinnovi disposti ai sensi del presente comma è data comunicazione al COPASIR nell'ambito della relazione di cui all'articolo 14, comma 2.».