Le Norme di adeguamento della normativa nazionale alle disposizioni del Titolo III «Quadro di certificazione della cibersicurezza» del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio del 17 aprile 2019 relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza») contenute nel decreto legislativo 3 agosto 2022 n. 123, sono state pubblicate sulla Gazzetta Ufficiale n. 194 del 20 agosto 2022. Il decreto stabilisce misure volte ad adeguare la normativa nazionale al nuovo quadro europeo di certificazione della cybersicurezza, introdotto mediante le disposizioni del Titolo III del regolamento (UE) 2019/881. In particolare esso prevede: l'individuazione dell'organizzazione dell’autorità nazionale di certificazione della cybersicurezza in Italia in base ai compiti ed ai poteri ad essa attribuiti in materia di vigilanza in ambito nazionale e di rilascio dei certificati di cybersicurezza, con riferimento al quadro europeo di certificazione; le modalità di cooperazione dell’autorità con le altre autorità pubbliche nazionali ed europee e con l'Organismo di accreditamento; la definizione di un sistema sanzionatorio applicabile in caso di violazione delle norme del quadro europeo di certificazione con sanzioni effettive, proporzionate e dissuasive. Il decreto trova applicazione fatte salve le disposizioni specifiche riguardanti le attività nel settore della pubblica sicurezza, della difesa, della sicurezza nazionale e le attività dello Stato nell'ambito del diritto penale. Agenzia per la cybersicurezza nazionale L'Agenzia per la cybersicurezza nazionale è l’autorità nazionale di certificazione della cybersicurezza. L'Agenzia realizza l’attività di vigilanza del mercato in ambito nazionale ai fini della corretta applicazione delle regole previste dai sistemi europei di certificazione della cybersicurezza, con riferimento ai certificati di cybersicurezza ed alle dichiarazioni UE di conformità emessi nel territorio dello Stato vigilando sui fornitori e fabbricanti emittenti le dichiarazioni UE di conformità, sui titolari di certificati europei di cybersicurezza e sugli organismi di valutazione della conformità. L'Agenzia, nello svolgimento dell’attività di vigilanza opera anche in collaborazione con altre autorità di vigilanza del mercato competenti in Italia e con le autorità di vigilanza degli altri Stati membri. L'Agenzia esegue l’attività di vigilanza anche in collaborazione con le Forze dell'ordine. L'Agenzia può effettuare, nei confronti degli organismi di valutazione della conformità, dei titolari dei certificati europei di cybersicurezza e degli emittenti le dichiarazioni di conformità UE, indagini ed audit, ottenendo informazioni anche tramite l'accesso ai locali degli organismi di valutazione della conformità o dei titolari dei certificati europei di cybersicurezza, revocare certificati, irrogare sanzioni pecuniarie ed accessorie. L’attività di vigilanza dell'Agenzia può prevedere prelievi di prodotti. Rilascio dei certificati di cybersicurezza L'Agenzia rilascia i certificati di cybersicurezza con livello di affidabilità elevato tramite l'Organismo di Certificazione della Sicurezza Informatica (OCSI) che si può avvalere di esperti o di laboratori di prova abilitati dall'Agenzia ad operare per proprio conto e iscritti nell'elenco dei laboratori di prova e degli esperti per le attività di vigilanza nazionale, ferme restando, per specifici sistemi di certificazione, le possibili modalità di emissione dei certificati alternative. Dichiarazioni UE di conformità In un sistema di certificazione in cui è autorizzata l'autovalutazione di conformità i fornitori o fabbricanti di prodotti TIC, servizi TIC o processi TIC possono rilasciare sotto la propria responsabilità dichiarazioni UE di conformità di livello di base per dimostrare il rispetto di requisiti tecnici previsti nel sistema. Ove l'Agenzia accerti la non conformità di una dichiarazione UE di conformità in esito alle attività di vigilanza è fatto obbligo al fabbricante o fornitore emittente di revisionare o revocare la dichiarazione UE di conformità entro trenta giorni dandone comunicazione all'Agenzia e all'ENISA, salvo diversa disposizione dello specifico sistema di certificazione. Quadro sanzionatorio L'Agenzia, in caso di violazione degli obblighi del quadro europeo di certificazione della cybersicurezza irroga sanzioni pecuniarie ed accessorie, chiedendo la cessazione immediata della violazione. Tra le altre sanzioni, il decreto prevede che: - salvo che il fatto costituisca reato, l'organismo di valutazione della conformità che emette un certificato di cybersicurezza non conforme è punito con la sanzione del pagamento di una somma da 15.000 euro a 75.000 euro. In caso di omessa revoca di un certificato da parte dell'organismo su richiesta dell'Agenzia si applica la sanzione del pagamento di una somma da 30.000 euro a 150.000 euro; - salvo che il fatto costituisca reato, il fabbricante o fornitore che emette una dichiarazione UE di conformità volontaria non conforme è punito con la sanzione del pagamento di una somma da 15.000 euro a 75.000 euro. In caso di omessa revisione o revoca di dichiarazione UE di conformità volontaria o obbligatoria si applica la sanzione del pagamento di una somma da 30.000 euro a 150.000 euro.