SEGRETO DI STATO - nuova disciplina amministrativa DPCM 6/11/2015
[img]http://1.bp.blogspot.com/_BCW5BksnMOQ/TJxtSicgMNI/AAAAAAAABHM/thKdV5CBMCk/s320/segreto+di+stato.png[/img]
[b]DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 6 novembre 2015 [/b]
[b]Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate e a diffusione esclusiva. (Decreto n.[/b]
5/2015). (15A08535)
(GU n.284 del 5-12-2015 - Suppl. Ordinario n. 65)
Capo I
PRINCIPI DI SICUREZZA DELLE INFORMAZIONI
IL PRESIDENTE
DEL CONSIGLIO DEI MINISTRI
Vista la legge 3 agosto 2007, n. 124, recante «Sistema di
informazione per la sicurezza della Repubblica e nuova disciplina del
segreto»;
Visti il Trattato del Nord Atlantico (NATO) ratificato con legge 1°
agosto 1949, n. 465, e i seguenti atti: Accordo tra gli Stati membri
per la tutela della sicurezza delle informazioni, approvato dal
Consiglio del Nord Atlantico in data 21 giugno 1996; Documento
C-M(2002)49 «La sicurezza in seno all'Organizzazione del Trattato del
Nord Atlantico», approvato dal Consiglio del Nord Atlantico in data
26 marzo 2002;
Visto il decreto del Presidente del Consiglio dei ministri 11
aprile 2002, recante «Schema nazionale per la valutazione e la
certificazione della sicurezza delle tecnologie dell'informazione, ai
fini della tutela delle informazioni classificate, concernenti la
sicurezza interna ed esterna dello Stato», pubblicato nella Gazzetta
Ufficiale n. 131 del 6 giugno 2002;
Vista la decisione del Consiglio europeo, n. 2013/488/UE del 23
settembre 2013 sulle norme di sicurezza per proteggere le
informazioni classificate UE;
Vista la decisione della Commissione europea 2015/444/UE, Euratom
del 13 marzo 2015 sulle norme di sicurezza per proteggere le
informazioni classificate UE;
Visto il regolamento n. 1049/2001 del Parlamento europeo e del
Consiglio del 30 maggio 2001, relativo all'accesso del pubblico ai
documenti del Parlamento europeo, del Consiglio e della Commissione;
Visto l'accordo interistituzionale del 20 novembre 2002 tra il
Parlamento europeo e il Consiglio relativo all'accesso da parte del
Parlamento europeo alle informazioni sensibili del Consiglio nel
settore della politica di sicurezza e di difesa;
Visto il decreto del Presidente del Consiglio dei ministri 8 aprile
2008, recante «Criteri per l'individuazione delle notizie, delle
informazioni, dei documenti, degli atti, delle attivita', delle cose
e dei luoghi suscettibili di essere oggetto di segreto di Stato»,
pubblicato nella Gazzetta Ufficiale n. 90 del 16 aprile 2008;
Visto il decreto del Presidente del Consiglio dei ministri 12
giugno 2009, n. 7, recante «Determinazione dell'ambito dei singoli
livelli di segretezza, dei soggetti con potere di classifica, dei
criteri d'individuazione delle materie oggetto di classifica nonche'
dei modi di accesso nei luoghi militari o definiti di interesse per
la sicurezza della Repubblica», pubblicato nella Gazzetta Ufficiale
n. 154 del 6 luglio 2009;
Visto il decreto del Presidente del Consiglio dei ministri 22
luglio 2011, recante «Disposizioni per la tutela amministrativa del
segreto di Stato e delle informazioni classificate», pubblicato nella
Gazzetta Ufficiale n. 203 del 1° settembre 2011;
Visto il decreto del Presidente del Consiglio dei ministri 20
luglio 2012, n. 1, e ss.mm.ii., recante «Regolamento disciplinante
l'organizzazione ed il funzionamento degli archivi del DIS, AISE e
AISI», pubblicato, per comunicato, nella Gazzetta Ufficiale n. 178
del 1° agosto 2012;
Visto il decreto del Presidente del Consiglio dei ministri 26
ottobre 2012, n. 2, recante, nella parte II, «Accertamento preventivo
per il rilascio del Nulla Osta di Sicurezza», pubblicato, per
comunicato, nella Gazzetta Ufficiale n. 273 del 22 novembre 2012;
Visto l'accordo interistituzionale del 12 marzo 2014 tra il
Parlamento europeo e il Consiglio relativo alla trasmissione al
Parlamento europeo e al trattamento da parte di quest'ultimo delle
informazioni classificate detenute dal Consiglio su materie che non
rientrano nel settore della politica estera e di sicurezza comune;
Visto l'art. 3, della legge 3 agosto 2007, n. 124, che consente al
Presidente del Consiglio dei ministri di delegare le funzioni che non
sono ad esso attribuite in via esclusiva ad un Ministro senza
portafoglio o a un Sottosegretario di Stato, denominati «Autorita'
delegata»;
Visto l'art. 43, della legge 3 agosto 2007, n. 124, che consente
l'adozione di regolamenti in deroga alle disposizioni dell'art. 17
della legge 23 agosto 1988, n. 400, e ss.mm.ii. e, dunque, in assenza
del parere del Consiglio di Stato;
Visto l'art. 4, comma 3, lettera l), della legge 3 agosto 2007, n.
124, cosi' come modificato con decreto-legge 1° luglio 2009, n. 78,
convertito con legge 3 agosto 2009, n. 102, il quale prevede che il
Dipartimento delle informazioni per la sicurezza assicura
l'attuazione delle disposizioni impartite dal Presidente del
Consiglio dei ministri con apposito regolamento adottato ai sensi
dell'art. 1, comma 2 della medesima legge 3 agosto 2007, n. 124, ai
fini della tutela amministrativa del segreto di Stato e delle
classifiche di segretezza, vigilando altresi' sulla loro corretta
applicazione;
Ravvisata l'esigenza di armonizzare ed integrare le vigenti
disposizioni che disciplinano la protezione e la tutela
amministrativa delle informazioni coperte da segreto di Stato e
quelle classificate con le disposizioni normative in materia di
contratti pubblici, antimafia, prevenzione alla corruzione e di
tutela delle attivita' strategiche di rilevanza nazionale intervenute
successivamente all'entrata in vigore del decreto del Presidente del
Consiglio dei ministri 22 luglio 2011, n. 4;
Acquisito il parere del Comitato parlamentare per la sicurezza
della Repubblica;
Sentito il Comitato interministeriale per la sicurezza della
Repubblica;
A d o t t a
il seguente regolamento:
Art. 1
Definizioni
1. Ai fini del presente regolamento si intende per:
a) "legge", la legge 3 agosto 2007, n. 124, e successive
modificazioni ed integrazioni;
b) "Sicurezza delle informazioni", la salvaguardia e la continua
e completa protezione delle informazioni classificate, a diffusione
esclusiva o coperte da segreto di Stato, attraverso l'adozione di
norme e procedure, organizzative ed esecutive, nei settori delle
abilitazioni di sicurezza, della sicurezza fisica, della tecnologia
delle informazioni e delle comunicazioni;
c) "Autorita' nazionale per la sicurezza" (ANS), il Presidente
del Consiglio dei Ministri nell'esercizio delle funzioni di tutela
amministrativa del segreto di Stato e delle informazioni classificate
o a diffusione esclusiva;
d) "Autorita' delegata", il Ministro senza portafoglio o il
Sottosegretario di Stato delegato dal Presidente del Consiglio dei
Ministri ai sensi dell'art. 3 della legge;
e) "Organizzazione nazionale di sicurezza", il complesso di
Organi, Uffici, unita' amministrative, organizzative, produttive o di
servizio della Pubblica amministrazione e di ogni altra persona
giuridica, ente, associazione od operatore economico legittimati alla
trattazione di informazioni classificate, a diffusione esclusiva o
coperte da segreto di Stato, le cui finalita' consistono
nell'assicurare modalita' di gestione e trattazione uniformi e
sicure, nonche' protezione ininterrotta alle informazioni
classificate, a diffusione esclusiva o coperte da segreto di Stato;
f) "Segreto di Stato", il segreto come definito dall'art. 39,
comma 1, della legge;
g) "Informazione coperta da segreto di Stato", l'informazione, la
notizia, il documento, l'atto, l'attivita', la cosa o il luogo sui
quali il vincolo del segreto di Stato sia stato apposto o opposto e
confermato e, ove possibile, annotato;
h) "Classifica di segretezza", il livello di segretezza
attribuito ad un'informazione ai sensi dell'art. 42 della legge e
dell'art. 4 del decreto del Presidente del Consiglio dei ministri n.
7 del 12 giugno 2009;
i) "Necessita' di conoscere", il principio in base al quale
l'accesso alle informazioni classificate, a diffusione esclusiva o
coperte da segreto di Stato e' consentito esclusivamente alle persone
che ne hanno necessita' per lo svolgimento del proprio incarico;
l) "Necessita' di condividere", il principio in base al quale
l'informazione classificata o a diffusione esclusiva puo' esser
diffusa nel limitato e controllato circuito di coloro che ne hanno
necessita' per lo svolgimento del proprio incarico;
m) "Originatore", il soggetto che ha apposto la classifica di
segretezza all'informazione ai sensi dell'art. 42, comma 2, della
legge e dell'art. 4, comma 7, del decreto del Presidente del
Consiglio dei ministri n. 7 del 12 giugno 2009;
n) "Qualifica di sicurezza" o "qualifica", la sigla o altro
termine convenzionale (es. NATO, UE, altre) che, attribuita ad
un'informazione, classificata e non, indica l'organizzazione
internazionale o dell'Unione europea o il programma intergovernativo
di appartenenza della stessa e il relativo ambito di circolazione;
o) "Informazione classificata", ogni informazione, atto,
attivita', documento, materiale o cosa, cui sia stata attribuita una
delle classifiche di segretezza previste dall'art. 42, comma 3, della
legge;
p) "Documento classificato", l'informazione classificata
rappresentata in forma grafica, fotocinematografica,
elettromagnetica, informatica o in ogni altra forma;
q) "Materiale classificato", qualsiasi oggetto, cosa o componente
di macchinario, prototipo, equipaggiamento, arma, sistema elementare
o dispositivo o parte di esso, compreso il software operativo,
prodotto a mano o meccanicamente, automaticamente o elettronicamente,
finito o in corso di lavorazione, compresi i materiali per la
sicurezza delle comunicazioni (COMSEC), i Communication and
Information System (CIS), nonche' i prodotti della Tecnologia
dell'Informazione (Information and Communication Technology - ICT)
coperti da una classifica di segretezza;
r) "Declassifica", la riduzione ad un livello inferiore o
l'eliminazione della classifica di segretezza gia' attribuita ad
un'informazione;
s) "Informazioni non classificate controllate", le informazioni
non classificate che, in ragione della loro sensibilita', richiedono
misure di protezione minime, individuate nelle disposizioni
applicative del presente decreto;
t) "Trattazione delle informazioni classificate, a diffusione
esclusiva o coperte da segreto di Stato", la gestione, l'accesso, la
conoscenza, la consultazione, l'elaborazione, la selezione,
l'estrazione, il raffronto, l'utilizzo, la comunicazione delle
informazioni classificate o coperte da segreto di Stato o a
diffusione esclusiva;
u) "Gestione dei documenti classificati, a diffusione esclusiva o
coperti da segreto di Stato", la protezione fisica, logica e tecnica,
l'originazione, la spedizione, la contabilizzazione, la diramazione,
la ricezione, la registrazione, la riproduzione, la conservazione, la
custodia, l'archiviazione, il trasporto e la distruzione legittima
dei documenti classificati, nonche' la preparazione dei relativi
plichi;
v) "Informazioni a diffusione esclusiva", informazioni la cui
diffusione e' limitata al solo ambito nazionale italiano, unitamente
o meno ad uno o piu' ambiti nazionali stranieri, per motivi di
protezione di interessi strategici nazionali e delle relazioni con
Paesi stranieri negli ambiti di cui all'art. 40, attraverso la
limitazione della conoscibilita' di informazioni a persone in
possesso della sola cittadinanza italiana, unitamente o meno a
persone che posseggono la sola cittadinanza di uno o piu' Paesi
stranieri, mediante l'indicazione "ESCLUSIVO ITALIA" ovvero
"ESCLUSIVO ITALIA e (denominazione del o dei Paesi stranieri)";
z) "Nulla osta di sicurezza" per le persone fisiche - in seguito
NOS - il provvedimento che legittima alla trattazione di informazioni
classificate SEGRETISSIMO, SEGRETO o RISERVATISSIMO coloro che hanno
la necessita' di conoscerle;
aa) "Violazione della sicurezza", azioni od omissioni contrarie
ad una disposizione in materia di protezione e tutela delle
informazioni classificate o coperte da segreto di Stato, che
potrebbero mettere a repentaglio o compromettere le informazioni
stesse;
bb) "Compromissione di informazioni classificate", la conseguenza
negativa di violazione della sicurezza che deriva dalla conoscenza di
informazioni classificate o coperte da segreto di Stato da parte di
persona non autorizzata ovvero non adeguatamente abilitata ai fini
della sicurezza o che non abbia la necessita' di conoscerle;
cc) "Operatore economico", l'imprenditore, il fornitore e il
prestatore di servizi o il raggruppamento o il consorzio di essi,
come definiti all'art. 3 del decreto legislativo 12 aprile 2006, n.
163;
dd) "Nulla Osta di Sicurezza Industriale Strategico" (NOSIS), il
provvedimento che abilita l'operatore economico, la cui attivita'
assume rilevanza strategica per gli interessi nazionali, alla
trattazione di informazioni classificate e alla partecipazione a gare
d'appalto e procedure finalizzate all'affidamento di contratti
classificati e qualificati NATO e UE e alla relativa esecuzione;
ee) "Abilitazione Preventiva" (AP), il provvedimento che consente
all'operatore economico la partecipazione a gare d'appalto o a
procedure classificate finalizzate all'affidamento di contratti
classificati RISERVATISSIMO e SEGRETO ovvero qualificati;
ff) "Nulla Osta di Sicurezza Industriale" (NOSI), il
provvedimento che abilita l'operatore economico alla trattazione e
gestione di informazioni classificate e consente di partecipare a
gare d'appalto o a procedure classificate finalizzate all'affidamento
di contratti con classifica superiore a SEGRETO, anche qualificati,
nonche', in caso di aggiudicazione, di eseguire lavori, fornire beni
e servizi, realizzare opere, studi e progettazioni ai quali sia stata
attribuita una classifica di segretezza RISERVATISSIMO o superiore
ovvero qualificati;
gg) "Sicurezza fisica", il complesso delle misure di sicurezza
destinate alla protezione fisica delle strutture, delle aree, degli
edifici, degli uffici, dei sistemi di comunicazione e di informazione
e di qualunque altro luogo dove sono trattate o custodite
informazioni classificate o coperte da segreto di Stato;
hh) "INFOSEC" (sicurezza delle informazioni), le misure di
sicurezza atte a tutelare le informazioni classificate o coperte da
segreto di Stato, elaborate e memorizzate con sistemi informatici e
trasmesse con sistemi di comunicazione ed altri sistemi elettronici;
ii) "COMSEC" (sicurezza delle comunicazioni), le misure di
sicurezza crittografica, delle trasmissioni, fisica e del personale,
finalizzate a garantire la protezione delle informazioni classificate
o coperte da segreto di Stato, trattate attraverso sistemi di
comunicazione, nonche' ad impedirne la conoscenza da parte di
soggetti non autorizzati. I materiali COMSEC comprendono i materiali
crittografici in senso stretto (CIFRA) ed i materiali a controllo
COMSEC (CCI - COMSEC Controlled Item), come disciplinato dall'art.
53;
ll) "Communication and Information System" (o "CIS") e' il
complesso di apparati, aree ad accesso riservato, personale
abilitato, hardware, software e procedure operative, finalizzato
all'elaborazione, memorizzazione e trasmissione di informazioni
classificate o coperte da segreto di Stato, attraverso sistemi
informatici;
mm) "Sicurezza CIS" (Communication and Information System), le
misure di sicurezza volte ad assicurare la protezione dei CIS;
nn) "TEMPEST", le tecnologie atte ad eliminare, o ridurre entro
valori non pericolosi ai fini della sicurezza, le emissioni prodotte
dalle apparecchiature elettroniche che elaborano e trattano
informazioni classificate o coperte da segreto di Stato;
oo) "Sicurezza cibernetica", l'insieme delle misure di sicurezza
da attuare per limitare le vulnerabilita' e contrastare gli attacchi
informatici che, anche attraverso le connessioni di rete, possono
causare danni alle infrastrutture o sistemi informatici che trattano
informazioni classificate, a diffusione esclusiva o coperte da
segreto di Stato;
pp) "omologazione dei laboratori TEMPEST, dei CIS, dei centri e
dei sistemi COMSEC", processo strutturato di verifica della
conformita' del sistema ad un insieme di requisiti tecnici di
sicurezza predeterminati;
qq) "autorizzazione" l'abilitazione temporanea dei CIS
all'esercizio, subordinata a condizioni e limiti di utilizzo;
rr) "criteri di valutazione", i criteri applicati per la
valutazione di soluzioni tecnologiche sotto il profilo della
sicurezza definiti da standard riconosciuti a livello internazionale
NATO e UE che, consentono il mutuo riconoscimento di un prodotto o di
un sistema ICT;
ss) "Schema nazionale di certificazione", l'insieme delle regole
e delle procedure nazionali per la valutazione e certificazione di
prodotti e sistemi ICT;
tt) "Ente di certificazione", l'organismo pubblico responsabile
della certificazione dei prodotti e dei sistemi informatici,
dell'accreditamento dei centri di valutazione nonche' della
definizione, dell'applicazione e dell'aggiornamento dello schema
nazionale;
uu) "Centro di valutazione (CE.VA.)", un organismo accreditato
dall'UCSe, per le valutazioni di sicurezza di un prodotto o di un
sistema ICT.
Art. 2
Ambito di applicazione
1. Il presente decreto si applica alle informazioni coperte da
segreto di Stato o da classifica di segretezza nazionale, ovvero da
classifica attribuita nel quadro del Trattato del Nord Atlantico,
dell'Unione europea o di qualunque altro accordo o organizzazione
internazionale di cui l'Italia e' parte, o a diffusione esclusiva,
che soggetti pubblici e privati abbiano necessita' di trattare per
motivi istituzionali, d'impresa o contrattuali.
2. Fermo restando quanto previsto dalla legge in materia di
esercizio della funzione giurisdizionale e di diritto di difesa, le
disposizioni di cui al presente regolamento, fatta eccezione per
quelle in materia di NOS nei confronti degli appartenenti ad ogni
magistratura nell'esercizio delle funzioni giurisdizionali, si
applicano agli uffici di cui all'art. 3 del regio decreto 30 gennaio
1941, n. 12, e successive modificazioni e integrazioni, nonche' agli
analoghi uffici presso altri organi giurisdizionali, anche ai fini di
quanto previsto dall'art. 42, comma 8, della legge.
Art. 3
Obiettivi
1. Le disposizioni in materia di sicurezza delle informazioni
perseguono i seguenti obiettivi:
a) tutelare le informazioni classificate, o coperte da segreto di
Stato o a diffusione esclusiva, dalla sottrazione, manomissione,
distruzione, manipolazione, spionaggio o rivelazione non autorizzata;
b) salvaguardare le informazioni classificate, o coperte da
segreto di Stato, o a diffusione esclusiva, trattate con reti e
sistemi informatici e con prodotti delle tecnologie dell'informazione
da minacce che possano pregiudicare confidenzialita', integrita',
disponibilita', autenticita' e non ripudio o non disconoscimento
dell'informazione;
c) preservare le installazioni, gli edifici e i locali
all'interno dei quali vengono trattate informazioni classificate, o
coperte da segreto di Stato, o a diffusione esclusiva, da atti di
sabotaggio e da qualsiasi altra azione finalizzata ad arrecare danni
alle stesse.
2. L'accesso alle informazioni classificate e' consentito soltanto
alle persone che, fermo restando il possesso del NOS quando
richiesto, hanno necessita' di conoscerle in funzione del proprio
incarico. La conoscenza delle informazioni coperte da segreto di
Stato e' regolata ai sensi dell'art. 39, comma 2, della legge.
3. L'accesso alle informazioni contrassegnate come ESCLUSIVO ITALIA
e' consentito soltanto alle persone che hanno necessita' di
conoscerle in funzione del proprio incarico ed in possesso della sola
cittadinanza italiana. L'accesso alle informazioni contrassegnate
come ESCLUSIVO ITALIA e (denominazione di uno o piu' Paesi), fermo
restando il principio della necessita' di conoscere, e' consentito
soltanto alle persone in possesso della sola cittadinanza italiana e
della sola cittadinanza dei Paesi individuati.
Capo II
AUTORITÀ NAZIONALE PER LA SICUREZZA. ORGANIZZAZIONE NAZIONALE PER LA SICUREZZA
Art. 4
Autorita' nazionale per la sicurezza
1. L'Autorita' nazionale per la sicurezza:
a) ha l'alta direzione delle attivita' concernenti la protezione
e la tutela delle informazioni classificate a diffusione esclusiva o
coperte da segreto di Stato trattate da qualunque soggetto, pubblico
o privato, sottoposto alla sovranita' nazionale, anche in attuazione
di accordi internazionali e della normativa dell'Unione europea;
b) adotta ogni disposizione ritenuta necessaria ai fini di cui
alla lettera a), assicurando altresi' l'armonizzazione delle
disposizioni di tutela delle informazioni classificate a carattere
settoriale con le disposizioni previste dal presente regolamento e
dai provvedimenti attuativi o collegati;
c) provvede ai sensi di legge, in caso di mancata conferma del
segreto di Stato all'autorita' giudiziaria, a declassificare gli
atti, i documenti, le cose o i luoghi oggetto di classifica di
segretezza, prima che siano messi a disposizione dell'autorita'
giudiziaria competente;
d) adotta le deliberazioni di competenza conseguenti alle
comunicazioni dell'autorita' giudiziaria riguardanti l'opposizione in
giudizio del segreto di Stato;
e) dispone la proroga, nei casi previsti dalla legge,
dell'efficacia delle classifiche di segretezza oltre il termine di
quindici anni;
f) determina gli indirizzi per la negoziazione e per l'attuazione
degli accordi con gli altri Stati e con gli Organismi internazionali
finalizzati alla tutela delle informazioni classificate coperte da
segreto di Stato o a diffusione esclusiva. Ai medesimi fini, ferme
restando le vigenti disposizioni in tema di diritto dei trattati,
puo' autorizzare l'Organo nazionale di sicurezza di cui all'art. 6
alla stipula dei relativi atti negoziali;
g) promuove l'adozione, nel quadro delle normative in materia di
sicurezza delle informazioni vigenti in ambito parlamentare e presso
altri organi costituzionali e di rilievo costituzionale, di misure
finalizzate a garantire livelli di protezione delle informazioni
classificate e a diffusione esclusiva analoghi a quelli previsti dal
presente regolamento e da organizzazioni internazionali di cui
l'Italia e' parte.
2. Per l'esercizio delle sue funzioni, l'Autorita' nazionale per la
sicurezza si avvale dell'Organizzazione nazionale per la sicurezza.
Art. 5
Organizzazione nazionale per la sicurezza
1. L'Organizzazione nazionale per la sicurezza si articola in:
a) Organo nazionale di sicurezza;
b) Ufficio centrale per la segretezza;
c) Organi centrali di sicurezza;
d) Organi periferici di sicurezza;
e) Organizzazioni di sicurezza presso gli operatori economici.
2. Presso gli Organi centrali di sicurezza sono costituite
Segreterie principali di sicurezza per l'assolvimento dei compiti di
cui all'art. 9.
3. Possono essere, altresi', costituiti Segreterie di sicurezza e
Punti di controllo, alle dipendenze funzionali di Organi centrali di
sicurezza o di Organi periferici di sicurezza, secondo quanto
previsto dall'art. 11.
4. L'esercizio di funzioni dell'Organo nazionale di sicurezza e
dell'Ufficio Centrale per la Segretezza puo' essere delegato agli
Organi centrali di sicurezza ed agli Organi periferici di sicurezza.
Art. 6
Organo nazionale di sicurezza
1. Il Direttore generale del Dipartimento delle informazioni per la
sicurezza di cui all'art. 4 della legge, quale Organo nazionale di
sicurezza esercita le funzioni di direzione e coordinamento
dell'Organizzazione nazionale per la sicurezza e, secondo le
direttive impartite dall'Autorita' nazionale per la sicurezza:
a) assicura, nell'ambito dell'organizzazione della sicurezza,
l'attuazione delle disposizioni regolamentari e di ogni altra
disposizione emanata dall'Autorita' nazionale per la sicurezza in
materia di tutela amministrativa del segreto di Stato, delle
classifiche di segretezza e della diffusione esclusiva, vigilando
altresi' sulla loro corretta applicazione;
b) emana le direttive e le disposizioni attuative in materia di
tutela delle informazioni classificate o coperte da segreto di Stato
o a diffusione esclusiva; in particolare, emana le disposizioni sui
requisiti per l'istituzione delle articolazioni e delle altre
strutture dell'Organizzazione nazionale di sicurezza, la gestione e
trattazione dei documenti classificati o coperti da segreto di Stato
o di diffusione esclusiva, la sicurezza delle reti e dei sistemi
informatici per la trattazione delle informazioni classificate o
coperte da segreto di Stato o di diffusione esclusiva, nonche' le
procedure per il servizio cifra;
c) adotta i provvedimenti concernenti l'Organizzazione nazionale
per la sicurezza. A tal fine autorizza, secondo i principi
determinati a norma della lettera b) e anche mediante delega,
l'istituzione, il cambio di denominazione e l'estinzione:
1) delle Segreterie speciali COSMIC-ATOMAL-UE/SS e
COSMIC-UE/SS, dei Punti di Controllo COSMIC-ATOMAL-UE/SS e
COSMIC-UE/SS;
2) delle Segreterie principali di sicurezza;
3) degli organi periferici di sicurezza;
d) e' l'autorita' responsabile in ambito nazionale della
sicurezza delle informazioni classificate della NATO e dell'Unione
Europea, secondo le disposizioni di tali organizzazioni;
e) negozia e stipula, previa autorizzazione dell'Autorita'
nazionale per la sicurezza e sulla base degli indirizzi dalla stessa
emanati, accordi generali di sicurezza per la protezione e tutela
delle informazioni classificate e a diffusione esclusiva con altri
Paesi, con organizzazioni internazionali, con l'Unione europea e con
altri organismi istituiti ai sensi del diritto dell'Unione medesima
ovvero con soggetti dotati di personalita' giuridica internazionale;
f) assicura i rapporti con le autorita' di sicurezza degli altri
Paesi o di altri Organismi internazionali per la protezione e tutela
amministrativa delle informazioni classificate e a diffusione
esclusiva;
g) sovrintende e vigila sul corretto funzionamento
dell'Organizzazione nazionale per la sicurezza.
Art. 7
Ufficio centrale per la segretezza
1. Secondo le direttive impartite dall'Organo nazionale di
sicurezza, l'Ufficio centrale per la segretezza (UCSe) svolge
funzioni di direzione e di coordinamento, di consulenza e di
controllo sull'applicazione della normativa in materia di protezione
e tutela delle informazioni classificate, a diffusione esclusiva e
del segreto di Stato. A tal fine l'UCSe:
a) cura gli adempimenti istruttori relativi all'esercizio delle
funzioni dell'Autorita' nazionale per la sicurezza a tutela del
segreto di Stato;
b) predispone le disposizioni esplicative volte a garantire la
sicurezza delle informazioni classificate, a diffusione esclusiva o
coperte da segreto di Stato, con riferimento sia ad atti, documenti e
materiali, sia alla produzione industriale;
c) autorizza, in deroga alle disposizioni di cui all'art. 9,
comma 1, ed all'art. 11, commi 6 e 7, l'istituzione di Segreterie
principali di sicurezza, Segreterie di sicurezza e Punti di
controllo, secondo quanto previsto dagli art. 9, comma 4, e 11, comma
8;
d) cura l'attivita' preparatoria e la predisposizione per la
stipula di schemi di accordi generali di sicurezza per la protezione
e tutela delle informazioni classificate e a diffusione esclusiva con
altri Paesi, con organizzazioni internazionali, con l'Unione europea
e con altri organismi istituiti ai sensi del diritto dell'Unione
medesima ovvero con soggetti dotati di personalita' giuridica
internazionale;
e) esprime il parere sui progetti di accordi di cooperazione e
sui memorandum d'intesa delle Pubbliche Amministrazioni che
contengono clausole concernenti la protezione e tutela delle
informazioni classificate e a diffusione esclusiva;
f) definisce le misure di sicurezza cibernetica che devono essere
adottate a protezione dei sistemi e delle infrastrutture informatiche
che trattano informazioni classificate, a diffusione esclusiva o
coperte da segreto di Stato; fornisce consulenza ai fini della
realizzazione di reti di comunicazione telematica protette ai fini
dell'attuazione del decreto del Presidente del Consiglio dei ministri
24 gennaio 2013 in materia di sicurezza dello spazio cibernetico;
promuove la realizzazione di reti di comunicazione telematica
protetta con le organizzazioni di sicurezza pubbliche e private;
g) assicura l'attuazione degli adempimenti previsti dalle
disposizioni in materia di trattazione e gestione dei documenti
informatici classificati firmati digitalmente ed assume in tale
settore la funzione di autorita' di certificazione;
h) rilascia e revoca le abilitazioni di sicurezza e, anche
mediante delega, i NOS;
i) rilascia, ai sensi dell'accordo interistituzionale del 20
novembre 2002 tra il Parlamento europeo e il Consiglio, le
abilitazioni di sicurezza ai parlamentari europei di nazionalita'
italiana;
l) rilascia e revoca, anche mediante delega ad organi centrali di
sicurezza di pubbliche amministrazioni le omologazioni dei centri
COMSEC di cui all'art. 57 e le autorizzazioni personali per l'accesso
CIFRA di cui all'art. 55;
m) rilascia e revoca anche mediante delega ad organi centrali di
sicurezza di pubbliche amministrazioni le autorizzazioni e
omologazioni dei CIS di cui all'art. 63;
n) rilascia e revoca, anche avvalendosi di idonee strutture
pubbliche o private abilitate, le omologazioni per l'impiego dei
dispositivi COMSEC e le certificazioni TEMPEST di cui all'art. 59;
o) conserva ed aggiorna l'elenco completo di tutti i soggetti
muniti di NOS;
p) aggiorna e dirama l'elenco delle Segreterie principali di
sicurezza;
q) sottopone al Presidente del Consiglio dei Ministri le
richieste di autorizzazione alla segretazione presentate ai sensi
dell'art. 9, comma 10, della legge;
r) provvede agli adempimenti istruttori per l'apposizione e la
conferma dell'opposizione del segreto di Stato, sottoponendo alle
determinazioni del Presidente del Consiglio dei ministri, per il
tramite dell'Autorita' delegata, la documentazione di interesse;
s) effettua, direttamente o delegandone l'esecuzione ad
articolazioni dell'Organizzazione nazionale per la sicurezza, gli
accertamenti e le ispezioni di sicurezza ordinarie o straordinarie
nei confronti dei soggetti pubblici e privati legittimati alla
trattazione delle informazioni classificate, a diffusione esclusiva o
coperte da segreto di Stato, al fine di vigilare sulla corretta
applicazione delle norme, delle direttive e delle altre disposizioni
adottate in materia;
t) predispone ed aggiorna, anche in relazione all'osservanza di
accordi internazionali e della normativa dell'Unione europea, le
procedure per le ispezioni di sicurezza nei confronti di soggetti
pubblici e privati che trattano informazioni classificate, a
diffusione esclusiva o coperte da segreto di Stato;
u) provvede anche mediante delega all'istruttoria ed al rilascio
delle autorizzazioni alle visite presso soggetti pubblici, enti e
operatori economici nazionali che trattano informazioni classificate
o a diffusione esclusiva;
v) richiede, anche mediante delega, alle Autorita' straniere
l'autorizzazione per le visite a operatori economici, enti e uffici
esteri, che trattano e gestiscono informazioni, atti e documenti
classificati o a diffusione esclusiva;
z) esprime parere vincolante in ordine alla cessione di
informazioni classificate a Paesi esteri ed organismi internazionali
anche nei casi di controllo sulle esportazioni di materiali di
armamento previsti dalla legge 9 luglio 1990, n. 185; autorizza il
trasporto internazionale e, secondo le disposizioni applicative del
presente decreto, il trasporto nazionale dei materiali classificati;
aa) rilascia le autorizzazioni per la movimentazione, in ambito
nazionale ed internazionale, di documentazione e materiale COMSEC,
approvato o autorizzato dall'UCSe, per la protezione di informazioni
classificate o coperte da segreto di Stato;
bb) partecipa presso organizzazioni internazionali e istituzioni
ed organismi dell'Unione europea, a comitati, gruppi di lavoro e
riunioni per l'elaborazione di normative e di progetti di accordi di
sicurezza e di altri atti aventi ad oggetto la protezione e la tutela
delle informazioni classificate di mutuo interesse;
cc) fornisce supporto all'Organo nazionale di sicurezza quale
autorita' responsabile in ambito nazionale della sicurezza delle
informazioni classificate della NATO e dell'Unione europea, secondo
le disposizioni di tali organizzazioni;
dd) valuta le violazioni della sicurezza e le compromissioni di
informazioni classificate, delle quali viene a conoscenza in sede di
attivita' ispettiva o a seguito di segnalazione da parte delle
strutture di sicurezza competenti, ai fini dell'adozione dei
conseguenti provvedimenti;
ee) tiene ed aggiorna gli elenchi dei materiali e dei dispositivi
COMSEC e TEMPEST di cui all'art. 59;
ff) definisce i criteri di sicurezza per le attrezzature e
dispositivi per la sicurezza fisica ai fini dell'impiego per la
protezione delle informazioni classificate o coperte da segreto di
Stato;
gg) tiene ed aggiorna gli elenchi dei laboratori TEMPEST
omologati e dei Centri di Valutazione abilitati di cui al decreto del
Presidente del Consiglio dei ministri 11 aprile 2002;
hh) nell'ambito dei programmi di cooperazione internazionale
svolge le funzioni di autorita' nazionale competente in materia di
tutela amministrativa delle informazioni classificate o a diffusione
esclusiva e, in tale ambito, puo' delegare l'esercizio di attivita'
ad altre pubbliche amministrazioni.
2. Presso l'UCSe sono istituiti:
a) l'"Ufficio Inventario", che cura la registrazione dei
provvedimenti di apposizione, conferma e proroga del segreto di Stato
e dei documenti coperti da segreto di Stato, aggiornandone
periodicamente la situazione;
b) l'"Archivio degli atti riguardanti il segreto di Stato" ove
sono custoditi gli atti concernenti le istruttorie per l'apposizione
o la conferma dell'opposizione, la revoca e la proroga del segreto di
Stato, le istanze di accesso formulate ai sensi dell'art. 39, comma 7
della legge, nonche' i registri inventari di cui alla lettera a);
c) l'"Elenco nazionale dei soggetti muniti di NOS" conservato e
consultato in via esclusiva dall'UCSe ed aggiornato dallo stesso UCSe
anche sulla base degli elementi forniti dalle altre autorita' di cui
all'art. 24.
3. Operano altresi' nell'ambito dell'UCSe:
a) il "Registro centrale", che cura la distribuzione alle
Segreterie principali di sicurezza dei documenti COSMIC-SEGRETISSIMO
e ATOMAL pervenuti dalla NATO e dai Paesi membri; aggiorna la
situazione nazionale dei documenti COSMIC-SEGRETISSIMO e ATOMAL
distribuiti alle Segreterie principali di sicurezza, nonche' di
quelli pervenuti alle Segreterie principali di sicurezza e alle
Segreterie di sicurezza e ai Punti di controllo direttamente dalla
NATO e dai suoi Paesi membri; aggiorna la situazione relativa ai
documenti SEGRETISSIMO nazionali in possesso delle Segreterie
principali di sicurezza, delle Segreterie di sicurezza e dei Punti di
controllo;
b) l'"Ufficio centrale di registrazione UE SEGRETISSIMO", che
cura la distribuzione alle Segreterie principali di sicurezza dei
documenti UE-SEGRETISSIMO che ad esso pervengono da istituzioni
dell'Unione europea, la registrazione di quelli eventualmente
pervenuti alle Segreterie principali di sicurezza, alle Segreterie di
sicurezza e ai Punti di controllo direttamente da istituzioni
dell'Unione europea, nonche' l'aggiornamento della situazione
nazionale di tali documenti;
c) l'Agenzia nazionale di distribuzione per l'espletamento delle
attivita' di cui all'art. 3, comma 1, lett. q) del decreto del
Presidente del Consiglio dei ministri 12 giugno 2009, n. 7.
4. L'UCSe e':
a) depositario e responsabile dell'uso del sigillo NATO,
assegnato all'Italia dal Consiglio del Nord Atlantico per il
trasporto dei documenti e materiali con classifica
NATO-RISERVATISSIMO o superiore verso altri Paesi dell'Alleanza
atlantica, nonche' del rilascio dell'apposito "Certificato di
corriere" all'amministrazione che dispone il trasporto;
b) competente al rilascio della "Autorizzazione per le scorte di
sicurezza" per il trasporto di documenti e materiali classificati
prodotti dagli operatori economici nell'interesse della NATO, nonche'
del "Certificato di corriere per il trasporto internazionale a mano
di documenti e materiali classificati", riferito a documenti e
materiali classificati prodotti dagli operatori economici e destinati
all'estero nell'ambito di programmi internazionali;
c) ente di certificazione per la sicurezza informatica ai sensi
del decreto del Presidente del Consiglio dei ministri 11 aprile 2002.
Art. 8
Organi centrali di sicurezza
1. Presso i Ministeri, le strutture governative, lo Stato Maggiore
della Difesa, le Forze armate, il Segretariato Generale della Difesa
- Direzione Nazionale degli Armamenti, il Comando Generale dell'Arma
dei Carabinieri, il Comando Generale della Guardia di Finanza o gli
altri enti che, per ragioni istituzionali, hanno la necessita' di
trattare informazioni classificate, a diffusione esclusiva o coperte
da segreto di Stato la responsabilita' relativa alla protezione e
alla tutela delle medesime, a livello centrale e periferico, fa capo
rispettivamente al Ministro, all'organo previsto dal relativo
ordinamento o all'organo di vertice dell'ente.
2. Le autorita' di cui al comma 1 possono delegare l'esercizio dei
compiti e delle funzioni in materia di protezione e tutela delle
informazioni classificate, a diffusione esclusiva o coperte da
segreto di Stato ad un funzionario o ufficiale, di elevato livello
gerarchico, munito di adeguata abilitazione di sicurezza, che assume
la denominazione di "Funzionario alla sicurezza" o "Ufficiale alla
sicurezza". Il "Funzionario alla sicurezza" o "Ufficiale alla
sicurezza" svolge compiti di direzione, coordinamento, controllo,
nonche' attivita' ispettiva e di inchiesta in materia di protezione e
tutela delle informazioni classificate, a diffusione esclusiva o
coperte da segreto di Stato, nell'ambito del Ministero, della
struttura governativa, dello Stato Maggiore della Difesa, della Forza
armata, del Segretariato Generale della Difesa - Direzione Nazionale
degli Armamenti, del Comando Generale dell'Arma dei Carabinieri, del
Comando Generale della Guardia di Finanza o dell'ente di
appartenenza. In mancanza di delega, i predetti compiti sono
esercitati direttamente dalle autorita' di cui al comma 1.
3. Al fine di assicurare continuita' all'esercizio delle funzioni e
dei compiti di protezione e tutela delle informazioni classificate, a
diffusione esclusiva o coperte da segreto di Stato le autorita' di
cui al comma 1 possono nominare anche un "sostituto Funzionario alla
sicurezza" o un "sostituto Ufficiale alla sicurezza", con il compito
di sostituire il titolare dell'incarico in tutti i casi di assenza o
impedimento.
4. Per l'esercizio delle funzioni, il "Funzionario alla sicurezza"
o "Ufficiale alla sicurezza" si avvale del Capo della Segreteria
principale di sicurezza di cui all'art. 9, denominato "Funzionario di
controllo" o "Ufficiale di controllo", coadiuvato da personale
esperto nella trattazione e gestione dei documenti classificati.
Nell'ambito dello Stato Maggiore della Difesa, delle Forze armate,
del Segretariato Generale della Difesa - Direzione Nazionale degli
Armamenti, del Comando Generale dell'Arma dei Carabinieri,
l'"Ufficiale alla sicurezza" si avvale del Capo Ufficio Sicurezza.
5. Gli incarichi di "Funzionario alla sicurezza" o "Ufficiale alla
sicurezza" di cui al comma 2 e quello di "Funzionario di controllo" o
"Ufficiale di controllo" di cui al comma 4 non possono essere assolti
dalla stessa persona, salvo casi eccezionali connessi ad esigenze
organiche o funzionali.
6. Per l'esercizio delle sue funzioni, il "Funzionario alla
sicurezza" o "Ufficiale alla sicurezza" si avvale di un "Funzionario
alla sicurezza fisica" o "Ufficiale alla sicurezza fisica", come
definito all'art. 70 e, qualora la trattazione di informazioni
classificate o coperte da segreto di Stato comporti l'utilizzo di
sistemi COMSEC o CIS di:
a) un "Funzionario COMSEC" o "Ufficiale COMSEC", come definito
all'art. 54;
b) un "Funzionario alla sicurezza CIS" o "Ufficiale alla
sicurezza CIS", come definito all'art. 61;
c) un "Centro" come definito all'art. 3, comma 1, lett. r) del
decreto del Presidente del Consiglio dei ministri del 12 giugno 2009,
n. 7;
d) un "Custode del materiale CIFRA", come definito all'art. 54.
7. Il complesso rappresentato dal "Funzionario alla sicurezza" o
"Ufficiale alla sicurezza", dal "Capo Ufficio Sicurezza", dal "Capo
della Segreteria principale di sicurezza - Funzionario/Ufficiale di
controllo ", dal "Funzionario COMSEC" o "Ufficiale COMSEC", dal
"Funzionario alla sicurezza CIS " o "Ufficiale alla sicurezza CIS ",
dal "Funzionario alla sicurezza fisica" o "Ufficiale alla sicurezza
fisica", dalla stessa Segreteria principale di sicurezza, dal
"Centro" di cui al comma 6, lett. c) e dal "Custode del materiale
CIFRA" di cui al comma 6, lett. d), costituisce l'Organo centrale di
sicurezza.
8. L'Organo centrale di sicurezza e' diretto e coordinato dal
"Funzionario alla sicurezza" o "Ufficiale alla sicurezza".
9. Gli incarichi di cui al comma 6 sono assegnati dall'Autorita' di
cui al comma 1, su proposta del "Funzionario alla sicurezza" o
"Ufficiale alla sicurezza". Nel caso in cui esigenze organiche o
funzionali lo richiedano, la predetta autorita' puo' attribuire gli
incarichi di cui sopra, o alcuni di essi, alla stessa persona ovvero
al "Funzionario di controllo" o "Ufficiale di controllo".
10. Il "Funzionario alla sicurezza" o "Ufficiale alla sicurezza",
per assicurare la continuita' dell'esercizio delle funzioni
nell'ambito dell'Organo centrale di sicurezza, nomina due sostituti
del Capo della Segreteria principale, nonche' un sostituto dei
Funzionari o Ufficiali e del Custode del materiale Cifra di cui al
comma 6.
11. Gli Organi centrali di sicurezza hanno il compito di:
a) coordinare e controllare, presso tutte le articolazioni e le
altre strutture di sicurezza funzionalmente dipendenti, sia a livello
centrale che periferico, l'applicazione di tutte le disposizioni
inerenti alla protezione e alla tutela delle informazioni
classificate, a diffusione esclusiva o coperte da segreto di Stato;
b) emanare direttive interne per l'applicazione delle
disposizioni in materia di sicurezza e tutela delle informazioni
classificate, a diffusione esclusiva o coperte da segreto di Stato;
c) comunicare all'UCSe i nominativi del "Funzionario di
controllo" o "Ufficiale di controllo", e dei suoi sostituti, dei
Funzionari o Ufficiali e del Custode del materiale Cifra di cui al
comma 6, e dei loro sostituti, nonche' i nominativi dei Funzionari o
Ufficiali di controllo designati, presso gli Organi periferici;
d) inoltrare all'UCSe le proposte finalizzate al miglioramento
della sicurezza delle informazioni classificate, a diffusione
esclusiva o coperte da segreto di Stato nell'ambito della propria
amministrazione o ente, sia a livello centrale che periferico;
e) tenere aggiornato l'elenco dei NOS ed il relativo scadenzario;
f) proporre all'Organo nazionale di sicurezza, per il tramite
dell'UCSe, l'istituzione, il cambio di denominazione e l'estinzione
della Segreteria Principale di Sicurezza, degli Organi periferici,
delle Segreterie di sicurezza e dei Punti di controllo di cui
all'art. 11, comma 6;
g) istituire, nell'ambito della propria amministrazione, centrale
e periferica, le Segreterie di sicurezza e i Punti di controllo la
cui istituzione non sia riservata all'Organo nazionale di sicurezza;
h) comunicare all'UCSe l'avvenuta istituzione, modifica o
estinzione delle Segreterie di sicurezza e dei Punti di controllo di
cui alla lettera g);
i) curare gli adempimenti in materia di violazione della
sicurezza e di compromissione di informazioni classificate o coperte
da segreto di Stato.
12. Gli Organi centrali di sicurezza delle Forze armate hanno,
inoltre, il compito di effettuare, secondo le modalita' e i termini
indicati dalle vigenti disposizioni, le verifiche per l'accertamento
della sussistenza e del mantenimento dei requisiti di sicurezza
fisica per il possesso delle abilitazioni di sicurezza da parte degli
operatori economici.
13. Gli Organi centrali di sicurezza delle amministrazioni e enti
interessati, quando richiesto dalle normative di riferimento
internazionali o dell'Unione europea, comunicano all'UCSe i
nominativi degli operatori economici che hanno chiesto di partecipare
a gare classificate internazionali o dell'Unione europea.
14. Ai fini degli adempimenti connessi al rilascio delle
abilitazioni di sicurezza, le stazioni appaltanti, quando indicono
una gara o una procedura di affidamento che comporti l'accesso ad
informazioni con classifica RISERVATISSIMO o superiore, per il
tramite dei rispettivi organi centrali di sicurezza ne danno
tempestiva notizia all'UCSe, comunicando altresi', al termine della
fase di aggiudicazione, i nominativi degli operatori economici
risultati aggiudicatari, anche in regime di subappalto.
Art. 9
Segreterie principali di sicurezza
1. Presso i Ministeri, le strutture governative, lo Stato Maggiore
della Difesa, le Forze armate, Segretariato Generale della Difesa -
Direzione Nazionale degli Armamenti, il Comando Generale dell'Arma
dei Carabinieri, il Comando Generale della Guardia di Finanza o ente
e' istituita, su autorizzazione dell'Organo nazionale di sicurezza,
nell'ambito dell'Organo centrale di sicurezza, una Segreteria
principale di sicurezza, rispondente ai requisiti fissati ai sensi
dell'art. 6, comma 1, lett. b), responsabile della trattazione delle
informazioni classificate. Presso lo Stato Maggiore della Difesa, le
Forze armate, il Segretariato Generale della Difesa - Direzione
Nazionale degli Armamenti e il Comando Generale dell'Arma dei
Carabinieri, la Segreteria principale di sicurezza costituisce
un'articolazione dell'Ufficio Sicurezza.
2. La Segreteria principale di sicurezza, in relazione al livello
di segretezza e all'ente originatore della documentazione che e'
legittimata a trattare e gestire, assume la denominazione di:
a) "Segreteria speciale principale COSMIC-ATOMAL-UE/SS",
legittimata a trattare e gestire documenti della NATO, qualificati
COSMIC, ATOMAL, dell'UE, nazionali e documenti originati nell'ambito
di altre organizzazioni internazionali di cui l'Italia e' parte o
relativi alla partecipazione dell'Italia in attivita' internazionali
di cooperazione militare, fino al livello di classifica SEGRETISSIMO;
b) "Segreteria speciale principale COSMIC-UE/SS", legittimata a
trattare e gestire documenti della NATO, con l'esclusione di quelli
qualificati ATOMAL, dell'UE, nazionali, e documenti originati
nell'ambito di altre organizzazioni internazionali di cui l'Italia e'
parte o relativi alla partecipazione dell'Italia in attivita'
internazionali di cooperazione militare, fino al livello di
classifica SEGRETISSIMO;
c) "Segreteria principale di sicurezza NATO-UE/S", legittimata a
trattare e gestire documenti della NATO, con l'esclusione di quelli
qualificati COSMIC e ATOMAL, dell'UE e documenti originati
nell'ambito di altre organizzazioni internazionali di cui l'Italia e'
parte o relativi alla partecipazione dell'Italia in attivita'
internazionali di cooperazione militare, fino al livello di
classifica SEGRETO, e nazionali fino al livello di classifica
SEGRETISSIMO;
d) "Segreteria principale di sicurezza UE/S", legittimata a
trattare e gestire documenti dell'UE e documenti originati
nell'ambito di altre organizzazioni internazionali di cui l'Italia e'
parte o relativi alla partecipazione dell'Italia in attivita'
internazionali di cooperazione militare, fino al livello di SEGRETO,
nonche' documenti nazionali fino al livello di classifica
SEGRETISSIMO;
e) "Segreteria principale di sicurezza", legittimata a trattare e
gestire soltanto documenti nazionali fino al livello di classifica di
SEGRETISSIMO.
3. Tutte le Segreterie principali di sicurezza sono altresi'
legittimate a trattare informazioni, classificate e non, sulle quali
sia stato apposto o confermato il segreto di Stato.
4. L'UCSe, per limitati periodi di tempo ed a fronte di
indifferibili esigenze operative, puo' in via eccezionale
autorizzare, anche in assenza dei requisiti fissati ai sensi
dell'art. 6, comma 1, lett. b), l'istituzione di Segreterie
principali di sicurezza legittimate a trattare informazioni
classificate nazionali ad un livello massimo di SEGRETO. In tali
ipotesi, particolari prescrizioni di sicurezza saranno stabilite caso
per caso, ferma restando l'inapplicabilita' del comma 3.
5. Le Segreterie principali di sicurezza sono dirette dal
Funzionario di controllo o Ufficiale di controllo di cui all'art. 8,
comma 4, che assume la denominazione di "Capo della Segreteria
principale di sicurezza", coadiuvato da personale esperto nella
trattazione e gestione dei documenti classificati, individuato dal
Funzionario o Ufficiale alla sicurezza.
6. Le Segreterie principali di sicurezza hanno il compito di:
a) coadiuvare il Funzionario o Ufficiale alla sicurezza nella sua
azione di direzione, coordinamento, controllo, ispettiva, di
inchiesta, e di quanto altro concerne la trattazione delle
informazioni classificate, a diffusione esclusiva o coperte dal
segreto di Stato nell'ambito dell'intera organizzazione di sicurezza
sia a livello centrale che periferico;
b) promuovere, nell'ambito della propria organizzazione, la
conoscenza delle norme legislative e delle disposizioni
amministrative concernenti la tutela delle informazioni classificate,
a diffusione esclusiva o coperte da segreto di Stato;
c) istruire, con periodicita' semestrale, il personale abilitato
in ordine alle responsabilita' connesse alla conoscenza e trattazione
delle informazioni classificate, a diffusione esclusiva o coperte da
segreto di Stato;
d) tenere aggiornata la "lista di accesso", con la quale il
Funzionario o Ufficiale alla sicurezza, sulla base del principio
della necessita' di conoscere di cui all'art. 3, comma 2, determina i
soggetti autorizzati a trattare informazioni nazionali,
internazionali e dell'Unione europea classificate SEGRETISSIMO e
SEGRETO nonche' quelle qualificate ATOMAL;
e) tenere aggiornato l'inventario dei documenti coperti da
segreto di Stato in carico alle altre strutture di sicurezza
dipendenti e trasmetterne all'UCSe il registro per la parifica
annuale;
f) tenere aggiornati i registri di contabilizzazione dei
documenti classificati;
g) tenere aggiornato l'elenco dei NOS, con il relativo
scadenzario;
h) segnalare all'UCSe i nominativi delle persone designate dal
Funzionario o Ufficiale alla sicurezza ad attribuire alle
informazioni, ai documenti e ai materiali la classifica SEGRETISSIMO;
i) ricevere, registrare, custodire e, ove previsto, inoltrare
alle Segreterie di sicurezza e ai Punti di controllo funzionalmente
dipendenti, i documenti classificati a loro pervenuti per la relativa
trattazione;
l) comunicare all'UCSe gli estremi dei documenti SEGRETISSIMO
nazionali, COSMIC-SEGRETISSIMO, ATOMAL e UE-SEGRETISSIMO ricevuti non
per il suo tramite;
m) comunicare all'UCSe i nominativi dei Funzionari o Ufficiali di
cui all'art. 11, comma 9, e dei loro sostituti, preposti alle
Segreterie di sicurezza ed ai Punti di controllo istituiti
nell'ambito dell'amministrazione o ente di appartenenza;
n) segnalare con tempestivita' all'UCSe o all'Organo centrale di
sicurezza interessato o all'organismo internazionale o dell'Unione
europea competente, il livello del NOS del personale
dell'amministrazione o ente di appartenenza designato a partecipare a
conferenze o riunioni classificate in Italia o all'estero;
o) effettuare annualmente l'inventario e il controllo dei
documenti nazionali classificati SEGRETISSIMO e di quelli
COSMIC-SEGRETISSIMO, UE-SEGRETISSIMO e ATOMAL in carico anche alle
strutture di sicurezza funzionalmente dipendenti e trasmettere
all'UCSe i verbali di distruzione relativi a tali documenti,
unitamente al registro d'inventario per la parifica;
p) curare gli adempimenti di competenza previsti da direttive
dell'Organo nazionale di sicurezza in materia di violazione della
sicurezza e di compromissione di informazioni classificate o coperte
da segreto di Stato;
q) comunicare all'UCSe e all'originatore delle informazioni
classificate, con immediatezza e con un rapporto dettagliato, tutti i
casi di violazione della sicurezza e di compromissione delle predette
informazioni verificatisi nell'ambito della propria sfera di
competenza.
Art. 10
Organi periferici di sicurezza
1. Presso le articolazioni dei Ministeri, delle strutture
governative, dello Stato Maggiore della Difesa, delle Forze armate,
del Segretariato Generale della Difesa/Direzione Nazionale degli
Armamenti, del Comando Generale dell'Arma dei Carabinieri, del
Comando Generale della Guardia di Finanza o degli enti pubblici
legittimati alla trattazione di informazioni classificate, a
diffusione esclusiva o coperte da segreto di Stato possono essere
istituiti, sia in sede centrale che decentrata, su autorizzazione
dell'Organo nazionale di sicurezza, Organi periferici di sicurezza
laddove, anche in ragione della collocazione fisica, lo richiedano
comprovate ragioni di sicurezza e di correntezza della trattazione e
gestione della documentazione classificata. Fatto salvo quanto
previsto dall'art. 8, comma 1, presso le articolazioni ove e'
costituito un Organo periferico la responsabilita' relativa alla
sicurezza delle informazioni fa capo alla massima autorita' preposta
all'articolazione stessa.
2. All'Organo periferico di sicurezza e' preposto un "Funzionario o
Ufficiale alla sicurezza designato".
3. In caso di costituzione di un Organo periferico di sicurezza il
Funzionario o Ufficiale alla sicurezza dell'Organo centrale di
sicurezza, sulla base delle esigenze connesse alla trattazione di
informazioni classificate, a diffusione esclusiva o coperte da
segreto di Stato, puo', in alternativa:
a) rimettere al titolare dell'articolazione amministrativa
decentrata (Capo dipartimento, Direttore generale, Ispettore
generale, Capo di Rappresentanza Diplomatica, Prefetto, Questore,
Comandante militare) o dell'ente la nomina del "Funzionario o
Ufficiale alla sicurezza designato" e di un suo sostituto. Spetta in
tal caso al predetto titolare il compito di nominare, su proposta del
"Funzionario o Ufficiale alla sicurezza designato", gli altri
responsabili della sicurezza di cui alla lettera b), e relativi
sostituti;
b) nominare il "Funzionario o Ufficiale alla sicurezza
designato", ed un suo sostituto e, su proposta del predetto
"Funzionario o Ufficiale alla sicurezza designato", il "Capo della
Segreteria di sicurezza" che assume la denominazione di Funzionario o
Ufficiale di controllo designato e due suoi sostituti e, quando
necessario, il "Funzionario o Ufficiale COMSEC designato", il
"Funzionario o Ufficiale CIS designato", il "Funzionario o Ufficiale
alla sicurezza fisica designato", il "Custode del materiale CIFRA", e
un sostituto di ciascuno di essi;
c) nominare il "Funzionario o Ufficiale alla sicurezza designato"
ed un suo sostituto, e disporre che il "Funzionario o Ufficiale alla
sicurezza designato" nomini tutti gli altri responsabili della
sicurezza di cui alla lettera b), e relativi sostituti.
4. Per l'effettivo esercizio delle funzioni il "Funzionario o
Ufficiale alla sicurezza designato" si avvale del capo della
Segreteria di sicurezza istituita presso l'Organo periferico,
denominato "Funzionario/Ufficiale di controllo designato", coadiuvato
da personale esperto nella trattazione e gestione dei documenti
classificati.
5. L'Organo periferico di sicurezza e' il complesso costituito dal
"Funzionario alla sicurezza designato" o "Ufficiale alla sicurezza
designato", dal "Funzionario COMSEC designato" o "Ufficiale COMSEC
designato", dal "Funzionario CIS designato" o "Ufficiale CIS
designato", dal "Funzionario alla sicurezza fisica designato" o
"Ufficiale alla sicurezza fisica designato", dal "Capo della
Segreteria di sicurezza", dal "Centro CIFRA", dal "Custode del
materiale CIFRA" e dalla stessa Segreteria di sicurezza.
6. Il "Funzionario o Ufficiale alla sicurezza designato" munito di
adeguata abilitazione di sicurezza, dirige, coordina e controlla
tutte le attivita' che riguardano la protezione e la tutela delle
informazioni classificate o coperte da segreto di Stato.
7. Gli incarichi di "Funzionario o Ufficiale alla sicurezza
designato" e gli altri incarichi previsti al comma 5 non possono
essere assolti dalla stessa persona, salvo casi eccezionali connessi
ad esigenze organiche o funzionali.
8. Dall'Organo periferico di sicurezza, ove istituito, possono
dipendere le Segreterie di sicurezza e i Punti di controllo
costituiti ai sensi dell'art. 11 presso piu' sedi decentrate della
stessa amministrazione o ente sul territorio nazionale o in un'area
territoriale omogenea.
9. L'Organo periferico di sicurezza provvede a segnalare al
Funzionario o Ufficiale alla sicurezza i nominativi delle persone,
adeguatamente abilitate, che, nell'ambito dell'Organo periferico
stesso e delle Segreterie di sicurezza e dei Punti di controllo
dipendenti, sono autorizzate dal Funzionario o Ufficiale alla
sicurezza designato ad attribuire alle informazioni, ai documenti e
ai materiali la classifica di segretezza SEGRETISSIMO, con o senza
qualifica di sicurezza, ai sensi dell'art. 4 del decreto del
Presidente del Consiglio dei ministri 12 giugno 2009, n. 7.
Art. 11
Segreterie di sicurezza e Punti di Controllo
1. Presso ogni articolazione di Ministero, di struttura
governativa, dello Stato Maggiore della Difesa, di Forza armata, del
Segretariato Generale della Difesa - Direzione Nazionale degli
Armamenti, del Comando Generale dell'Arma dei Carabinieri, del
Comando Generale della Guardia di Finanza o ente, dotata di Organo
centrale di sicurezza, possono essere istituiti, nella misura
strettamente necessaria, Segreterie di sicurezza e Punti di
controllo, rispondenti ai requisiti fissati ai sensi dell'art. 6,
comma 1, lett. b). Alle Segreterie di sicurezza e ai Punti di
controllo e' affidato l'esercizio delle competenze relative alla
trattazione e alla gestione di documentazione classificata o a
diffusione esclusiva fissate con direttive applicative dell'Organo
nazionale di sicurezza, secondo criteri che tengano conto delle
esigenze di sicurezza e correntezza della trattazione, anche in
ragione della ubicazione logistica delle strutture, nonche' della
quantita' della documentazione da trattare.
2. Le Segreterie di sicurezza e i Punti di controllo possono essere
posti alle dipendenze di un Organo centrale, ovvero di Organi
periferici, ove istituiti.
3. Le Segreterie di sicurezza, in relazione al livello di
segretezza e all'ente originatore della documentazione che sono
legittimate a trattare e gestire, assumono la denominazione di:
a) "Segreteria speciale COSMIC-ATOMAL-UE/SS", legittimata a
trattare e gestire documenti nazionali, della NATO, qualificati
COSMIC e ATOMAL, dell'UE e documenti originati nell'ambito di altre
organizzazioni internazionali di cui l'Italia e' parte o relativi
alla partecipazione dell'Italia in attivita' internazionali di
cooperazione militare fino al livello di classifica SEGRETISSIMO;
b) "Segreteria speciale COSMIC-UE/SS", legittimata a trattare e
gestire documenti della NATO, con l'esclusione di quelli qualificati
ATOMAL, dell'UE e documenti originati nell'ambito di altre
organizzazioni internazionali di cui l'Italia e' parte o relativi
alla partecipazione dell'Italia in attivita' internazionali di
cooperazione militare, nonche' documenti nazionali fino al livello di
classifica SEGRETISSIMO;
c) "Segreteria di sicurezza NATO-UE/S", legittimata a trattare e
gestire, documenti della NATO, con l'esclusione di quelli qualificati
COSMIC e ATOMAL, dell'UE e documenti originati nell'ambito di altre
organizzazioni internazionali di cui l'Italia e' parte o relativi
alla partecipazione dell'Italia in attivita' internazionali di
cooperazione militare, fino al livello di segretezza SEGRETO, nonche'
documenti nazionali fino al livello di classifica SEGRETISSIMO;
d) "Segreteria di sicurezza UE/S", legittimata a trattare e
gestire documenti nazionali fino al livello di classifica
SEGRETISSIMO, nonche' dell'UE e documenti originati nell'ambito di
altre organizzazioni internazionali di cui l'Italia e' parte,
relativi alla partecipazione dell'Italia in attivita' internazionali
di cooperazione militare fino al livello di classifica SEGRETO;
e) "Segreteria di sicurezza", legittimata a gestire documenti
nazionali fino al livello di classifica SEGRETISSIMO.
4. I Punti di controllo, in relazione al livello di segretezza e
all'ente originatore della documentazione che sono legittimati a
trattare e gestire assumono la denominazione di:
a) "Punto di controllo COSMIC-ATOMAL-UE/SS", collocato in
posizione di dipendenza funzionale rispetto ad una Segreteria
speciale "COSMIC-ATOMAL-UE/SS", principale o non, legittimato a
trattare e gestire documenti nazionali, della NATO, qualificati
COSMIC e ATOMAL, dell'UE e documenti originati nell'ambito di altre
organizzazioni internazionali di cui l'Italia e' parte o relativi
alla partecipazione dell'Italia in attivita' internazionali di
cooperazione, fino al livello di classifica SEGRETISSIMO;
b) "Punto di controllo COSMIC-UE/SS", collocato in posizione di
dipendenza funzionale rispetto ad una Segreteria speciale
"COSMIC-ATOMAL-UE/SS" o "COSMIC-UE/SS", principale o non, legittimato
a trattare e gestire documenti nazionali, della NATO, con
l'esclusione di quelli qualificati ATOMAL, dell'UE e documenti
originati nell'ambito di altre organizzazioni internazionali di cui
l'Italia e' parte o relativi alla partecipazione dell'Italia in
attivita' internazionali, fino al livello SEGRETISSIMO;
c) "Punto di controllo NATO-UE/S", collocato in posizione di
dipendenza funzionale rispetto ad una Segreteria speciale
"COSMIC-ATOMAL-UE/SS" o "COSMIC-UE/SS", principale o non, oppure ad
una Segreteria "NATO-UE/S", principale o non, legittimato a trattare
e gestire documenti della NATO, con l'esclusione di quelli
qualificati COSMIC e ATOMAL, dell'UE e documenti originati
nell'ambito di altre organizzazioni internazionali di cui l'Italia e'
parte o relativi alla partecipazione dell'Italia in attivita'
internazionali, fino al livello di classifica SEGRETO, nonche'
documenti nazionali fino al livello SEGRETISSIMO.
5. Le Segreterie di sicurezza e i Punti di controllo sono altresi'
legittimati a trattare informazioni a diffusione esclusiva nonche'
informazioni, classificate e non, sulle quali sia stato apposto o
confermato il segreto di Stato.
6. L'istituzione, la soppressione e il cambio di denominazione
delle Segreterie di sicurezza di cui al comma 3, lettere a) e b), e
dei Punti di controllo di cui al comma 4, lettere a) e b), e'
autorizzata dall'Organo nazionale di sicurezza, su richiesta
dell'Organo centrale di sicurezza inoltrata per il tramite dell'UCSe.
7. L'istituzione, la soppressione e il cambio di denominazione
delle Segreterie di sicurezza di cui al comma 3, lettere c), d), e),
e dei Punti di controllo di cui al comma 4, lettera c) e' disposta
dall'Organo centrale di sicurezza competente, che ne da'
comunicazione all'UCSe.
8. L'UCSe, per limitati periodi di tempo ed a fronte di
indifferibili esigenze operative, puo' in via eccezionale
autorizzare, anche in assenza dei requisiti fissati ai sensi
dell'art. 6, comma 1, lett. b), l'istituzione di Segreterie di
sicurezza e Punti di controllo per la trattazione e gestione di
informazioni classificate nazionali ad un livello massimo di
RISERVATISSIMO. In tali ipotesi, particolari prescrizioni di
sicurezza saranno stabilite caso per caso, ferma restando
l'inapplicabilita' del comma 5.
9. Le Segreterie di sicurezza e i Punti di controllo sono diretti
da un Funzionario o Ufficiale, che assume la denominazione di "Capo
della Segreteria di sicurezza" o di "Capo del Punto di controllo",
coadiuvato da personale esperto nella trattazione e gestione dei
documenti classificati. Ove la Segreteria di sicurezza sia costituita
presso un Organo periferico, il "Capo della Segreteria di sicurezza"
assume la denominazione di "Funzionario o Ufficiale di controllo
designato".
10. Le Segreterie di sicurezza e i Punti di controllo hanno il
compito di:
a) promuovere la conoscenza delle norme legislative e delle
disposizioni amministrative concernenti la tutela delle informazioni
classificate, a diffusione esclusiva o coperte da segreto di Stato;
b) istruire, con periodicita' almeno semestrale, il personale
titolare di NOS sulle responsabilita' connesse alla conoscenza e
trattazione delle informazioni classificate, a diffusione esclusiva o
coperte da segreto di Stato;
c) tenere aggiornata la "lista di accesso" di cui all'art. 9,
comma 6, lett. d);
d) controllare e gestire i documenti classificati originati
nell'ambito della propria sfera di competenza;
e) controllare e gestire i documenti classificati ricevuti;
f) tenere aggiornati i registri di contabilizzazione dei
documenti classificati di cui si e' responsabili;
g) effettuare annualmente l'inventario e il controllo dei
documenti nazionali classificati SEGRETISSIMO e di quelli
COSMIC-SEGRETISSIMO, UE-SEGRETISSIMO e ATOMAL in carico, e
trasmettere all'UCSe, e per conoscenza alla propria Segreteria
principale di sicurezza, i verbali di distruzione relativi a tali
documenti;
h) tenere aggiornato l'elenco del personale della propria
articolazione per il quale e' stato rilasciato il NOS;
i) attuare le disposizioni di competenza relative alle richieste
per il rilascio e il rinnovo dei NOS per il personale della propria
articolazione;
l) comunicare all'Organo di sicurezza da cui dipende i nominativi
delle persone abilitate che non hanno piu' necessita' di accedere
alle informazioni classificate;
m) segnalare all'Organo di sicurezza da cui dipende ogni
controindicazione sopravvenuta a carico del personale abilitato
ritenuta d'interesse ai fini della valutazione dell'affidabilita'
della persona;
n) segnalare all'Organo di sicurezza da cui dipende i nominativi
delle persone della propria articolazione designate ad attribuire la
classifica di SEGRETISSIMO;
o) segnalare con tempestivita' all'Organo di sicurezza da cui
dipende il livello del NOS del personale della propria articolazione
designato a partecipare a conferenze o riunioni classificate in
Italia o all'estero;
p) curare gli adempimenti di competenza in materia di violazione
della sicurezza e di compromissione di informazioni classificate.
Art. 12
Organizzazione di sicurezza
nell'ambito degli operatori economici
1. L'operatore economico abilitato alla trattazione delle
informazioni classificate, istituisce una propria organizzazione di
sicurezza, anche secondo le previsioni di cui all'art. 17, adeguata
alle categorie di informazioni classificate che ha necessita' di
trattare, nonche' alle proprie dimensioni o caratteristiche
infrastrutturali o gestionali.
Art. 13
Responsabilita' della protezione e della tutela delle informazioni
classificate e a diffusione esclusiva nell'ambito degli operatori
economici
1. Presso ogni operatore economico abilitato alla loro trattazione,
la responsabilita' della protezione e della tutela delle informazioni
classificate e a diffusione esclusiva, a livello centrale e
periferico, fa capo al legale rappresentante in possesso di
cittadinanza italiana.
2. Il legale rappresentante dell'operatore economico puo' delegare
l'esercizio dei compiti e delle funzioni per la protezione e tutela
delle informazioni classificate ad un dirigente o funzionario legato
da un rapporto professionale esclusivo, fatte salve specifiche
esigenze organizzative e funzionali, in possesso di sola cittadinanza
italiana, di abilitazione di livello adeguato ai fini della sicurezza
ed esperto nel settore, che assume la denominazione di "Funzionario
alla sicurezza".
3. Presso le sedi periferiche dell'operatore economico abilitate
per la trattazione di informazioni classificate il legale
rappresentante di cui al comma 1 nomina un dirigente o funzionario
dipendente in via esclusiva dall'operatore economico, quale
"Funzionario alla sicurezza designato", in possesso di sola
cittadinanza italiana e di abilitazione di livello adeguato ai fini
della sicurezza. Il "Funzionario alla sicurezza designato" e' alle
dipendenze del "Funzionario alla sicurezza".
4. Il legale rappresentante dell'operatore economico nomina, a
livello centrale e presso ciascuna sede periferica abilitata alla
trattazione di informazioni classificate, un sostituto "Funzionario
alla sicurezza" e un sostituto "Funzionario alla sicurezza designato"
in possesso dei requisiti indicati ai commi 2 e 3. Essi sostituiscono
i titolari dell'incarico nei casi di assenza o impedimento.
5. La nomina del "Funzionario alla sicurezza", del "Funzionario
alla sicurezza designato" e di un sostituto di ciascuno di essi e'
soggetta alla preventiva approvazione dell'UCSe.
Art. 14
Compiti del legale rappresentante o del Funzionario alla sicurezza
della sede principale od unica dell'operatore economico
1. Il legale rappresentante, o, se delegato, il Funzionario alla
sicurezza della sede principale o unica dell'operatore economico:
a) ha l'obbligo di conoscere le disposizioni in materia di
protezione e tutela delle informazioni classificate o coperte da
segreto di Stato, e di farle puntualmente applicare;
b) segnala tempestivamente all'UCSe e all'ente appaltante o al
committente ogni elemento suscettibile di valutazione ai fini di cui
all'art. 37, 47 e 48, nonche' eventuali casi di sospetta o accertata
compromissione delle informazioni classificate;
c) dirige, coordina e controlla tutte le attivita' che riguardano
la protezione e la tutela delle informazioni, dei documenti e dei
materiali classificati o coperti da segreto di Stato, trattati
nell'ambito dell'operatore economico, sia a livello centrale che
periferico;
d) assicura il controllo delle lavorazioni classificate o coperte
da segreto di Stato e la salvaguardia delle stesse dall'accesso di
personale non in possesso di abilitazione di sicurezza di livello
adeguato e, comunque, non autorizzato;
e) comunica semestralmente all'UCSe le lavorazioni classificate
in corso di esecuzione secondo le modalita' previste dalle direttive
di attuazione;
f) comunica all'UCSe i contratti classificati di cui l'impresa e'
affidataria;
g) coordina i servizi di sorveglianza e controllo delle
infrastrutture COMSEC e dei CIS;
h) cura gli adempimenti relativi al rilascio dei NOS al personale
dell'operatore economico che ha necessita' di trattare informazioni
classificate a livello RISERVATISSIMO o superiore;
i) comunica all'UCSe ogni variazione riguardante la legale
rappresentanza, i componenti del Consiglio di amministrazione, il
direttore tecnico, l'Organizzazione di sicurezza e le relative
preposizioni, il possesso di quote di partecipazione qualificate in
rapporto al capitale sociale;
l) istruisce il personale abilitato alla trattazione di
informazioni classificate sulle disposizioni che regolano la materia;
m) comunica all'UCSe ogni evento che possa costituire minaccia
alla sicurezza e alla tutela delle informazioni classificate;
n) assicura la corretta osservanza delle procedure relative alle
visite da parte di persone estranee all'operatore economico nei siti
dove sono trattate informazioni classificate;
o) chiede l'autorizzazione prevista dalle norme vigenti e cura i
relativi aspetti di sicurezza inerenti le trattative contrattuali che
prevedono la cessione di informazioni classificate.
2. Per lo svolgimento dei compiti di cui al comma 1 la Scuola di
formazione del Dipartimento delle informazioni per la sicurezza,
d'intesa con l'Ufficio centrale per la segretezza, organizza appositi
corsi in materia di protezione e tutela delle informazioni
classificate, a diffusione esclusiva, o coperte da segreto di Stato.
A tali corsi possono essere ammessi anche altri dirigenti o
dipendenti dell'operatore economico.
Art. 15
Incarichi relativi a sicurezza fisica e COMSEC e per la sicurezza dei
CIS presso gli operatori economici
1. Per l'esercizio delle sue funzioni, il Legale Rappresentante,
ovvero il "Funzionario alla sicurezza" ove delegato, si avvale di un
"Funzionario alla sicurezza fisica", come definito all'art. 70.
2. Fermo restando quanto stabilito dall'art. 39, ove l'operatore
economico abbia necessita' di trattare informazioni classificate con
sistemi CIS e COMSEC, il rappresentante legale nomina responsabili
delle relative attivita', denominati rispettivamente, "Funzionario
alla sicurezza CIS", "Funzionario COMSEC", un "Custode del materiale
CIFRA" ed i relativi sostituti, in possesso della sola cittadinanza
italiana. In ragione delle dimensioni dell'operatore economico, e
tenuto conto delle specifiche necessita' relative alla trattazione
delle informazioni classificate, gli incarichi di "Funzionario alla
sicurezza CIS" e di "Funzionario COMSEC" possono essere assegnati
alla stessa persona cui e' conferito l'incarico di "Funzionario alla
sicurezza".
Art. 16
Compiti del "Funzionario alla sicurezza designato"
della sede periferica dell'operatore economico
1. Il "Funzionario alla sicurezza designato" esegue, in materia di
protezione e tutela delle informazioni classificate, le disposizioni
impartite dal legale rappresentante o dal "Funzionario alla
sicurezza", ove delegato, e, relativamente all'ambito di propria
competenza, svolge i compiti indicati nell'art. 14, salvo quelli di
cui al comma 1 alle lettere b), g) e i), che rimangono riservati al
"Funzionario alla sicurezza".
Art. 17
Strutture di sicurezza presso gli operatori economici
1. Nell'ambito degli operatori economici in possesso di NOSIS e di
NOSI possono essere istituite apposite strutture di sicurezza, in
relazione al livello di segretezza e all'ente originatore della
documentazione che sono abilitate a trattare e gestire.
2. Presso la sede centrale o unica puo' essere istituita una delle
seguenti strutture, diretta dal Capo della segreteria principale di
sicurezza - Funzionario di controllo:
a) «Segreteria principale di sicurezza NATO-UE/S»;
b) «Segreteria principale di sicurezza UE/S»;
c) «Segreteria principale di sicurezza».
3. A livello periferico, puo' essere istituita una delle seguenti
strutture, diretta dal Capo della Segreteria di sicurezza designato -
Funzionario di controllo designato:
a) «Segreteria NATO-UE/S»;
b) «Punto di controllo NATO-UE/S»;
c) «Segreteria di sicurezza UE/S».
Art. 18
Attivita' ispettiva
1. Allo scopo di assicurare protezione e tutela alle informazioni
classificate, a diffusione esclusiva o coperte dal segreto di Stato,
l'UCSe procede, in via diretta o delegata, ai sensi dell'art. 7,
comma 1, lett. s), ad attivita' ispettiva intesa ad accertare
l'esatta applicazione, da parte delle articolazioni
dell'Organizzazione nazionale di sicurezza presso amministrazioni,
enti ed operatori economici, delle disposizioni in materia di
trattazione e gestione della documentazione classificata o a
diffusione esclusiva, delle disposizioni in materia di rilascio e
gestione delle di abilitazioni di sicurezza, di sicurezza fisica,
COMSEC e dei CIS.
2. L'UCSe procede altresi' a specifica attivita' ispettiva in caso
di violazione della sicurezza o compromissione di informazioni
classificate o coperte da segreto di Stato, quando l'Organo nazionale
di sicurezza, nell'esercizio delle funzioni di vigilanza di cui
all'art. 6, comma 1, lett. g), lo ritenga necessario in relazione
alla rilevanza del caso concreto.
Capo III
CLASSIFICHE DI SEGRETEZZA E QUALIFICHE DI SICUREZZA
Art. 19
Classifiche di segretezza
1. Le classifiche di segretezza SEGRETISSIMO (SS), SEGRETO (S),
RISERVATISSIMO (RR) e RISERVATO (R), di cui all'art. 42 della legge,
assicurano la tutela prevista dall'ordinamento di informazioni la cui
diffusione sia idonea a recare un pregiudizio agli interessi della
Repubblica e sono attribuite per le finalita' e secondo i criteri
stabiliti dall'art. 4 del decreto del Presidente del Consiglio dei
ministri n. 7 del 12 giugno 2009.
2. La declassifica di un'informazione e' disposta dall'autorita'
che ha apposto la classifica ai sensi dell'art. 42, comma 2, della
legge, o da altro soggetto che, a richiesta, sia stato dalla stessa a
cio' autorizzato. L'Autorita' nazionale per la sicurezza nella
generalita' dei casi e gli organi di sicurezza di un'amministrazione
o ente sovraordinati a quello che ha originato l'informazione,
possono disporre la variazione o l'eliminazione della classifica di
segretezza attribuita alla medesima da un'autorita' sottordinata.
3. L'originatore dell'informazione classificata assoggettata a
declassifica, variazione della classifica di segretezza o
eliminazione della stessa informa tempestivamente del provvedimento
gli altri soggetti detentori della medesima informazione, per le
conseguenti variazioni amministrative.
4. In relazione alle ipotesi di declassifica di cui all'art. 42,
commi 5 e 6, della legge, e per assicurare speditezza alle relative
procedure, previste al successivo comma 5, la data di classificazione
di un'informazione deve essere annotata sull'informazione stessa,
contestualmente all'apposizione della classifica, mediante la
dicitura "classificato ... dal ..." opportunamente compilata. Se
l'indicazione della classifica non e' accompagnata dalla data di
apposizione, la classifica si intende apposta dalla data del
protocollo del documento.
5. Ai fini dell'attuazione di quanto disposto dall'art. 42, commi 5
e 6, della legge, l'autorita' che detiene l'informazione, qualora
riceva, anche oltre i termini di cui al predetto art. 42, comma 5,
una richiesta di un soggetto pubblico o una istanza motivata di
accesso da parte di un privato portatore di un interesse
giuridicamente tutelato, ne da comunicazione all'originatore, che,
verificata la sussistenza dei presupposti, provvede in via
alternativa a:
a) prorogare i termini di efficacia del vincolo, ovvero
richiedere la proroga oltre i quindici anni al Presidente del
Consiglio dei Ministri, ai sensi dell'art. 42, comma 6, della legge;
b) dichiarare l'avvenuta declassifica per decorso del termine,
ponendo in essere i conseguenti adempimenti.
6. L'ente originatore puo' disporre la proroga della classifica con
provvedimento cumulativo, all'esito di una pianificazione dell'Organo
centrale di sicurezza, per categorie di documenti per le quali
ritenga persistente la necessita' di riservatezza.
Art. 20
Classifiche di segretezza internazionali e
dell'Unione europea
1. Le classifiche di segretezza internazionali e dell'Unione
europea sono previste da trattati, convenzioni, accordi, regolamenti
e decisioni comunque denominati, recepiti o a cui e' data attuazione
in conformita' alle norme previste dall'ordinamento.
Art. 21
Qualifiche di sicurezza
1. Le informazioni classificate appartenenti ad organizzazioni
internazionali e all'Unione europea ed a programmi intergovernativi
recano le qualifiche previste dai rispettivi trattati, convenzioni,
accordi, regolamenti e decisioni comunque denominati e sono
assoggettate al regime giuridico di rispettiva appartenenza.
Art. 22
Sicurezza delle lavorazioni classificate e
deroghe al divieto di divulgazione
1. Le lavorazioni classificate sono soggette al rispetto delle
procedure di sicurezza stabilite dal presente regolamento.
2. Ai fini di cui al comma 1, l'Organo nazionale di sicurezza emana
le disposizioni applicative relative alle visite, da parte di persone
estranee, alle strutture dove vengono trattate informazioni
classificate di carattere industriale, nonche' relative ai trasporti
di materiali classificati, sia in ambito nazionale che
internazionale, anche connessi con l'esportazione, l'importazione e
il transito di materiali classificati.
3. L'UCSe verifica, mediante attivita' ispettiva, diretta o
delegata ai sensi dell'art. 7, comma 1, lett. s), la corretta
applicazione delle norme preordinate alla protezione e alla tutela
delle informazioni classificate o a diffusione esclusiva nel settore
industriale.
4. L'UCSe autorizza la cessione di informazioni classificate nei
casi previsti dalla legge, da regolamenti, da Accordi internazionali
e da programmi intergovernativi industriali assoggettabili a licenza
globale di progetto.
Capo IV
NULLA OSTA DI SICUREZZA PER LE PERSONE FISICHE
Art. 23
Classifiche di segretezza e funzione del NOS
1. La trattazione di informazioni classificate RISERVATO e'
consentita esclusivamente a coloro che hanno necessita' di conoscerle
per lo svolgimento del proprio incarico, funzione o attivita' e che
siano a conoscenza delle misure poste a tutela delle stesse e delle
connesse responsabilita'.
2. La trattazione di informazioni classificate RISERVATISSIMO,
SEGRETO o SEGRETISSIMO e' consentita esclusivamente a coloro che
hanno necessita' di conoscerle per lo svolgimento del proprio
incarico, funzione o attivita', che siano a conoscenza delle misure
poste a tutela delle stesse e delle connesse responsabilita' e che
siano in possesso del NOS di adeguato livello di classifica e
qualifica.
3. Il NOS e' richiesto, per una determinata persona fisica, dal
soggetto pubblico o privato abilitato che intende impiegarla in
attivita' che comportano la trattazione di informazioni protette con
classifica superiore a RISERVATO. Il NOS per le persone fisiche e'
altresi' chiesto dall'amministrazione o ente nell'ambito della
procedura per la costituzione di un'organizzazione di sicurezza e
dall'operatore economico nell'ambito delle procedure di rilascio
dell'abilitazione di sicurezza industriale.
4. Ai fini del rilascio del NOS, i soggetti pubblici e privati
legittimati alla trattazione di informazioni classificate
definiscono, sulla base dei rispettivi ordinamenti interni ed
esigenze funzionali, gli incarichi che comportano l'effettiva
necessita' di trattare informazioni protette dalla classifica di
SEGRETISSIMO, SEGRETO o RISERVATISSIMO.
5. Nell'esecuzione di contratti classificati RISERVATO che
prevedano l'accesso stabile ad informazioni di tale classifica
l'operatore economico tiene un elenco delle persone che autorizza a
tale accesso.
Art. 24
Autorita' competente al rilascio del NOS
1. L'UCSe rilascia e revoca i NOS per qualsiasi livello di
classifica e qualifica.
2. Ferme restando le prerogative di direttiva e di coordinamento,
di consulenza e di controllo dell'UCSe, le funzioni di cui al comma 1
possono essere delegate ad articolazioni dell'Organizzazione
nazionale per la sicurezza con provvedimento del dirigente dell'UCSe,
sentito l'Organo nazionale di sicurezza, nei limiti e secondo le
modalita' di seguito indicate. In particolare, puo' essere delegato:
a) il Capo della Segreteria principale di sicurezza del Ministero
dell'Interno al rilascio, al diniego, alla revoca ed alla sospensione
del NOS ovvero alla sospensione della procedura abilitativa, nei
confronti del personale dirigenziale con qualifica fino a
Viceprefetto e a dirigente superiore della Polizia di Stato, di
dirigente superiore del Corpo Nazionale dei Vigili del fuoco, di
dirigente di seconda fascia dell'Amministrazione civile dell'Interno,
nonche' del personale non dirigenziale dell'Amministrazione civile
dell'Interno, della Polizia di Stato e del Corpo Nazionale dei Vigili
del fuoco;
b) il Vice Capo del III Reparto-Area Sicurezza dello Stato
Maggiore dell'Esercito, il Direttore dell'Agenzia di Sicurezza della
Marina Militare, il Capo del Reparto Generale Sicurezza dello Stato
Maggiore dell'Aeronautica ed il Capo del II Reparto del Comando
Generale dell'Arma dei Carabinieri al rilascio, al diniego, alla
revoca ed alla sospensione dei NOS, ovvero alla sospensione della
procedura abilitativa, nei confronti di:
1) personale militare della rispettiva Forza Armata o Comando
Generale dell'Arma dei Carabinieri con grado fino a Generale di
Brigata o corrispondente;
2) personale civile dipendente con qualifica di dirigente di
seconda fascia e con qualifica non dirigenziale;
c) il Capo Ufficio Generale del Segretario Generale della Difesa
al rilascio, al diniego, alla revoca ed alla sospensione dei NOS,
ovvero alla sospensione della procedura abilitativa, nei confronti
del personale civile dipendente con qualifica di dirigente di seconda
fascia e con qualifica non dirigenziale;
d) il Capo del II Reparto del Comando generale del Corpo della
Guardia di finanza al rilascio, al diniego, alla revoca ed alla
sospensione dei NOS, ovvero alla sospensione della procedura
abilitativa, nei confronti del personale con grado fino a Generale di
Brigata.
3. Con i provvedimenti di cui al comma 2 puo' altresi' essere
delegata alle medesime autorita' l'attribuzione al NOS di qualifiche
di sicurezza internazionali.
4. Le autorita' delegate ai sensi del comma 2 dispongono la revoca
o la sospensione del NOS, o gli altri provvedimenti limitativi, nei
casi previsti dall'art. 37, previa acquisizione del parere vincolante
dell'UCSe, che puo' a tal fine, ove lo ritenga necessario, chiedere
un'integrazione della relativa istruttoria. Il parere dell'UCSe si
intende favorevolmente espresso, ove non intervenga nel termine di
sessanta giorni.
5. Ai fini dell'aggiornamento dell'Elenco nazionale dei soggetti
muniti di NOS di cui all'art. 7, comma 2, lettera c), dei
provvedimenti adottati, con l'indicazione della classifica di
segretezza e delle qualifiche di sicurezza internazionali accordate,
nonche' delle eventuali limitazioni e proroghe disposte, e' data
comunicazione all'UCSe.
Art. 25
Procedimento per il rilascio del NOS
1. Il NOS viene rilasciato a persone fisiche maggiorenni all'esito
di un procedimento di accertamento diretto ad escludere dalla
possibilita' di conoscere informazioni, documenti, atti, attivita' o
cose protette dalle classifiche indicate all'art. 23, comma 2, ogni
soggetto che non dia sicuro affidamento di scrupolosa fedelta' alle
istituzioni della Repubblica, alla Costituzione ed ai suoi valori,
nonche' di rigoroso rispetto del segreto, ai sensi dell'art. 9, comma
4, della legge.
2. Il procedimento di rilascio del NOS e' condotto con modalita' e
criteri che consentano l'acquisizione ed il vaglio di elementi,
pertinenti e non eccedenti lo scopo, necessari ai fini della
valutazione dell'affidabilita' della persona in relazione a quanto
previsto dall'art. 9, comma 4, della legge e dal presente
regolamento.
3. Il soggetto pubblico o privato legittimato a chiedere il
rilascio del NOS per l'impiego di una persona in attivita' che
comportano la trattazione di informazioni protette dalle classifiche
di cui al comma 1 ha l'obbligo di informare la persona interessata
della necessita' dell'accertamento, con esclusione del personale per
il quale il rilascio del NOS costituisce condizione necessaria per
l'espletamento del servizio istituzionale nel territorio nazionale ed
all'estero. Il rifiuto dell'accertamento da parte dell'interessato
comporta la rinuncia al NOS e all'esercizio delle funzioni per le
quali esso e' richiesto, secondo quanto previsto dall'art. 9, comma
8, della legge.
Art. 26
Richiesta di rilascio
1. Il procedimento di accertamento finalizzato al rilascio del NOS
per una persona fisica ha inizio con la ricezione, da parte
dell'autorita' competente al rilascio, della richiesta formulata dal
soggetto pubblico o privato interessati. Tale richiesta contiene una
puntuale indicazione dei motivi per i quali la persona ha necessita'
di trattare informazioni classificate, del livello di classifica di
segretezza e di eventuali qualifiche di sicurezza da accordare.
2. La richiesta di cui al comma 1 e' corredata da copia di un
documento di identita' in corso di validita' della persona da
abilitare che non appartenga ad una Amministrazione pubblica, da un
"foglio notizie", conforme al modello approvato dall'UCSe, compilato
e sottoscritto dall'interessato nonche' da una dichiarazione con la
quale lo stesso, ai sensi e per gli effetti dell'art. 9, comma 8,
della legge, attesta di essere stato informato della necessita'
dell'accertamento e di aver espresso il consenso alla sua
effettuazione.
Art. 27
Istruttoria
1. L'UCSe, per l'acquisizione dei necessari elementi di
informazione, si avvale delle banche dati cui ha accesso ai sensi
dell'art. 13, comma 2, della legge, nonche' della collaborazione
dell'Arma dei Carabinieri che, in virtu' della capillare presenza sul
territorio, costituisce nella specifica attivita' il principale
referente, della Polizia di Stato, del Corpo della Guardia di
Finanza, nonche' delle Forze Armate, delle pubbliche amministrazioni
e dei soggetti erogatori di servizi di pubblica utilita'.
2. Fatto salvo quanto previsto dall'art. 24, comma 2, lett. a), b),
c) e d) per il rilascio dei NOS relativi al personale
dell'amministrazione civile del Ministero dell'interno, della Polizia
di Stato e del Corpo nazionale dei vigili del fuoco, con qualifica
inferiore a Prefetto o dirigente generale, gli elementi informativi
necessari sono forniti all'UCSe dal Capo della Segreteria principale
di sicurezza del Ministero dell'interno. Per il rilascio dei NOS
relativi al personale militare e civile delle Forze armate e del
Comando Generale dell'Arma dei Carabinieri avente grado inferiore a
Generale di Corpo d'armata o grado o qualifica corrispondente, gli
elementi informativi necessari sono forniti all'UCSe, in relazione
alla Forza armata di appartenenza, dall'Organo Centrale di Sicurezza.
Per il rilascio dei NOS relativi al personale della Guardia di
finanza, con grado inferiore a Generale di Corpo d'Armata, gli
elementi informativi necessari sono forniti all'UCSe dal Capo della
Segreteria principale di sicurezza del Comando generale della Guardia
di Finanza. Per le esigenze abilitative dell'AISE e dell'AISI, gli
elementi informativi necessari al primo rilascio del NOS sono forniti
all'UCSe dall'Agenzia interessata.
3. Nei casi diversi da quelli indicati al comma 2, gli adempimenti
istruttori per il rilascio dei NOS sono curati dall'UCSe.
4. Le autorita' delegate al rilascio del NOS si avvalgono, per
l'acquisizione delle informazioni, delle banche dati e delle
strutture delle proprie amministrazioni, nonche' del contributo delle
Forze di polizia e delle Forze Armate, secondo quanto previsto al
comma 5. Qualora, all'esito di tale ricognizione, sia ritenuto
opportuno acquisire elementi da altre amministrazioni o da soggetti
erogatori di servizi di pubblica utilita', viene interessato l'UCSe
per l'eventuale supplemento di istruttoria.
5. Nel caso di delega ai sensi dell'art. 24, comma 2, il Capo della
Segreteria Principale di sicurezza del Ministero dell'interno si
avvale della Polizia di Stato nonche', a fini di integrazione, dei
comandi dell'Arma dei Carabinieri e della Guardia di Finanza e delle
Forze Armate. L'Organo Centrale di Sicurezza di ciascuna Forza armata
si avvale dei comandi rispettivamente dipendenti e dei comandi
dell'Arma dei Carabinieri. L'Organo Centrale di Sicurezza del
Segretariato Generale della Difesa si avvale dei comandi delle Forze
armate e dei comandi dell'Arma dei Carabinieri. L'Organo Centrale di
Sicurezza dell'Arma dei Carabinieri si avvale dei comandi dipendenti
nonche', a fini di integrazione, della Polizia di Stato, dei comandi
della Guardia di Finanza e delle altre Forze armate. L'Organo
Centrale di Sicurezza del Comando generale del Corpo della Guardia di
Finanza si avvale dei comandi del Corpo nonche', a fini di
integrazione, dei comandi dell'Arma dei Carabinieri, della Polizia di
Stato e delle Forze Armate.
6. Le autorita' che rilasciano i NOS acquisiscono il parere dei
direttori dei servizi di informazione per la sicurezza previsto
dall'art. 9, comma 2, lettera c), della legge, formulato sulla base
degli elementi in loro possesso, entro centocinquanta giorni dalla
data della richiesta. Fatta eccezione per il rilascio dei NOS a
livello SEGRETISSIMO, l'inutile decorso del termine e' valutato quale
assenza di elementi di controindicazione.
7. Per i NOS di livello SEGRETISSIMO, qualora nel termine massimo
complessivo di cui al comma 13, sia pervenuto almeno un parere
favorevole di cui all'art. 9, comma 2, lettera c), della legge, si
procede al rilascio del NOS.
8. I pareri pervenuti oltre i termini di cui al comma 6 sono
comunque valutati ai fini del diniego, revoca, sospensione, riduzione
di classifica di segretezza e di qualifica di sicurezza
internazionale del NOS. L'acquisizione dei pareri da parte dell'UCSe
puo' essere assicurata mediante apposito collegamento telematico con
le Agenzie.
9. Ove necessario per la delicatezza dell'incarico da attribuire o
per i riflessi su profili attinenti all'ordine e alla sicurezza
pubblica o alla difesa militare, l'UCSe acquisisce i pareri dei
Ministri della difesa e dell'interno di cui all'art. 9, comma 2,
lettera c), della legge.
10. Per il rilascio del NOS a cittadini stranieri, o a cittadini
con doppia cittadinanza, o a cittadini italiani che hanno soggiornato
all'estero, per l'acquisizione delle informazioni e' interessato il
Ministero degli affari esteri oppure, qualora si tratti di Paesi NATO
o UE o con i quali sussistano in materia accordi bilaterali,
l'autorita' nazionale di sicurezza del Paese. Tali informazioni sono
acquisite in ogni caso per soggiorni superiori ad un anno nonche' per
periodi inferiori, allorquando ritenuto opportuno anche in relazione
al Paese interessato. A tale adempimento provvede l'UCSe, anche per
conto delle autorita' delegate al rilascio del NOS ai sensi dell'art.
24. In ogni caso l'UCSe puo' delegare l'organo centrale di sicurezza
del Ministero degli Affari Esteri e della Cooperazione Internazionale
all'acquisizione delle informazioni per il rilascio del NOS ai
dipendenti di quel Dicastero, sulla base di apposite intese.
11. Ove il rilascio del NOS comporti l'estensione dell'accertamento
a cittadini stranieri o a cittadini italiani che hanno soggiornato
all'estero, qualora le notizie non pervengano entro centocinquanta
giorni dalla richiesta, fatta eccezione per il segretissimo, si
procede al rilascio del NOS all'esito di una complessiva valutazione
in ordine all'insussistenza di motivi ostativi. Le informazioni
pervenute oltre il termine di centocinquanta giorni sono comunque
valutate ai fini del diniego, revoca, sospensione, riduzione di
classifica di segretezza, di qualifica di sicurezza internazionale
del NOS.
12. Ferma restando l'acquisizione del modello informativo conforme
al modulo approvato dall'UCSe, il complesso degli elementi
informativi deve essere comunque fornito entro il termine di
centocinquanta giorni dalla data della richiesta. Fatta eccezione per
il rilascio dei NOS a livello SEGRETISSIMO, e fermo restando quanto
previsto dal comma 7, l'inutile decorso del termine e' valutato quale
assenza di elementi di controindicazione. Le informazioni pervenute
oltre il termine di centocinquanta giorni sono comunque valutate ai
fini del diniego, revoca, sospensione, riduzione di classifica di
segretezza, di qualifica di sicurezza internazionale del NOS.
13. L'istruttoria per il rilascio del NOS si conclude entro il
termine di dodici mesi dal ricevimento della richiesta, prorogabile
fino ad un massimo di ulteriori sei mesi nel caso risulti
particolarmente complessa.
14. Qualora vengano a cessare i motivi che avevano determinato la
richiesta di rilascio del NOS, il soggetto pubblico o privato
richiedente ne da' tempestiva comunicazione all'autorita' competente,
che interrompe l'istruttoria.
15. Ai fini del rilascio del NOS si applicano, quando ritenuto
necessario ed alle condizioni in esso descritte, le disposizioni di
cui all'art. 118-bis del codice di procedura penale.
16. A decorrere dal dodicesimo mese dall'entrata in vigore del
presente Regolamento, l'Organo Nazionale di Sicurezza puo'
rideterminare, riducendoli, i termini relativi al procedimento
istruttorio preordinato al rilascio delle abilitazioni personali. A
tal fine l'UCSe effettua un monitoraggio dei procedimenti istruiti
anche dalle Autorita' eventualmente delegate. Del provvedimento di
rideterminazione e' data comunicazione al Comitato parlamentare per
la sicurezza della Repubblica nella relazione semestrale di cui
all'art. 33, comma 1, della legge.
Art. 28
Modalita' di acquisizione delle informazioni
1. Ai fini dell'attuazione delle disposizioni contenute nell'art.
27 le informazioni sono acquisite, in funzione del luogo di residenza
della persona per la quale e' richiesto il rilascio del NOS:
a) dalla questura competente per territorio;
b) dal comando provinciale dell'Arma dei Carabinieri ovvero dal
Gruppo eventualmente istituito nel suo ambito, competente per
territorio;
c) dal comando provinciale della Guardia di finanza competente
per territorio.
2. La questura, il comando provinciale dell'Arma dei Carabinieri
ovvero il Gruppo eventualmente istituito nel suo ambito o il comando
provinciale della Guardia di finanza cui e' rivolta la richiesta di
informazioni, provvede a:
a) svolgere gli accertamenti sulla base delle notizie esistenti
agli atti, o comunque disponibili;
b) effettuare le interrogazioni delle banche dati disponibili,
acquisendo aggiornati elementi conoscitivi in relazione alle
segnalazioni rilevate;
c) acquisire, in relazione alle persone oggetto dell'indagine
conoscitiva che abbiano risieduto o domiciliato anche in altre
localita' italiane per periodi superiori a 1 anno, le informazioni
d'interesse presso le articolazioni competenti per territorio;
d) acquisire presso gli uffici giudiziari le informazioni
d'interesse riferite a procedimenti definiti o in corso nonche'
presso le prefetture le notizie concernenti condotte depenalizzate,
che abbiano comunque attinenza con la valutazione di affidabilita'
del soggetto da abilitare;
e) verificare l'eventuale sussistenza di fallimenti, pignoramenti
ed altre situazioni patrimoniali pertinenti;
f) verificare l'esistenza di ulteriori notizie utili presso la
questura o i corrispondenti comandi delle altre due Forze di polizia;
g) compilare un "Modello informativo", riepilogativo degli
elementi informativi acquisiti, conforme al modello approvato
dall'UCSe.
3. Per l'acquisizione delle informazioni riferite ad un cittadino
italiano:
a) residente all'estero, fatto salvo quanto indicato alla lettera
b), e' interessata, in relazione all'ultima residenza avuta in
Italia, la questura o il comando provinciale dell'Arma dei
Carabinieri ovvero il Gruppo territoriale eventualmente istituito nel
suo ambito, o il comando provinciale della Guardia di finanza,
competente per territorio;
b) che non abbia mai risieduto in Italia, e' competente la
questura o il comando provinciale dell'Arma dei Carabinieri di Roma.
4. All'acquisizione delle informazioni presso i competenti organi
di Paesi esteri, di organizzazioni internazionali e dell'Unione
europea provvede l'UCSe anche per i procedimenti di rilascio dei NOS
da parte dell'autorita' delegata ai sensi dell'art. 24. L'UCSe
assolve, inoltre, agli obblighi di collaborazione assunti, a
condizione di reciprocita', in ambito internazionale e dell'Unione
europea.
Art. 29
Decisione
1. Acquisite le informazioni, l'autorita' competente al rilascio:
a) verifica la completezza ed esaustivita' degli elementi di
conoscenza disponibili;
b) effettua ulteriori approfondimenti, laddove necessari;
c) valuta l'affidabilita' della persona sulla base delle
informazioni assunte e del quadro normativo che regola la materia,
anche richiedendo, in casi dubbi, elementi di valutazione al
responsabile dell'impiego della persona per la quale e' stato
richiesto il rilascio del NOS, che, se dirigente e gia' abilitato
almeno per i livelli di classifica di segretezza e qualifica di
sicurezza richiesti, compila e sottoscrive una "dichiarazione di
affidabilita'", conforme al modello approvato dall'UCSe, avente
efficacia annuale. Qualora il responsabile dell'impiego non sia
dirigente, la "dichiarazione di affidabilita'" viene prodotta dal
dirigente sovraordinato, gia' abilitato almeno per i livelli di
classifica di segretezza e qualifica di sicurezza richiesti. Per gli
operatori economici tale dichiarazione puo' essere rilasciata
soltanto dal legale rappresentante o dal Funzionario alla sicurezza.
Allo scadere dell'anno l'autorita' competente adotta la definitiva
determinazione in merito al rilascio del NOS. In presenza della
"dichiarazione di affidabilita'", l'autorita' competente rilascia
un'abilitazione temporanea di durata annuale, con eventuali
limitazioni. Per i provvedimenti concernenti il rilascio di NOS
qualificati sono osservate, altresi', le disposizioni contenute nei
trattati internazionali ratificati dall'Italia, nonche' negli altri
atti regolamentari internazionali approvati dall'Italia e nella
normativa dell'Unione europea che trattano la specifica materia.
2. Effettuate le valutazioni di cui al comma 1, l'autorita'
competente dispone alternativamente:
a) il rilascio del NOS. Per motivi di cautela possono essere
attribuite al NOS limitazioni territoriali, di elevabilita' e
temporali;
b) il diniego del NOS;
c) la sospensione della procedura abilitativa quando sia
necessario attendere la definizione di procedimenti in corso.
Art. 30
Notifiche e custodia
1. Dell'avvenuto rilascio, diniego, sospensione o revoca del NOS,
dell'abilitazione temporanea, dei livelli di classifica di
segretezza, delle qualifiche di sicurezza internazionali accordati e
delle eventuali limitazioni disposte, ovvero della sospensione della
procedura abilitativa, e' data tempestiva comunicazione al soggetto
pubblico o privato richiedente e, nei casi in cui il provvedimento
sia stato adottato su delega, anche all'UCSe.
2. Il NOS e' custodito presso l'autorita' che ha provveduto al
rilascio. Quando al rilascio provvede l'UCSe ne da comunicazione al
soggetto pubblico o privato che lo ha richiesto.
3. I soggetti pubblici e privati tengono un elenco aggiornato dei
NOS e delle abilitazioni temporanee concessi al personale dipendente.
Art. 31
Termini di validita' del NOS
1. Il NOS ha la durata di cinque anni per la classifica di
segretezza SEGRETISSIMO e di dieci anni per le classifiche di
segretezza SEGRETO e RISERVATISSIMO. Sono fatte salve diverse
disposizioni contenute nei trattati internazionali ratificati
dall'Italia nonche' negli altri atti regolamentari internazionali
approvati dall'Italia e nella normativa dell'Unione europea che
trattano la specifica materia. Ai fini del calcolo della relativa
scadenza si tiene conto della data del "Modello informativo" di cui
all'art. 28, comma 2, lettera g).
Art. 32
Abilitazione temporanea
1. Contestualmente all'avvio della procedura di rilascio del NOS,
ove sussistano urgenti e comprovate esigenze di servizio, l'UCSe e le
altre autorita' competenti previa comunicazione all'UCSe possono
rilasciare abilitazioni temporanee della validita' massima di sei
mesi, prorogabile una sola volta.
2. La richiesta di rilascio dell'abilitazione temporanea specifica
i motivi, la classifica di segretezza ed eventualmente la qualifica
di sicurezza necessari ed e' corredata di una "dichiarazione di
affidabilita'" rilasciata dal responsabile dell'impiego e, ove questi
non sia dirigente, successivamente convalidata dal dirigente
sovraordinato, gia' abilitato almeno per i livelli di classifica di
segretezza e qualifica di sicurezza richiesti per l'abilitazione
temporanea.
3. L'abilitazione temporanea e' altresi' rilasciata ai soggetti
indicati all'art. 43 , comma 1, su richiesta dell'operatore
economico. A tali fini, l'operatore economico produce:
a) dichiarazione dei soggetti interessati su modello approvato
dall'UCSe circa le condizioni previste per il diniego, la sospensione
o la revoca del NOS;
b) "dichiarazione di affidabilita'" del rappresentante legale o
del Funzionario alla sicurezza in favore dei soggetti per i quali si
chiede il rilascio dell'abilitazione temporanea.
4. Per il rilascio dell'abilitazione temporanea le autorita'
competenti acquisiscono le informazioni necessarie tra quelle
rinvenibili agli atti in proprio possesso e consultando le banche
dati d'interesse, in primo luogo la banca dati di cui all'art. 8,
della legge 1° aprile 1981, n. 121.
Art. 33
Rinnovo del NOS
1. La richiesta di rinnovo del NOS deve pervenire all'autorita'
competente con un anticipo di almeno sei mesi rispetto alla scadenza.
Si applicano le stesse disposizioni ed e' osservata la stessa
procedura istruttoria previste per il rilascio.
2. Nei casi in cui per il NOS scaduto sia stato tempestivamente
chiesto il rinnovo, il documento resta valido, sempre che non
emergano elementi di controindicazione, fino al rilascio del nuovo.
3. Quando la richiesta di rinnovo del NOS e' inoltrata oltre il
termine indicato al comma 1, l'autorita' competente, in via
eccezionale, puo' autorizzare la proroga di validita' dello stesso a
condizione che dai primi accertamenti non siano emersi elementi di
controindicazione e, ove ritenuto necessario, venga fornita idonea
dichiarazione di affidabilita'.
Art. 34
Istruzione sulla sicurezza
1. Il rilascio del NOS, dell'abilitazione temporanea e l'accesso ad
informazioni classificate "RISERVATO" e' accompagnato dall'istruzione
alla sicurezza a cura del soggetto pubblico o privato che impiega la
persona. Se il NOS o l'abilitazione temporanea riportano anche una o
piu' qualifiche di sicurezza, detta istruzione e' estesa alle
relative disposizioni internazionali o dell'Unione europea.
2. In caso di affidamento di contratti classificati RISERVATO si
osservano le disposizioni di cui al comma 2 dell'art. 38.
3. L'istruzione alla sicurezza ha ad oggetto il complesso delle
norme relative alla protezione delle informazione classificate, a
diffusione esclusiva o coperte da segreto di Stato, con particolare
riferimento alle disposizioni connesse all'espletamento dell'incarico
affidato al soggetto abilitato e alla sicurezza CIS.
Art. 35
Comunicazione di elementi rilevanti
per il possesso del NOS
1. I Funzionari o Ufficiali alla sicurezza o i Funzionari o
Ufficiali alla sicurezza designati dei soggetti pubblici e degli
operatori economici, ciascuno nell'ambito della propria sfera di
competenza, comunicano tempestivamente all'UCSe ed all'autorita' che
ha provveduto al rilascio del NOS, se diversa dall'UCSe, eventuali
elementi informativi suscettibili di influire negativamente
sull'affidabilita' delle persone abilitate.
2. Le questure, i comandi dell'Arma dei carabinieri e della Guardia
di finanza, gia' interessati per l'acquisizione di informazioni
finalizzate al rilascio del NOS, informano tempestivamente l'UCSe e
l'autorita' che ha provveduto al rilascio, se diversa dall'UCSe,
della sopravvenuta conoscenza di elementi determinativi
dell'inaffidabilita' della persona abilitata.
3. I soggetti titolari di NOS sono tenuti a segnalare
tempestivamente all'amministrazione o all'ente che ne ha chiesto
l'abilitazione ogni mutamento nella propria situazione personale o
familiare, nonche' ogni altro elemento che potrebbe assumere
rilevanza ai fini del possesso del NOS. L'eventuale accertamento, da
parte dell'UCSe o dell'autorita' competente al rilascio, di omissioni
riguardo agli obblighi di informazione viene valutata ai fini della
permanenza del peculiare requisito di affidabilita' dell'interessato.
Art. 36
Verifiche
1. Ai sensi e per gli effetti dell'art. 9, comma 6, della legge,
l'autorita' che ha rilasciato il NOS puo', secondo le procedure
previste all'art. 24, comma 4, revocarlo, sospenderne la validita' o
apporvi limitazioni sulla base di segnalazioni e verifiche a
campione, anche nei casi di richiesta di Abilitazione Preventiva di
cui all'art. 43, dalle quali emergano motivi di inaffidabilita' a
carico del soggetto interessato.
2. Le verifiche di cui al comma 1 sono effettuate prioritariamente
con riguardo a persone abilitate:
a) alla trattazione di informazioni classificate SEGRETISSIMO;
b) alla trattazione di informazioni classificate SEGRETO, se
occupano posizioni per le quali hanno normale accesso ad una
considerevole quantita' di informazioni recanti tale livello di
classifica di segretezza ovvero a sistemi di comunicazione o
informatici che trattano o contengono informazioni classificate;
c) alla trattazione di informazioni classificate RISERVATISSIMO o
SEGRETO, se rivestono particolari responsabilita' nell'ambito degli
operatori economici, quali rappresentanti legali, Funzionari alla
sicurezza, direttori tecnici, titolari di quote di partecipazione
qualificate;
d) in presenza di elementi di controindicazione, valutati non
ostativi in sede di rilascio del NOS.
Art. 37
Criteri per il diniego, la revoca, la sospensione, la limitazione la
riduzione di classifica o la dequalifica delle abilitazioni di
sicurezza per le persone fisiche
1. Al verificarsi di situazioni tali da ingenerare dubbi in ordine
all'affidabilita' della persona, l'abilitazione e' sospesa in via
cautelare per il tempo strettamente necessario agli accertamenti del
caso.
2. Quando nei confronti della persona interessata emergono
elementi, acquisiti o verificati ai sensi dell'art. 27, che
influiscono negativamente sulla sua affidabilita' in termini di
scrupolosa fedelta' alle Istituzioni della Repubblica, alla
Costituzione e ai suoi valori, nonche' di rigoroso rispetto del
segreto e delle norme finalizzate alla tutela delle informazioni, dei
documenti e dei materiali classificati, l'abilitazione e' negata,
revocata, sospesa, ridotta di livello di segretezza, di qualifica di
sicurezza e dequalificata ovvero limitata territorialmente o
temporalmente, secondo quanto previsto nei commi successivi.
3. In relazione alla valutazione degli elementi di fatto che
emergano dai precedenti o procedimenti penali e che possano influire
sull'affidabilita' della persona, e' adottato uno dei provvedimenti
seguenti:
a) diniego o revoca delle abilitazioni di sicurezza personali in
presenza di una sentenza definitiva di condanna o di sentenza di
condanna di primo grado confermata in appello per reati dolosi, o per
reati colposi afferenti alla tutela e salvaguardia delle
informazioni, dei documenti e dei materiali classificati;
b) sospensione delle abilitazioni di sicurezza personali o della
procedura in corso per il rilascio delle abilitazioni di sicurezza
personali in caso di assunzione della qualita' di imputato,
sottoposizione a taluna delle misure cautelari personali previste
dalla legislazione vigente o sentenza di condanna di primo grado per
i reati di cui alla lettera a);
c) sospensione delle abilitazioni di sicurezza personali o della
procedura in corso per il rilascio delle abilitazioni di sicurezza
personali sulla base di comunicazioni, anche ai sensi dell'art.
118-bis c.p.p., dell'Autorita' giudiziaria, in relazione ad attivita'
di indagine per i reati di cui alla lettera a).
4. In riferimento ai provvedimenti di cui al comma 3, lettera a),
la richiesta di rilascio dell'abilitazione puo' essere riproposta
qualora la persona interessata sia stata riabilitata e la
riabilitazione abbia estinto le pene accessorie ed ogni altro effetto
penale della condanna. L'estinzione del reato ai sensi dell'art. 445
c.p.p., nonche' ai sensi dell'art. 157 c.p., non preclude la
valutazione circa la rilevanza dei fatti oggetto dell'imputazione ai
fini del mantenimento o del rilascio dell'abilitazione.
5. Nei casi di cui al comma 3, lettere b) e c), si da' luogo al
ripristino della validita' del NOS, o alla ripresa della procedura
per il rilascio o di rinnovo, in caso di provvedimento di
archiviazione, di sentenza di proscioglimento o di sentenza di
assoluzione di primo grado confermata in appello.
6. Ai fini del comma 1 assume altresi' specifica rilevanza
l'esistenza di elementi di informazione tali da far ritenere o da
mettere in evidenza:
a) che la persona sia interessata ad attivita' di spionaggio,
sabotaggio, collusione, relazione, collaborazione con elementi che
perseguono fini o svolgono attivita' contrarie alla difesa e alla
sicurezza dello Stato italiano o degli Stati membri delle
organizzazioni internazionali di cui l'Italia e' parte;
b) che il soggetto sia interessato ad attivita' eversive o di
fiancheggiamento nei confronti di persone appartenute, appartenenti o
collegate a movimenti, nuclei o gruppi che perseguono fini contrari
alle istituzioni democratiche dello Stato, ovvero svolgono propaganda
diretta a sovvertire con la violenza l'ordinamento democratico;
c) che il soggetto intrattenga o abbia intrattenuto rapporti, a
qualsiasi titolo, con organizzazioni di tipo mafioso o con altre
organizzazioni che perseguono fini criminosi, ovvero sono dedite ad
attivita' contrarie ai fondamentali interessi economici, finanziari e
industriali del Paese;
d) che il soggetto sia affetto da stati psicopatologici ovvero
faccia uso di sostanze stupefacenti, abuso di alcolici o sia
dipendente da sostanze psicotrope;
e) situazioni di fatto, pertinenti e non eccedenti le specifiche
finalita' di tutela perseguite, che possono verosimilmente rendere il
soggetto non adeguato alla gestione di informazioni classificate in
quanto influenzabile, vulnerabile o possibile destinatario di atti di
condizionamento o pressione, tali da influire sulla liberta' di
determinazione, quali, in via esemplificativa, rilevanti esposizioni
debitorie, fallimenti, pignoramenti, precedenti disciplinari per
fatti rilevanti ai fini dell'affidabilita', legami di parentela,
coniugio, affinita' o frequentazione con persone in relazione alle
quali sussistono gli elementi di cui ai commi 3 e 6, lett. a), b), c)
e d);
f) gravi violazioni delle norme di sicurezza per la protezione e
la tutela delle informazioni classificate o compromissione delle
stesse.
7. Nei casi di cui alle lettere a), b), c) e d) del comma 6 viene
disposto il diniego o la revoca del NOS; nei casi di cui alla lettera
e) del comma 6 il diniego o la revoca del NOS o l'attribuzione al NOS
di limitazioni; nei casi di cui alla lettera f) del comma 6 il
diniego, la revoca, la sospensione del NOS ovvero la riduzione di
classifica o la dequalifica, in relazione alle circostanze ed alla
gravita' della violazione.
8. I provvedimenti di diniego, revoca e sospensione concernenti le
abilitazioni di sicurezza personali sono motivati con il riferimento
alle disposizioni di cui al presente articolo.
Capo V
TUTELA DELLE INFORMAZIONI CLASSIFICATE E A DIFFUSIONE ESCLUSIVA NEL SETTORE INDUSTRIALE
Art. 38
Norme per la trattazione
delle informazioni classificate RISERVATO
1. Qualora l'operatore economico debba trattare esclusivamente
informazioni classificate RISERVATO, il legale rappresentante - o
altro soggetto, socio o dipendente dell'operatore economico,
designato dal legale rappresentante - e' il responsabile della
gestione delle informazioni classificate RISERVATO secondo la legge,
il presente regolamento e le relative disposizioni applicative. Ai
fini dell'esecuzione del contratto il committente accerta che non
sussista a carico del responsabile sentenza di condanna definitiva o
sentenza di condanna di primo grado confermata in appello per reati
afferenti la tutela e la salvaguardia delle informazioni, dei
documenti e dei materiali classificati.
2. L'Organizzazione di sicurezza individuata dall'amministrazione o
dell'impresa che affidano il contratto o il sub-contratto fornisce
l'istruzione di sicurezza al responsabile, qualora l'operatore
economico affidatario non sia abilitato.
3. Il responsabile di cui al comma 1 e' il referente del
committente e dell'UCSe per la trattazione delle informazioni
classificate RISERVATO.
4. Il responsabile di cui al comma 1 assicura che l'accesso alle
informazioni RISERVATO sia consentito esclusivamente al personale che
abbia necessita' di conoscere e sia stato istruito sulle
responsabilita' e sulle conseguenze penali di una divulgazione non
autorizzata delle informazioni classificate.
5. Per la gestione e la custodia delle informazioni classificate
RISERVATO la sede dell'operatore economico e' dotata di apposita area
controllata, come previsto dall'art. 72, nell'ambito della quale le
informazioni classificate sono conservate secondo modalita' che non
consentano l'accesso non autorizzato.
6. La trasmissione di informazioni classificate RISERVATO non e'
consentita con sistemi elettrici o elettronici non autorizzati
dall'UCSe; e' consentita la trasmissione postale che consenta la
tracciabilita', ovvero mediante vettori commerciali o trasporto a
mano, secondo le disposizioni applicative del presente regolamento.
7. In caso di violazione o compromissione delle informazioni
classificate RISERVATO, il responsabile di cui al comma 1 procede ai
sensi delle vigenti disposizioni, comunicando altresi' l'evento al
committente ed all'UCSe ai fini degli adempimenti previsti dalle
vigenti disposizioni.
8. Le stazioni appaltanti e i committenti comunicano all'UCSe, per
il tramite delle rispettive organizzazioni di sicurezza, gli
operatori economici risultati aggiudicatari di contratti recanti
classifica RISERVATO. Il sub-appalto o la sub-commessa autorizzati,
classificati RISERVATO, sono comunicati all'UCSe, secondo il modello
approvato, dal soggetto responsabile ai sensi del comma 1
dell'operatore economico subappaltante.
9. La corretta gestione e custodia di informazioni classificate
RISERVATO e' soggetta ai poteri di vigilanza degli organi di
sicurezza individuati dalle Amministrazioni che affidano i contratti
e delle imprese committenti nonche' ai poteri ispettivi dell'UCSe.
Art. 39
Trattazione delle informazioni classificate RISERVATO
mediante sistemi informatici nel settore industriale
1. Per la trattazione delle informazioni classificate RISERVATO
mediante sistemi informatici, l'operatore economico osserva le regole
di sicurezza di cui all'art. 66, comma 2 del presente regolamento.
L'operatore economico trasmette all'UCSe e all'amministrazione
appaltante o all'impresa committente un'autocertificazione attestante
la disponibilita' di, una postazione informatica non connessa a reti
fisse o mobili, ovvero con le caratteristiche stabilite nelle
disposizioni applicative del presente regolamento, da utilizzare per
la specifica procedura di affidamento o esecuzione contrattuale.
2. Ai fini dell'esecuzione del contratto il legale rappresentante -
o altro soggetto, socio o dipendente dell'operatore economico,
designato dal legale rappresentante - assume la funzione di
"amministratore di sistema".
3. L'amministratore di sistema assicura l'attuazione delle regole
di sicurezza di cui al comma 1 ed e' responsabile degli aspetti
tecnici di sicurezza del sistema destinato a trattare informazioni
classificate RISERVATO.
Art. 40
Attivita' industriali di rilievo strategico (NOSIS)
1. Agli operatori economici la cui attivita', per oggetto,
tipologia o caratteristiche, assume rilevanza strategica per la
protezione degli interessi politici, militari, economici, scientifici
e industriali nazionali, e' rilasciato il Nulla Osta di Sicurezza
Industriale Strategico (NOSIS). Rientrano in tale ambito, in
particolare:
a) le attivita' volte ad assicurare la difesa e la sicurezza
dello Stato;
b) le attivita' volte alla produzione o allo sviluppo di
tecnologie suscettibili di impiego civile/militare;
c) le attivita' connesse alla gestione delle infrastrutture
critiche anche informatiche e di interesse europeo;
d) la gestione di reti, di infrastrutture e di sistemi di
ricetrasmissione ed elaborazione di segnali e/o comunicazioni;
e) la gestione di reti e infrastrutture stradali, ferroviarie,
marittime ed aeree;
f) la gestione di reti e sistemi di produzione, distribuzione e
stoccaggio di energia ed altre infrastrutture critiche;
g) la gestione di attivita' finanziarie, creditizie ed
assicurative di rilevanza nazionale.
2. Il NOSIS abilita gli operatori economici di cui al comma 1 alla
trattazione di informazioni classificate, anche a diffusione
esclusiva, e alla partecipazione a gare d'appalto e procedure
finalizzate all'affidamento di contratti classificati e qualificati
NATO e UE e alla relativa esecuzione in caso di aggiudicazione.
3. Il NOSIS e' rilasciato all'esito di accertamenti diretti ad
escludere dalla conoscibilita' di notizie, documenti, atti o cose
classificati e a diffusione esclusiva i soggetti che non diano sicuro
affidamento di scrupolosa fedelta' alle istituzioni della Repubblica,
alla Costituzione e ai suoi valori, nonche' di rigoroso rispetto del
segreto. Per il rilascio del NOSIS si applicano le disposizioni
dell'art. 44 e dell'art. 45 , per quanto compatibili. Ai fini del
rilascio del NOSIS l'operatore economico deve dotarsi di un'area
riservata con le caratteristiche di cui al Capo VIII, di omologazione
CIS e, ove necessario, COMSEC.
4. L'istruttoria per il rilascio del NOSIS si conclude nel termine
di dodici mesi dalla ricezione della richiesta da parte di UCSe,
prorogabile fino ad un massimo di ulteriori sei mesi nel caso di
particolare complessita'.
5. Il NOSIS e' rilasciato di norma a livello SEGRETO, o qualora ne
ricorrano le condizioni, a livello superiore e con qualifica NATO e
UE.
6. La durata del NOSIS e' stabilita in relazione al permanere delle
attivita' di rilievo strategico, fatte salve le periodiche verifiche,
anche attraverso le attivita' ispettive, finalizzate ad accertare il
mantenimento dei requisiti abilitativi.
7. Qualora a carico di una societa' munita di NOSIS ovvero dei
soggetti indicati nell'art. 47, commi 2 e 3, lett. b), e art. 48,
comma 1, lettera c), emerga una o piu' delle cause di sospensione,
revoca, limitazione, previste dagli articoli 37, 47 e 48, l'UCSe
avvia un'istruttoria finalizzata ad accertare se l'organizzazione di
sicurezza della societa' mantiene caratteristiche adeguate alla
salvaguardia delle informazioni classificate e a diffusione
esclusiva, costitutive del patrimonio strategico di interesse
nazionale. A tal fine l'UCSe, previo accertamento, anche di carattere
ispettivo, e acquisizione di notizie e pareri dalle amministrazioni
pubbliche e private competenti e, ove necessario, dall'Autorita'
Giudiziaria ai sensi dell'art. 118 bis c.p.p., puo' indicare
prescrizioni e condizioni, assegnando un termine per l'adempimento.
8. Qualora dall'istruttoria condotta emergano, anche per accertata
inadempienza delle prescrizioni e condizioni assegnate, elementi di
fatto sull'inadeguatezza dell'operatore economico a salvaguardare le
informazioni classificate e a diffusione esclusiva, costitutive del
patrimonio strategico di interesse nazionale, il Direttore generale
del DIS-Organo nazionale di sicurezza formula indirizzi all'UCSe per
la limitazione, sospensione e, in casi eccezionali, a tutela degli
interessi nazionali, revoca del NOSIS.
9. Dell'avvio del procedimento di cui ai commi 7 e 8 e dei relativi
esiti, il Direttore generale del DIS - Organo nazionale di sicurezza
informa l'Autorita' nazionale per la sicurezza
Art. 41
Informazioni a diffusione esclusiva
1. Nell'ambito dei settori di cui all'art. 40, l'autorita'
competente, individuata ai sensi dell'art. 3 del decreto del
Presidente della Repubblica 19 febbraio 2014, n. 35 e dell'art. 3 del
decreto del Presidente della Repubblica 25 marzo 2014, n. 86,
definisce le informazioni e i documenti, ovvero le categorie di
informazioni e documenti, su cui apporre il vincolo di diffusione
esclusiva di cui all'art. 1, lettera v), anche per il tramite di
apposita delega conferita all'operatore economico.
2. Qualora alle informazioni coperte dal vincolo di cui al comma 1
sia stata attribuita una classifica, le misure di tutela applicabili,
ulteriori rispetto alla limitazione della diffusione, sono quelle
corrispondenti al relativo livello di classifica, cosi' come
stabilite nelle vigenti disposizioni in materia.
3. Le disposizioni per la gestione e la definizione delle misure di
salvaguardia e di tutela delle informazioni coperte esclusivamente
dal vincolo di cui al comma 1 sono fissate con direttive applicative
emanate dall'Organo nazionale di sicurezza, secondo criteri che
tengano conto delle esigenze di sicurezza, anche in ragione degli
ambiti territoriali e degli assetti proprietari nei quali l'operatore
economico si trova ad agire.
Art. 42
Abilitazioni di sicurezza per gli operatori economici
1. Fermo restando quanto previsto dall'art. 40, agli operatori
economici e' richiesta rispettivamente l'Abilitazione Preventiva
(AP), per partecipare a gare d'appalto o procedure classificate per
l'affidamento di contratti classificati RISERVATISSIMO o SEGRETO ed
il NOSI per partecipare a gare o a procedure classificate per
l'affidamento di contratti classificati superiori a SEGRETO e per
eseguire lavori, fornire beni e servizi, realizzare opere, studi e
progettazioni con classifica superiore a RISERVATO.
2. Le abilitazioni industriali e le abilitazioni personali sono
rilasciate altresi' ad operatori economici in relazione alla
partecipazione a procedure per l'affidamento di contratti con la
NATO, la UE, altre organizzazioni internazionali ovvero con Paesi
esteri che, secondo i rispettivi ordinamenti, richiedano il possesso
delle abilitazioni di sicurezza industriali e/o personali.
3. Durante lo svolgimento delle procedure di gara o di affidamento
dell'esecuzione di lavori o di fornitura di beni e di servizi, la
circolazione di informazioni classificate e' limitata a quanto
strettamente necessario per l'espletamento delle fasi concorsuali.
Art. 43
Abilitazione Preventiva
1. Il rappresentante legale dell'operatore economico, in possesso
della cittadinanza italiana, che intenda partecipare a gare o a
procedure classificate per l'affidamento di contratti classificati
RISERVATISSIMO o SEGRETO, ovvero qualificati, relativi a lavori o a
forniture di beni e servizi chiede all'UCSe il rilascio
dell'Abilitazione Preventiva (AP), informandone l'ente appaltante.
Chiede inoltre, unitamente alla richiesta di rilascio dell'AP, il
rilascio del NOS e dell'Abilitazione temporanea per se' e per i
soggetti interessati alla trattazione di informazioni classificate
nell'ambito della procedura concorsuale, ove gia' non in possesso.
2. Per ottenere il rilascio dell'Abilitazione Preventiva (AP),
l'operatore economico deve produrre:
a) copia del bando di gara o di altro atto di indizione della
procedura di affidamento per la quale si chiede l'abilitazione, dal
quale risulti la classificazione superiore a RISERVATO ed il relativo
livello e qualifica;
b) dichiarazione su modello approvato dall'UCSe circa le
condizioni previste per il diniego, la sospensione o la revoca del
NOS relative ai soggetti di cui all'art. 47, comma 2, ovvero ad altro
personale da abilitare.
c) dichiarazione con la quale si impegna, qualora risulti
affidatario dell'esecuzione di lavori o di fornitura di beni e
servizi, a costituire un'area riservata con le caratteristiche
indicate al Capo VIII, idonea a soddisfare le esigenze connesse
all'esecuzione contrattuale.
d) dichiarazione circa l'assenza delle condizioni ostative di cui
all'art. 47, comma 1, lett. a) e b).
3. Al fine di cui al comma 2 l'UCSe acquisisce secondo le vigenti
disposizioni e valuta:
a) il certificato, in corso di validita', del casellario
giudiziale e dei carichi pendenti di tutte le persone legalmente
autorizzate a rappresentare ed impegnare l'impresa e di quelle
incaricate di trattare le informazioni classificate;
b) il certificato integrale, in corso di validita', di iscrizione
al registro delle imprese, rilasciato dalla competente camera di
commercio;
c) la documentazione antimafia di cui all'art. 84 del decreto
legislativo 6 settembre 2011, n. 159 e successive modificazioni,
anche mediante le modalita' di cui all'art. 1, comma 52, della legge
6 novembre 2012, n. 190;
4. Qualora l'operatore economico non disponga di un'area riservata
di II classe, la trattazione di informazioni classificate
RISERVATISSIMO o SEGRETO potra' svolgersi esclusivamente presso
un'area riservata del committente con le caratteristiche di cui al
Capo VIII. La trattazione di informazioni classificate RISERVATISSIMO
o SEGRETO con sistemi informatici e' consentita all'operatore
economico che disponga in uso esclusivo di un CIS omologato
dall'UCSe. Qualora tale condizione non sussista, l'operatore
economico, puo' richiedere di utilizzare un sistema informatico
omologato del committente.
5. L'abilitazione preventiva ha validita' di sei mesi dalla data
del rilascio, prorogabili, in ragione del protrarsi delle procedure
di gara o di affidamento, per un periodo massimo di uguale durata.
6. Ferme restando le responsabilita' civili e penali in caso di
dichiarazioni mendaci, qualora sia accertata, in difformita' da
quanto dichiarato dall'interessato, la sussistenza di alcuna delle
condizioni previste dall'art. 37 a carico del legale rappresentante,
si dispone il diniego o la revoca dell'AP. La richiesta di AP puo'
essere reiterata dall'operatore economico qualora lo stesso abbia
proceduto all'estromissione del soggetto che ha fornito dichiarazioni
mendaci dalla titolarita' della legale rappresentanza, nonche'
dall'organizzazione di sicurezza.
7. L'istanza di rilascio dell'abilitazione preventiva priva della
documentazione di cui al comma 2, e' dichiarata irricevibile e ne
viene data comunicazione all'operatore economico interessato.
8. L'operatore economico all'atto dell'aggiudicazione dei lavori,
della fornitura o del servizio classificati RISERVATISSIMO o SEGRETO,
per il tramite della stazione appaltante, chiede tempestivamente il
rilascio del NOSI e delle relative omologazioni CIS e, ove
necessario, COMSEC.
Art. 44
Nulla Osta di Sicurezza Industriale
1. Il NOSI e' richiesto per la partecipazione alle gare d'appalto e
alle altre procedure classificate finalizzate all'affidamento di
contratti classificati di livello superiore a SEGRETO, anche
qualificati. Il NOSI e' richiesto altresi' per l'esecuzione di
lavori, la fornitura di beni e servizi, la realizzazione di opere,
studi e progettazioni con classifica superiore a RISERVATO ovvero
qualificati.
Il NOSI e le abilitazioni personali, inoltre, sono rilasciati ad
operatori economici per l'esecuzione di contratti con il DIS, l'AISE
e l'AISI, disciplinati dal regolamento di cui all'art. 29, comma 4
della legge per i quali siano state dichiarate dall'organismo
competente particolari esigenze di tutela della sicurezza tali da
richiedere comunque il possesso delle abilitazioni di sicurezza
personali ed industriali. Per tali contratti si applicano altresi' le
disposizioni di cui all'art. 45, comma 8.
2. Presupposto per il rilascio del NOSI e' che il legale
rappresentante, il Funzionario alla sicurezza e, ove necessario, il
direttore tecnico e altro personale siano in possesso di NOS.
3. Per il rilascio del NOSI, ai fini della partecipazione a gare
d'appalto o alle altre procedure finalizzate all'affidamento di
contratti classificati di livello superiore a SEGRETO, nonche' ai
fini dell'esecuzione di contratti relativi a lavori o forniture di
beni e servizi classificati RISERVATISSIMO o superiore, l'operatore
economico deve dotarsi di un'area riservata con le caratteristiche
indicate al Capo VIII, idonea a soddisfare le esigenze connesse
all'esecuzione contrattuale.
4. L'UCSe accerta l'esistenza e l'idoneita', presso l'operatore
economico che partecipa a procedure per l'affidamento di contratti di
livello superiore a SEGRETO o che risulta affidatario di contratti
per l'esecuzione di lavori o di forniture di beni e servizi
classificati RISERVATISSIMO o SEGRETO, di aree controllate e di aree
riservate con le caratteristiche indicate al Capo VIII. I relativi
accertamenti sono affidati agli organi di sicurezza presso le Forze
Armate. Per l'acquisizione dei suddetti elementi la Forza armata si
avvale dei dipendenti Nuclei Sicurezza.
5. Qualora l'esecuzione del contratto implichi la trattazione di
informazioni con classifica RISERVATISSIMO o superiore anche con
sistemi COMSEC e CIS, l'operatore economico deve dotarsi di
omologazioni COMSEC e CIS secondo le prescrizioni previste,
rispettivamente, ai Capi VI e VII.
6. In caso di subappalto, il subcommittente comunica all'UCSe,
tramite apposito modello approvato, gli operatori economici
affidatari della subcommessa classificata e dichiara il rilascio
dell'autorizzazione a subcommettere da parte della stazione
appaltante. Gli operatori economici affidatari della sub commessa
richiedono all'UCSe il rilascio del NOSI.
Art. 45
Istruttoria per il rilascio del NOSI
1. Il NOSI e' rilasciato all'esito di accertamenti diretti ad
escludere dalla conoscibilita' di notizie, documenti, atti o cose
classificati gli operatori economici che non diano sicuro affidamento
di scrupolosa fedelta' alle istituzioni della Repubblica, alla
Costituzione e ai suoi valori, nonche' di rigoroso rispetto del
segreto.
2. Per ottenere il rilascio del NOSI, il legale rappresentante in
possesso della cittadinanza italiana deve produrre, qualora non gia'
presentato in sede di richiesta dell'AP:
a) modello di domanda di rilascio del NOSI e relativo foglio
notizie;
b) copia della lettera d'invito o di altro atto di indizione
della procedura di affidamento per la quale viene richiesta
l'autorizzazione, nonche' prova dell'avvenuta aggiudicazione;
c) dichiarazione circa l'assenza delle condizioni ostative di cui
all'art. 47, comma 1, lett. a) e b);
d) richiesta contestuale di rilascio del NOS del legale
rappresentante e di tutto il personale, qualora non gia' muniti, da
impiegare nella trattazione delle informazioni aventi un livello di
classifica superiore a RISERVATO;
e) documentazione attestante l'identita' dei titolari effettivi
dell'operatore economico ai sensi del decreto legislativo 21 novembre
2007, n. 231.
3. Nel caso di partecipazione a gare o procedure per l'affidamento
di contratti con classifica di livello superiore a SEGRETO, per
ottenere il rilascio del NOSI, l'operatore economico deve produrre
all'UCSe, tramite l'amministrazione appaltante copia della lettera di
invito, nonche' l'ulteriore documentazione. di cui al comma 2.
4. Ai fini del rilascio del NOSI, l'UCSe acquisisce, secondo le
vigenti disposizioni, e valuta la documentazione di cui al comma 3
dell'art. 43.
5. Sulla base di verifiche e segnalazioni di cui all'art. 36,
l'UCSe puo' richiedere la documentazione di cui al comma 2, lettera
e), anche in relazione ad abilitazioni di sicurezza industriali gia'
rilasciate alla data di entrata in vigore del presente regolamento.
L'operatore economico destinatario di tale richiesta fornisce
tempestiva comunicazione circa ogni modifica relativa ai titolari
effettivi.
6. Per il rilascio del NOSI, l'UCSe acquisisce elementi informativi
presso le articolazioni di Forza armata, le Forze di polizia, le
Prefetture-Uffici territoriali del Governo, le pubbliche
amministrazioni e, ove necessario, i soggetti erogatori di servizi di
pubblica utilita'.
7. Il NOSI e' rilasciato entro il termine di sei mesi dalla data in
cui la richiesta dell'operatore economico e' pervenuta all'UCSe.
Qualora per esigenze istruttorie sorga la necessita' di acquisire
informazioni dall'operatore economico o dall'amministrazione o ente
committente, i termini sono sospesi fino alla ricezione degli
elementi richiesti.
8. Qualora la stazione appaltante lo ritenga necessario, autorizza
l'operatore economico in possesso di Abilitazione Preventiva a dare
inizio all'esecuzione prima del rilascio del NOSI, ferma restando
l'impossibilita' di proseguire nell'esecuzione in caso di mancato
rilascio del NOSI. Dell'anticipata esecuzione l'amministrazione
appaltante informa l'UCSe per il tramite dell'organo di sicurezza
competente.
Art. 46
Termini di validita' del NOSI
1. Il NOSI ha la durata di cinque anni per la classifica di
segretezza SEGRETISSIMO e di dieci anni per le classifiche di
segretezza SEGRETO e RISERVATISSIMO.
Art. 47
Criteri per il diniego e la revoca o la
limitazione delle abilitazioni industriali
1. Vengono adottati il diniego o la revoca dell'AP e del NOSI nel
caso in cui:
a) all'operatore economico sono state applicate le sanzioni
interdittive di cui all'art. 9, comma 2, del decreto legislativo 8
giugno 2001, n. 231, lettere a), b) limitatamente alla revoca e c),
ed iscritte nell'anagrafe delle sanzioni amministrative di cui agli
articoli 9 e 12 del decreto del Presidente della Repubblica 14
novembre 2002, n. 313;
b) l'operatore economico sia incorso in una o piu' delle cause di
esclusione dalla partecipazione alle procedure di affidamento delle
concessioni e degli appalti di lavori, forniture e servizi, anche
nella qualita' di affidatario di subappalti, nonche' dalla stipula
dei relativi contratti, previste dall'art. 38 del decreto legislativo
12 aprile 2006, n. 163;
c) sul conto delle persone che rivestono funzione di
amministrazione o di direzione o che esercitano, anche di fatto, la
gestione o il controllo dell'impresa emerga taluno degli elementi di
cui all'art. 37 comma 6, lett. a), b) e c) e nei casi di cui all'art.
94, comma 1, del decreto legislativo n. 159/2011;
d) per le societa' di capitali, quando sul conto dei titolari,
anche stranieri, di quote di partecipazione che, in rapporto al
capitale sociale dell'impresa, avuto anche riguardo alle circostanze
di fatto e di diritto, conferiscano la possibilita' di esercitare
sull'impresa stessa un'influenza notevole, ancorche' non dominante,
emerga taluno degli elementi indicati all'art. 37, comma 6, lettere
a), b) e c).
2. Nel caso in cui a carico del titolare della ditta individuale,
dei soci della societa' di persone, del legale rappresentante o del
direttore tecnico della societa' di capitali sussista taluna delle
cause di diniego dell'AT o del NOS, e' disposto, rispettivamente, il
diniego dell'AP e del NOSI.
3. Il provvedimento di diniego o revoca o di limitazione del NOSI
e' altresi' adottato quando, esperita la procedura di cui all'art.
48, comma 5 , l'organizzazione di sicurezza dell'operatore economico
presenta profili di perdurante inadeguatezza in ordine alla
protezione e alla tutela delle informazioni, dei documenti e dei
materiali classificati, a causa di:
a) carenza delle misure fisiche di sicurezza o inadeguata
attuazione delle procedure di sicurezza prescritte;
b) carenza o insufficienza di figure rappresentative e
professionali nei confronti delle quali sussistono le condizioni per
il rilascio dell'abilitazione personale, in relazione alla necessita'
di garantire la protezione e la tutela delle attivita' classificate
da espletare o in atto;
c) carenza delle misure di sicurezza tecnica (CIS e COMSEC) o
inadeguata attuazione delle procedure di sicurezza prescritte.
4. Il diniego o la revoca ai sensi del comma1, lett. c) e d), non
sono disposti qualora nei confronti dell'operatore economico sia
adottata la misura dell'amministrazione giudiziaria di cui all'art.
34 del decreto legislativo 159/2011, purche' l'organizzazione di
sicurezza sia idonea alla gestione di informazioni e documenti
classificati.
5. Qualora, pur in presenza di procedure concorsuali, l'operatore
economico sia in grado, ai sensi della normativa vigente, di
proseguire il rapporto contrattuale con la stazione appaltante,
l'abilitazione di sicurezza industriale non e' sottoposta a misure di
revoca o diniego, sempreche' l'organizzazione di sicurezza sia idonea
alla gestione di informazioni e documenti classificati.
Art. 48
Criteri per la sospensione delle abilitazioni industriali
1. Viene disposta la sospensione dell'AP e del NOSI nei casi in
cui:
a) all'operatore economico vengano applicate le sanzioni previste
dall'art. 9 del decreto legislativo 8 giugno 2001, n. 231, comma 1,
lettere a) e c), e comma 2 lettera b) limitatamente alla sospensione
ed iscritte nell'anagrafe delle sanzioni amministrative di cui agli
articoli 9 e 12 del decreto del Presidente della Repubblica 14
novembre 2002, n. 313;
b) sopravvenga dopo il rilascio, a carico dei soggetti di cui al
comma 2 dell'art. 47, taluna delle cause di cui all'art. 37 che
evidenzi elementi di fatto tali da far ritenere che l'operatore non
dia sicuro affidamento ai fini della protezione e della tutela delle
informazioni classificate. Resta fermo in questo caso quanto disposto
dal comma 1, lett. c) dell'art. 47;
c) la sospensione o la revoca rispettivamente dell'AT o del NOS a
personale abilitato non appartenente all'organizzazione di sicurezza
sia suscettibile di incidere, per il ruolo ricoperto da detto
personale, sull'adeguatezza complessiva dell'operatore economico alla
trattazione delle informazioni classificate;
d) anche a seguito di verifiche di sicurezza, emergano le carenze
o insufficienze previste dall'art. 47, comma 3, lett. a), b), c).
2. La sospensione del NOSI e dell'AP rilasciata ai sensi del
decreto del Presidente del Consiglio dei ministri 3 febbraio 2006,
nelle ipotesi di cui al comma 1, lett. a) e' disposta per la durata
di 6 mesi, ad eccezione del caso in cui sia irrogata la sanzione
prevista dall'art. 9 del decreto legislativo 8 giugno 2001, n. 231,
comma 2, lettera b), per il quale la sospensione opera nei limiti
previsti dall'art. 13 comma 2 del decreto legislativo 8 giugno 2001,
n. 231.
3. La sospensione del NOSI e dell'AP, disposta nei casi indicati
dal comma 1, lett. b), e' efficace per un periodo non superiore a 6
mesi, nell'ambito del quale l'UCSe puo' impartire prescrizioni,
soggette a successive verifiche di idoneita', cui l'operatore
economico dovra' adeguarsi, a pena di revoca dell'abilitazione di
sicurezza industriale. Ai fini del presente comma, l'UCSe puo'
prescrivere all'operatore economico:
a) la sostituzione dei soggetti la cui inidoneita' al possesso
dell'abilitazione personale ha causato la sospensione del NOSI;
b) la garanzia che il destinatario di misura restrittiva o revoca
del NOS sia soggetto ad idonee misure atte ad estrometterlo dal
circuito informativo classificato;
c) l'adozione di modelli organizzativi e di gestione previsti dal
decreto legislativo 8 giugno 2001, n. 231, cosi' come formulati a
seguito del vaglio di cui all'art. 6, comma 3, del citato decreto
legislativo 8 giugno 2001, n. 231;
d) di dotarsi di clausola statutaria che consenta ad un legale
rappresentante, eventualmente non dotato di rappresentanza generale,
di subentrare nelle competenze del legale rappresentante al quale sia
stata applicata misura restrittiva o di revoca dell'abilitazione
personale, limitatamente alle attivita' classificate da quest'ultimo
gestite;
e) il ripristino delle condizioni di sicurezza attraverso
ulteriori misure fissate dall'UCSe.
4. Nelle ipotesi di cui al comma 1, lett. c), la sospensione del
NOSI e dell'AP rilasciata ai sensi del decreto del Presidente del
Consiglio dei ministri 3 febbraio 2006 puo' essere disposta per un
periodo massimo di 6 mesi, prorogabile fini ad ulteriori 6 mesi.
Scaduti tali termini e' disposta la cessazione della sospensione, nel
caso siano reintegrate le condizioni di sicurezza, ovvero, ove cio'
non avvenga, la revoca del NOSI. Qualora, pur in presenza delle
condizioni di cui al comma 1, lett. c), sia verificata da parte
dell'UCSe la sussistenza di livelli minimi di sicurezza, il
provvedimento di sospensione non viene adottato, purche' l'operatore
economico ripristini le condizioni di sicurezza con le modalita' ed
entro i tempi indicati dall'UCSe.
5. Nelle ipotesi di cui al comma 1, lett. d), l'UCSe, nel
provvedimento di sospensione, indica all'operatore economico le
misure da adottare per il ripristino delle condizioni di sicurezza
fissando un termine per realizzarle. Qualora tali misure non vengano
adottate nei termini stabiliti dall'UCSe, e' disposta la revoca ai
sensi del comma 3 dell'art. 47. Ove pur in presenza delle condizioni
di cui al comma 1, lett. d), sia verificata da parte dell'UCSe la
sussistenza di livelli minimi di sicurezza, il provvedimento di
sospensione non viene adottato, purche' l'operatore economico
ripristini le condizioni di sicurezza con le modalita' ed entro i
tempi indicati dall'UCSe.
6. Qualora l'operatore economico sia sottoposto alle misure
previste dall'art. 32 del decreto legge 24 giugno 2014, n. 90,
convertito, con modificazioni, dalla legge 11 agosto 2014, n. 114,
aventi ad oggetto le commesse classificate in corso di esecuzione, la
sospensione del NOSI non opera limitatamente a queste ultime,
sempreche' l'organizzazione di sicurezza sia idonea alla gestione di
informazioni e documenti classificati.
7. Qualora, pur in presenza di procedure concorsuali, l'operatore
economico sia in grado, ai sensi della normativa vigente, di
proseguire il rapporto contrattuale con la stazione appaltante,
l'abilitazione di sicurezza industriale non e' sottoposta a misure
sospensive, sempreche' l'organizzazione di sicurezza sia idonea alla
gestione di informazioni e documenti classificati.
8. In caso di legale rappresentanza plurima, le disposizioni di cui
al comma 1, lett. b), non si applicano qualora vi sia altro
rappresentante legale dell'operatore economico dotato di NOS.
Quest'ultimo subentra, qualora consentito dalle disposizioni
statutarie, nelle competenze del legale rappresentante al quale sia
stata applicata misura di sospensione o di revoca del NOS,
relativamente alle attivita' classificate.
Art. 49
Appendice riservata
1. Nell'atto contrattuale che prevede la trattazione di
informazioni classificate, le clausole di sicurezza finalizzate alla
protezione e alla tutela delle informazioni classificate, nonche' la
lista che determina, per ciascuna informazione, il relativo livello
di classifica di segretezza e l'eventuale qualifica di sicurezza,
sono contenute in un'apposita appendice classificata, non soggetta a
pubblicita' e divulgazione, denominata "Appendice riservata".
Art. 50
Motivazione dei provvedimenti in tema
di abilitazioni di sicurezza industriali
1. Il diniego, la revoca, la sospensione, le limitazioni delle
abilitazioni di sicurezza per gli operatori economici (AP, NOSI e
NOSIS) possono essere motivati con il richiamo alle disposizioni
degli articoli 37, 47 e 48.
Art. 51
Efficacia dei NOSC e delle AP
1. I NOSC rilasciati ai sensi del decreto del Presidente del
Consiglio dei ministri 3 febbraio 2006, in corso di validita' alla
data di entrata in vigore del decreto del Presidente del Consiglio
dei ministri 22 luglio 2011, conservano efficacia sino alla loro
scadenza. Qualora, prima della scadenza del NOSC, sia presentata
richiesta di NOSIS o di NOSI ai sensi degli articoli,
rispettivamente, 40 e 44, e non emergano le controindicazioni di cui
all'art. 47 e 48, il NOSC si intende prorogato fino al rilascio
dell'abilitazione richiesta.
2. Le AP rilasciate ai sensi del decreto del Presidente del
Consiglio dei ministri 3 febbraio 2006, in corso di validita' alla
data di entrata in vigore del decreto del Presidente del Consiglio
dei ministri 22 luglio 2011 e, qualora in corso di validita', le
relative omologazioni EAD, consentono di partecipare a gare
classificate, con esclusione dell'esecuzione contrattuale, sino alla
loro rispettiva scadenza e non possono essere rinnovate.
Art. 52
Conservazione della documentazione
relativa alle abilitazioni di sicurezza
1. La documentazione relativa alle abilitazioni di sicurezza e'
conservata per un periodo di tempo non superiore a quello necessario
agli scopi per i quali essa e' stata raccolta e comunque per un
periodo non superiore a dieci anni dalla scadenza dell'abilitazione
stessa.
Capo VI
SICUREZZA DELLE COMUNICAZIONI
Art. 53
Materiali e documentazione COMSEC - Generalita'
1. Per materiali e documentazione COMSEC si intendono gli algoritmi
e le logiche crittografiche, le apparecchiature ed i sistemi
crittografici, le chiavi di cifratura e le relative liste, nonche' le
pubblicazioni, atti a garantire la sicurezza delle informazioni
classificate o coperte da segreto di Stato e trasmesse con mezzi
elettrici o elettronici.
2. Sui materiali e sulla documentazione COMSEC, contenenti elementi
crittografici atti a consentire la cifratura di informazioni
classificate, e' apposta l'indicazione "CIFRA" o "SICUREZZA CIFRA".
3. Sui materiali COMSEC, anche non classificati, assoggettati a
speciali controlli finalizzati ad assicurarne la tracciabilita', e'
apposta l'indicazione "C.C.I.", acronimo di COMSEC CONTROLLED ITEM.
Art. 54
Funzionario COMSEC
e Custode del materiale CIFRA
1. Nell'ambito degli Organi centrali e periferici di sicurezza
istituiti presso ogni amministrazione o ente e degli Organi di
sicurezza istituiti presso gli operatori economici:
a) il Funzionario o Ufficiale COMSEC e il Funzionario o Ufficiale
COMSEC designato sono incaricati di sovrintendere e controllare la
corretta applicazione delle norme in materia di sicurezza delle
comunicazioni, nonche' del mantenimento e della verifica
dell'efficienza e della sicurezza delle operazioni crittografiche e
CCI;
b) il Custode del materiale CIFRA ed i sostituti sono incaricati
della ricezione, gestione, custodia e distruzione del materiale
crittografico e CCI in carico.
2. Il Funzionario o Ufficiale COMSEC, il Funzionario o Ufficiale
COMSEC designato, il Custode del materiale CIFRA ed il sostituto
Custode del materiale CIFRA devono possedere un Nulla Osta di
Sicurezza di livello non inferiore a "SEGRETO".
3. Per lo svolgimento delle sole attivita' di movimentazione o
installazione di materiale COMSEC che non comportino attivita'
crittografiche, e' richiesta l'abilitazione di livello
RISERVATISSIMO.
Art. 55
Autorizzazione all'accesso CIFRA
1. Il personale che ha necessita' di accedere ai materiali ed alla
documentazione COMSEC, sui quali e' apposta l'indicazione "CIFRA",
deve possedere un'apposita autorizzazione all'accesso CIFRA.
2. L'autorizzazione di cui al comma 1 presuppone la necessita' di
avere costante accesso ai materiali "CIFRA" ed e' rilasciata
dall'UCSe all'organo di sicurezza dell'amministrazione, ente o
operatore economico di appartenenza sulla base del possesso dei
seguenti requisiti:
− esclusiva cittadinanza italiana per gli incarichi di
Funzionario o Ufficiale COMSEC, Funzionario o Ufficiale COMSEC
designato, custode del materiale CIFRA e relativi sostituti;
− cittadinanza italiana per gli altri incarichi COMSEC;
− Nulla Osta di Sicurezza in corso di validita';
− adeguata conoscenza delle misure di protezione e delle norme di
gestione dei materiali crittografici;
− dichiarazione di accettazione di responsabilita'.
3. L'autorizzazione all'accesso CIFRA ha validita' di cinque anni
ed e' revocata al venir meno di uno dei requisiti previsti per il
rilascio, ovvero per motivi di carattere disciplinare o per
comprovata negligenza.
4. Il dirigente dell'UCSe puo' delegare le articolazioni centrali e
periferiche dell'Organizzazione nazionale di sicurezza al rilascio ed
alla revoca dell'autorizzazione all'accesso CIFRA su richiesta del
Funzionario o Ufficiale COMSEC dell'Organo centrale di sicurezza. In
ogni caso, per i Funzionari o Ufficiali COMSEC, i Custodi del
materiale CIFRA ed i sostituti custodi del materiale CIFRA delle
societa' e delle amministrazioni, limitatamente agli Organi centrali
di sicurezza, le predette autorizzazioni sono rilasciate dall'UCSe.
5. Dei provvedimenti adottati e' data comunicazione all'UCSe che
detiene e aggiorna l'elenco delle autorizzazioni all'accesso CIFRA
rilasciate.
6. La cessione di materiali e documentazione COMSEC ad altri Stati
e' subordinata alla sottoscrizione di specifici accordi tecnici.
Art. 56
Protezione, conservazione e trasporto
di materiali e documentazione COMSEC
1. I materiali e la documentazione COMSEC classificati sono gestiti
esclusivamente presso Aree riservate, costituite in strutture fisse o
mobili, denominate "Centri COMSEC", allestite secondo le prescrizioni
tecniche e di sicurezza stabilite nelle disposizioni applicative del
presente regolamento. Il Centro COMSEC presso il quale sono impiegati
dispositivi crittografici per attivita' di telecomunicazione e'
denominato "Centro Comunicazioni Classificate".
2. Quando non in uso, tutto il materiale COMSEC sul quale e'
apposta l'indicazione "CIFRA" deve essere conservato in contenitori
di sicurezza, armadi corazzati o camere blindate con caratteristiche
tecniche identificate nelle disposizioni di cui al comma 1. Le chiavi
crittografiche e i dispositivi crittografici ad esse associate devono
essere conservati separatamente.
3. La spedizione ed il trasporto del materiale di cui al comma 2 e'
regolato da procedure individuate nelle disposizioni applicative del
presente regolamento.
Art. 57
Omologazione dei centri COMSEC
1. Ogni amministrazione, ente od operatore economico, in possesso
di NOSI o NOSIS che intenda costituire un centro COMSEC deve
richiedere all'UCSe la relativa omologazione, unitamente
all'omologazione di un CIS di adeguato livello.
2. Il processo di omologazione prevede l'accertamento della
rispondenza del Centro a specifici requisiti tecnico-installativi e
di sicurezza fisica stabiliti nelle disposizioni applicative del
presente regolamento, nonche' la verifica del possesso, da parte del
personale addetto, delle necessarie abilitazioni e delle conoscenze
tecnico-professionali.
3. Il Funzionario o Ufficiale COMSEC effettua l'analisi del rischio
cui il centro e' esposto e all'esito redige un documento di analisi
del rischio, secondo le modalita' indicate nelle disposizioni
applicative del presente regolamento, nel quale sono individuate le
potenziali minacce alla sicurezza, le vulnerabilita' del sistema
predisposto per il controllo della sicurezza ed e' valutato il
rischio residuo dopo l'implementazione delle contromisure.
4. Sulla base dei risultati dell'analisi del rischio, il
Funzionario o Ufficiale COMSEC redige inoltre un regolamento interno
di sicurezza COMSEC nel quale sono individuate le contromisure di
tipo fisico, procedurale, personale, logico e tecnico da adottare e
sono descritte dettagliatamente le procedure operative a cui gli
utenti dovranno attenersi.
5. L'UCSe valuta ed approva il regolamento interno di sicurezza
COMSEC e rilascia un certificato di omologazione a seguito di una
verifica di conformita' del centro alle predisposizioni descritte
nella documentazione di sicurezza approvata.
6. Il dirigente dell'UCSe puo' delegare le articolazioni centrali
dell'Organizzazione nazionale di sicurezza all'approvazione della
documentazione di sicurezza ed alla verifica di conformita',
relativamente a predeterminate tipologie di centri COMSEC, secondo le
disposizioni applicative del presente regolamento.
7. Gli esiti delle attivita' eseguite in regime di delega sono
trasmessi all'UCSe che, sulla base della documentazione di sicurezza
prodotta e dei relativi pareri tecnici, effettua le valutazioni ai
fini del rilascio del certificato di omologazione.
8. In caso di gravi violazioni alle norme in materia di sicurezza
delle comunicazioni o di accertate compromissioni l'omologazione e'
revocata.
9. I centri COMSEC per temporanee esigenze operative di durata non
superiore a sei mesi non sono soggetti al formale rilascio del
certificato di omologazione per la trasmissione di informazioni
classificate fino al livello "SEGRETO".
10. L'attivazione dei predetti centri deve essere tempestivamente
comunicata all'UCSe ed e' effettuata sotto la responsabilita' del
Funzionario o Ufficiale COMSEC competente.
11. Qualora permangano in un sito per un periodo di tempo inferiore
a sei mesi, i Centri COMSEC mobili o trasportabili, realizzati per
esigenze operative di amministrazioni pubbliche non necessitano di
omologazione.
12. L'omologazione dei centri COMSEC, ove non diversamente
stabilito nell'atto di formale omologazione, ha validita'
quinquennale. La richiesta di rinnovo dell'omologazione di un centro
COMSEC, corredata della documentazione che attesta il mantenimento
della configurazione approvata, e' presentata all'UCSe sei mesi prima
della relativa scadenza. In tale caso il certificato di omologazione
COMSEC scaduto resta valido fino al rilascio del nuovo certificato,
sempre che non siano state apportate modifiche alle configurazioni
approvate.
Art. 58
Omologazione dei Laboratori TEMPEST
1. L'UCSe provvede all'omologazione dei laboratori TEMPEST,
costituiti da soggetti pubblici o operatori economici per
l'effettuazione delle verifiche di apparati e dispositivi atti ad
eliminare le emissioni prodotte da apparecchiature elettroniche che
elaborano o trattano informazioni classificate.
2. Il processo di omologazione prevede l'accertamento della
rispondenza del laboratorio ai requisiti tecnici, di sicurezza fisica
e personali, anche con riferimento alle relative omologazioni e
abilitazioni, stabiliti nelle disposizioni applicative del presente
regolamento.
3. L'omologazione dei laboratori Tempest, ove non diversamente
stabilito nell'atto di formale omologazione, ha validita'
quinquennale. Il rinnovo dell'omologazione dei laboratori Tempest e'
richiesto all'UCSe dal competente Organo Centrale di sicurezza o
Organizzazione di Sicurezza costituita presso un operatore economico,
sei mesi prima della relativa scadenza. Qualora la richiesta sia
formulata sei mesi prima della scadenza, il certificato conserva la
sua efficacia fino al rinnovo.
Art. 59
Omologazione di sistemi COMSEC e TEMPEST
1. Gli algoritmi crittografici, gli apparati, dispositivi e sistemi
COMSEC, nonche' gli apparati, i sistemi e le piattaforme TEMPEST ed
ogni altro dispositivo elettrico o elettronico il cui impiego sia
finalizzato alla protezione delle comunicazioni di informazioni
classificate o alla protezione dei fenomeni inerenti le emissioni
compromettenti devono essere omologati dall'UCSe.
2. La richiesta di omologazione COMSEC o TEMPEST per i dispositivi
o gli apparati di cui al comma 1 deve essere inoltrata all'UCSe da
parte dei soggetti pubblici che abbiano interesse ad utilizzare tali
apparati. Qualora un dispositivo o un apparato progettato e
sviluppato da un'impresa presenti rilevanti aspetti di interesse per
la protezione delle informazioni classificate, l'UCSe puo' avviare
direttamente il processo di omologazione.
3. I sistemi COMSEC e TEMPEST omologati sono soggetti a revisione
secondo le disposizioni applicative del presente regolamento.
Capo VII
SICUREZZA DEI COMMUNICATION AND INFORMATION SYSTEM - CIS
Art. 60
Generalita'
Ai fini della trattazione di informazioni classificate nazionali, e
di informazioni classificate internazionali, NATO e dell'Unione
europea, i CIS devono essere organizzati secondo metodologie e
procedure che, attraverso la protezione del sistema e dei suoi
componenti, risultino idonee ad assicurare la riservatezza,
l'integrita', la disponibilita', l'autenticita' e il non ripudio
delle informazioni classificate (Information Assurance).
Art. 61
Funzionario o Ufficiale alla sicurezza CIS
1. Nell'ambito degli Organi e delle Organizzazioni di sicurezza
istituiti presso le amministrazioni, gli enti e gli operatori
economici, i Funzionari o Ufficiali alla sicurezza CIS, i relativi
sostituti ed i designati sono responsabili della corretta
applicazione e del rispetto delle norme poste a tutela delle
informazioni classificate trattate con sistemi e prodotti delle
tecnologie dell'informazione.
2. Ove siano stati costituiti sistemi informatici isolati o
distribuiti il Funzionario o Ufficiale alla sicurezza dell'Organo
centrale o periferico nomina un Amministratore di sistema, su
designazione del Funzionario o Ufficiale alla sicurezza CIS.
L'amministratore di sistema e' inserito nell'organizzazione di
sicurezza e dipende dal Funzionario o Ufficiale alla sicurezza dei
CIS.
3. Il personale di cui ai commi 1 e 2 deve possedere conoscenze
tecniche e capacita' professionali idonee a garantire l'efficace
svolgimento delle relative funzioni.
Art. 62
Analisi del rischio - Regolamento interno
di sicurezza dei CIS
1. Il Funzionario o Ufficiale alla sicurezza CIS effettua l'analisi
del rischio cui i sistemi di propria competenza sono esposti ed a tal
fine adotta un documento nel quale:
a) sono individuate le potenziali minacce alla sicurezza dei CIS;
b) sono indicate le vulnerabilita' del sistema adibito alla
sicurezza;
c) e' descritto il rischio residuo dopo l'implementazione delle
misure di sicurezza identificate;
d) e' individuata l'autorita' operativa responsabile per la
formale "accettazione" del rischio residuo.
2. Sulla base del documento di cui al comma 1, il Funzionario o
Ufficiale alla sicurezza CIS redige il documento di accettazione del
rischio residuo e uno o piu' regolamenti interni di sicurezza, che
sottopone all'autorita' competente per la sottoscrizione nei quali
sono individuate le contromisure di tipo fisico, procedurale,
personale, logico e tecnico da adottare e sono descritte
dettagliatamente le procedure operative cui gli utenti dovranno
attenersi. Nelle disposizioni applicative del presente regolamento
sono individuate le caratteristiche dei documenti di sicurezza.
Art. 63
Approvazione e omologazione dei CIS
1. I CIS utilizzati per la trattazione di informazioni classificate
o coperte da segreto di Stato devono essere approvati ed omologati
dall'UCSe.
2. Previa valutazione della documentazione concernente l'analisi
del rischio, del regolamento interno di sicurezza del CIS, nonche'
della documentazione tecnica relativa alla descrizione
dell'architettura del sistema e degli impianti tecnologici, l'UCSe
approva il progetto del CIS e rilascia un certificato di sicurezza
che abilita alla realizzazione del sistema medesimo.
3. Terminata la fase di realizzazione, al fine di accertare la
rispondenza del sistema realizzato con quanto previsto nella
documentazione di progetto approvata, l'UCSe effettua una verifica di
conformita', al cui esito positivo rilascia un certificato di
omologazione, valido per cinque anni.
4. Nel periodo di validita' del certificato di omologazione
eventuali variazioni al CIS dovranno essere approvate dall'UCSe.
5. La richiesta di rinnovo dell'omologazione di un CIS, corredata
della documentazione che attesta il mantenimento della configurazione
approvata, e' presentata all'UCSe sei mesi prima della relativa
scadenza. In tale caso il certificato di omologazione resta valido
fino al rilascio del nuovo certificato, sempre che non siano state
apportate modifiche alle configurazioni approvate.
6. Per motivate esigenze operative o per modifiche a sistemi ed
installazioni che non possono subire interruzioni funzionali, l'UCSe
rilascia un'autorizzazione provvisoria CIS, della validita' massima
di sei mesi, rinnovabile una sola volta.
7. Il dirigente dell'UCSe puo' delegare, secondo le modalita'
stabilite nelle disposizioni applicative del presente regolamento, le
articolazioni centrali dell'Organizzazione nazionale di sicurezza
all'approvazione dei documenti di sicurezza ed alla verifica di
conformita', relativamente ai CIS realizzati presso le loro
infrastrutture.
8. Le tipologie di CIS, individuate nelle disposizioni applicative
del presente regolamento, da installare per temporanee esigenze
operative di amministrazioni pubbliche per un periodo non superiore a
sei mesi, non sono soggette al rilascio del certificato di
omologazione per la trasmissione di informazioni classificate fino al
livello "SEGRETO".
9. L'installazione dei CIS di cui al comma 8 e' tempestivamente
comunicata all'UCSe e l'attivita' e' posta sotto la responsabilita'
del Funzionario o Ufficiale alla sicurezza CIS competente.
Art. 64
Trattazione delle informazioni classificate
RISERVATO mediante sistemi informatici
1. Per la trattazione delle informazioni classificate RISERVATO
tramite sistemi informatici, gli organi centrali di sicurezza delle
amministrazioni pubbliche inviano all'UCSe una dichiarazione redatta
dal Funzionario o Ufficiale CIS competente, attestante la
disponibilita' di un sistema informatico, non connesso a reti fisse o
mobili, o con le caratteristiche stabilite nelle disposizioni
applicative del presente regolamento.
2. Si osservano le regole di sicurezza di cui all'art. 66, comma 2,
del presente regolamento.
Art. 65
Valutazione di sicurezza informatica
1. Le funzioni di sicurezza del sistema informatico e le funzioni
di sicurezza proprie del sistema operativo, sono sottoposte, ai sensi
e per gli effetti del decreto del Presidente del Consiglio dei
ministri 11 aprile 2002, ad un processo di valutazione e
certificazione nel quale l'UCSe coordina le attivita' dei Centri di
valutazione e svolge le funzioni di Ente di certificazione.
2. Le funzioni di sicurezza dei sistemi operativi installati su
stazioni di lavoro isolate o su reti locali, operanti in modalita'
dedicata e prive di connessioni verso l'esterno, possono non essere
sottoposte al processo di certificazione previsto dal decreto del
Presidente del Consiglio dei ministri 11 aprile 2002 purche' dette
funzioni di sicurezza siano certificate da un Ente di certificazione
qualificato ai sensi dell'accordo internazionale CCRA (Common
Criteria Recognition Arrangement).
3. Nelle disposizioni applicative del presente regolamento sono
previste procedure semplificate che l'ente di certificazione puo'
adottare in presenza di accertate condizioni di sicurezza.
Art. 66
Requisiti di sicurezza dei CIS
1. Il processo di contenimento del rischio ("difesa in
profondita'") e' articolato secondo i seguenti criteri:
a) "deterrenza": e' l'insieme delle misure volte a limitare le
minacce che sfruttino le vulnerabilita' del sistema;
b) "prevenzione": e' l'insieme delle misure volte ad impedire od
ostacolare di attacchi ai danni del CIS;
c) "rilevamento": e' l'insieme delle misure tecniche ed attivita'
volte ad evidenziare un evento accidentale o intenzionale,
potenzialmente dannoso alla sicurezza del sistema;
d) "resilienza": e' l'insieme delle misure volte a limitare
l'impatto di un attacco o di altri eventi accidentali alle risorse
critiche del CIS, sfruttando capacita' di riconfigurazione, evitando
ulteriori danni e consentendo un'operativita' minima residua;
e) "ripristino": e' l'insieme delle misure tecniche ed attivita'
volte a ristabilire le funzioni operative del sistema, secondo
tempistiche prestabilite e garantendo il livello minimo di sicurezza
richiesto dall'analisi del rischio.
2. I CIS destinati alla trattazione di informazioni classificate
devono possedere i requisiti stabiliti nelle disposizioni applicative
del presente regolamento, nonche' i seguenti requisiti minimi di
sicurezza:
a) software antivirus aggiornato;
b) meccanismi di sicurezza previsti dal sistema operativo in
grado di consentire l'identificazione e l'autenticazione dell'utente,
prima di consentirne l'accesso al sistema;
c) sistema di monitoraggio in grado di fornire, ai fini della
tracciabilita', informazioni circa gli accessi e le attivita' svolte
sul sistema CIS da ciascun utente e dall'amministratore di sistema.
3. I CIS destinati alla trattazione di informazioni con classifica
RISERVATISSIMO o superiore devono prevedere predisposizioni idonee
alla protezione dagli effetti derivanti dalle emanazioni
elettromagnetiche (sicurezza TEMPEST).
Art. 67
Sicurezza dell'interconnessione dei CIS
1. Per interconnessione si intende la connessione diretta tra CIS,
ai fini della condivisione dei dati classificati e delle altre
risorse o servizi disponibili. I procedimenti di autorizzazione e di
omologazione delle interconnessioni tra i CIS sono disciplinati dalle
disposizioni applicative del presente regolamento.
2. I CIS che elaborano, memorizzano o trasmettono informazioni
classificate a livello RISERVATO possono, previa autorizzazione da
parte dell'UCSe, utilizzare reti pubbliche, per interconnettersi con
analoghi sistemi con pari livello di classifica. Tale collegamento
deve realizzarsi per mezzo di dispositivi autorizzati ai fini della
protezione di informazioni classificate. Non e' possibile
interconnettere sistemi che gestiscono dati di diversi livelli di
classifica salvo specifica autorizzazione o omologazione del sistema
da parte dell'UCSe.
3. Per la trasmissione di dati con classifica superiore a RISERVATO
tramite connessioni pubbliche su reti di sistemi CIS omologati e'
necessario impiegare soluzioni architetturali e dispositivi cifranti
omologati dall' UCSe.
4. Le informazioni classificate RISERVATO possono essere
memorizzate su personal computer portatili opportunamente protetti
con dispositivi cifranti autorizzati dall'UCSe.
Art. 68
Sicurezza cibernetica dei CIS
1. Le organizzazioni di sicurezza che impiegano CIS classificati
adottano misure in materia di sicurezza cibernetica in conformita' al
Quadro strategico nazionale di cui al decreto del Presidente del
Consiglio dei ministri 24 gennaio 2013, recante indirizzi per la
protezione cibernetica e la sicurezza informatica nazionale.
2. L'UCSe svolge compiti di supervisione, coordinamento e controllo
della gestione degli eventi di sicurezza, violazioni e compromissioni
alle informazioni ed ai sistemi classificati, derivanti da attacchi
cibernetici ai CIS classificati.
Capo VIII
SICUREZZA FISICA
Art. 69
Generalita'
1. Al fine di evitare che persone non autorizzate abbiano accesso
alle informazioni classificate ovvero coperte da segreto di Stato, i
locali, le aree, gli edifici, gli uffici, i centri COMSEC, i CIS, in
cui sono trattati informazioni classificate, sono protetti mediante
specifiche misure di sicurezza fisica stabilite nelle disposizioni di
cui al presente Capo.
Art. 70
Funzionario o Ufficiale alla sicurezza fisica
1. Nell'ambito degli Organi centrali e delle Organizzazioni di
sicurezza istituiti presso ogni Ministero, struttura governativa,
Forza armata, ente, o operatore economico il Funzionario o Ufficiale
alla sicurezza fisica supporta il Funzionario o Ufficiale alla
sicurezza nella predisposizione delle misure di sicurezza fisica
idonee ad assicurare il grado di protezione necessario per ciascuna
esigenza.
2. I requisiti di sicurezza delle misure di protezione sono
definiti dal Funzionario o Ufficiale alla sicurezza fisica sulla base
di una preliminare analisi del rischio che tenga conto, in
particolare, dei seguenti fattori:
a) vulnerabilita' delle aree e dei locali in cui sono trattate
informazioni classificate in relazione alle minacce ipotizzabili;
b) livello di classificazione delle informazioni da proteggere;
c) quantita' e tipologia dei supporti contenenti le informazioni
classificate trattate.
Art. 71
Aree riservate
1. Le aree dove vengono trattate informazioni classificate a
livello RISERVATISSIMO e superiore sono organizzate e strutturate in
modo da corrispondere ad una delle seguenti tipologie:
a) "aree riservate di I classe": quelle in cui l'ingresso
consente di poter accedere direttamente alle informazioni;
b) "aree riservate di II classe": quelle che vengono protette,
mediante controlli predisposti anche internamente ed in cui le
informazioni classificate sono conservate in contenitori di
sicurezza.
Art. 72
Aree controllate
1. In prossimita' delle aree riservate di I e II classe, o per
accedere ad esse, puo' essere predisposta un'area controllata in cui
possono essere trattate solo informazioni classificate a livello non
superiore a RISERVATO. Analoghe Aree controllate possono essere
comunque create presso ogni Ministero, struttura governativa, Forza
armata, ente, o operatore economico, anche in assenza di aree
riservate di I e II classe, sotto la responsabilita'
dell'organizzazione di sicurezza competente, per la sola custodia e
trattazione di informazioni classificate a livello non superiore a
RISERVATO.
2. Le aree di cui al comma 1 sono caratterizzate da un perimetro
chiaramente delimitato e dotate di misure di protezione minime tali
da consentirne l'accesso alle sole persone autorizzate per motivi
attinenti al loro impiego, incarico o professione.
Art. 73
Misure minime di protezione
1. Le aree riservate di I e II classe devono essere protette con
idonei sistemi di allarme e dispositivi elettronici per il
rilevamento delle intrusioni.
2. I sistemi e dispositivi elettronici di cui al comma 1 devono
essere dotati di misure antimanomissione ed antisabotaggio e di
alimentazione elettrica sussidiaria.
3. L'ingresso nelle aree riservate di I e II classe e' controllato
mediante un sistema di "passi" o di riconoscimento individuale per il
personale dipendente dell'ente o operatore economico.
4. I sistemi di riconoscimento individuale, anche di tipo
elettronico, utilizzati per l'accesso alle aree riservate e
controllate devono essere gestiti dall'organizzazione di sicurezza
dell'ente o operatore economico.
5. Personale di vigilanza espressamente preposto effettua il
controllo delle aree riservate di I e II classe durante e al di fuori
del normale orario di lavoro, al fine di prevenire rischi di
manomissioni, danni o perdite di informazioni classificate.
6. In relazione a quanto previsto dall'art. 6 del decreto del
Presidente del Consiglio dei ministri 12 giugno 2009, n. 7, nel caso
in cui personale dipendente o comunque incaricato dagli operatori
economici che hanno rapporti contrattuali con il DIS, l'AISE o
l'AISI, debba accedere occasionalmente nelle sedi e' accompagnato da
personale degli organismi incaricato di esercitare la vigilanza,
previo accertamento dell'assenza di controindicazioni sulla base di
informazioni in atti ovvero acquisite ai sensi dell'art. 8 della
legge 1° aprile 1981, n. 121.
Art. 74
Contenitori di sicurezza camere blindate -
attrezzatura di sicurezza
1. Per la custodia di informazioni e materiali classificati devono
essere utilizzati contenitori di sicurezza con caratteristiche
tecniche conformi alle disposizioni applicative del presente
regolamento.
2. Per le camere blindate costruite all'interno di un'area
riservata di I o di II classe e per tutte le aree riservate di I
classe nel caso di soggetti pubblici e' necessario acquisire
l'approvazione del progetto da parte dell'Organo centrale di
sicurezza. Per gli operatori economici il progetto della camera
blindata e' approvato dall'UCSe.
3. Le caratteristiche delle attrezzature di sicurezza per la
protezione delle informazioni classificate rispondono a criteri
individuati nelle disposizioni applicative del presente decreto.
Art. 75
Protezione contro la visione o l'ascolto
non autorizzati di informazioni sensibili
1. Gli ambienti ove vengono trattate informazioni classificate a
livello RISERVATISSIMO e superiore ovvero comunque attinenti alla
sicurezza e agli interessi nazionali sono sottoposti a periodiche
verifiche ambientali atte ad impedire ogni visione o ascolto
clandestino. Tali verifiche sono disposte dall'UCSe sulla base di
intese con gli Organi Centrali di sicurezza.
2. Le verifiche di cui al comma 1 sono, altresi', disposte qualora
il Funzionario o Ufficiale alla sicurezza competente ritenga, sulla
base di motivate valutazioni, che sussista un rischio di
compromissione di informazioni classificate.
3. Le verifiche di cui ai commi 1 e 2 sono effettuate
esclusivamente da personale abilitato.
4. L'esigenza di verifiche ambientali e' comunicata all'UCSe, che
puo' procedere anche con delega.
Capo IX
TUTELA AMMINISTRATIVA DELLE INFORMAZIONI COPERTE DA SEGRETO DI STATO E DEGLI ATTI RELATIVI AL SEGRETO DI STATO
Art. 76
Annotazione
1. In attuazione di quanto previsto dall'art. 39, comma 4, della
legge, il vincolo derivante dal segreto di Stato e', ove possibile,
annotato mediante l'apposizione della dicitura, ben visibile:
«SEGRETO DI STATO - Provv. N. ... del ...», completa del numero di
protocollo e della data del relativo provvedimento, lasciando
invariata e leggibile la classifica di segretezza eventualmente
esistente.
2. Quando viene a cessare il vincolo derivante dal segreto di Stato
la dicitura di cui al comma 1 e' barrata con un tratto di colore
rosso e, nel medesimo colore rosso, e' apportata l'annotazione degli
estremi del relativo provvedimento. Quest'ultimo e' conservato, in
originale o copia conforme, agli atti dell'amministrazione
procedente.
Art. 77
Modalita' di trattazione e di conservazione
delle informazioni coperte da segreto di Stato
1. In relazione a quanto disposto dall'art. 39, comma 2, della
legge, i vertici delle amministrazioni originatrici ovvero detentrici
e, per il DIS, l'AISE e l'AISI i rispettivi direttori, pongono le
informazioni coperte da segreto di Stato a conoscenza esclusivamente
dei soggetti e delle autorita' chiamati a svolgere, rispetto ad essi,
funzioni essenziali, nei limiti e nelle parti indispensabili per
l'assolvimento dei rispettivi compiti ed il raggiungimento dei fini
rispettivamente fissati.
2. In relazione a quanto disposto dall'art. 7 del decreto del
Presidente del Consiglio dei ministri 8 aprile 2008, le informazioni
coperte da segreto di Stato sono conservate nell'esclusiva
disponibilita' dei vertici delle amministrazioni originatrici ovvero
detentrici e, per quanto concerne il DIS, l'AISE e l'AISI, dei
rispettivi direttori.
3. Per la protezione e la tutela delle informazioni coperte da
segreto di Stato si applicano, in quanto compatibili, le misure di
sicurezza complessive previste a protezione e tutela delle
informazioni classificate SEGRETISSIMO.
4. Per assicurare il monitoraggio della situazione relativa ai
segreti di Stato le amministrazioni che detengono informazioni
coperte da segreto di Stato comunicano annualmente all'"Ufficio
Inventario" di cui all'art. 7, comma 2, lettera a) per la parifica,
gli estremi identificativi dei documenti in loro possesso, annotati
con numero progressivo in apposito registro. A tal fine, entro
centottanta giorni dall'entrata in vigore del presente regolamento,
le amministrazioni provvedono all'istituzione del predetto registro,
trasmettendone copia conforme all'"Ufficio Inventario".
5. L'elenco aggiornato dei segreti di Stato e' comunicato al
Comitato parlamentare per la sicurezza della Repubblica nell'ambito
della relazione semestrale di cui all'art. 33, comma 1, della legge.
Art. 78
Atti riguardanti il segreto di Stato
1. L'UCSe, competente agli adempimenti istruttori relativi
all'esercizio delle funzioni del Presidente del Consiglio dei
Ministri quale Autorita' nazionale per la sicurezza a tutela del
segreto di Stato ai sensi dell'art. 9, comma 2, lett. a), della
legge, conserva in un apposito archivio istituito ai sensi del
decreto del Presidente del Consiglio dei ministri n. 2 del 12 giugno
2009 e con modalita' atte ad impedirne la manipolazione, la
sottrazione o la distruzione, gli atti concernenti:
a) le istruttorie per l'apposizione o la conferma
dell'opposizione, definite o in corso, indipendentemente dal loro
esito;
b) le istanze di accesso ai sensi dell'art. 39, comma 7, della
legge;
c) i registri inventario di cui all'art. 77, comma 4.
Capo X
ACCESSO AGLI ATTI E OBBLIGO
DI NON DIVULGAZIONE
Art. 79
Accesso agli atti relativi
alle abilitazioni di sicurezza
1. Il diritto di accesso agli atti relativi ai procedimenti di
rilascio, proroga, diniego, sospensione limitazione o revoca delle
abilitazioni di sicurezza e' escluso nei casi previsti dalla legge 7
agosto 1990, n. 241, e successive modifiche e integrazioni, nei casi
di sottrazione all'accesso previsti dai regolamenti vigenti in
materia e comunque ove sussistano motivi di tutela della riservatezza
del modus operandi o degli interna corporis degli organismi di
informazione per la sicurezza o di protezione delle fonti o di difesa
della sicurezza nazionale o qualora si tratti di notizie acquisite
dall'Autorita' Giudiziaria o dalle Forze di polizia nell'ambito di
attivita' di indagine.
Art. 80
Obbligo di non divulgazione
1. Agli appartenenti ai Servizi di informazione per la sicurezza ed
alle Forze di polizia e' fatto obbligo di non divulgare informazioni
che abbiano formato oggetto di scambio informativo ai sensi dell'art.
4, comma 3, lett. e), della legge, attinenti agli assetti
organizzativi, alle modalita' operative degli stessi Servizi e
all'identita' dei loro appartenenti.
Capo XI
DISPOSIZIONI FINALI
Art. 81
Misure di efficienza
1. Entro centottanta giorni dalla data di entrata in vigore del
presente regolamento sono adottati sistemi di comunicazione
telematica fra il DIS e le Agenzie per lo scambio delle informazioni
relative alle abilitazioni.
2. Il DIS promuove la realizzazione di reti telematiche sicure per
lo scambio di informazioni con il Ministero dell'Interno, l'Arma dei
Carabinieri, la Guardia di Finanza e le altre amministrazioni
interessate al fine della piu' efficiente comunicazione delle
informazioni nell'ambito delle procedure finalizzate al rilascio
delle abilitazioni.
3. Nell'ambito delle iniziative di diffusione della cultura della
sicurezza, il DIS promuove, anche attraverso il sito web del
comparto, la conoscenza delle misure e procedure di tutela delle
informazioni oggetto di disciplina del presente regolamento,
sviluppando modalita' interattive per i rapporti con le
amministrazioni e le imprese in materia di abilitazioni di sicurezza
industriale.
Art. 82
Disposizioni transitorie
1. L'efficacia dei NOS fino a SEGRETO e quella delle relative
qualifiche, la cui validita' sia scaduta alla data di entrata in
vigore del presente regolamento, per i quali siano pervenute le
richieste di rinnovo fino a dodici mesi prima della medesima data e
non siano state completate le procedure di rinnovo, e' prorogata al
31 dicembre del sesto anno successivo alla scadenza.
2. Per il rilascio dei NOS fino a livello SEGRETISSIMO, la cui
istruttoria non sia stata completata alla data di entrata in vigore
del presente regolamento, si applicano le disposizioni di cui ai
commi 6, 7 e 8 dell'art. 27.
3. I certificati dei NOS e delle AT rilasciati prima dell'entrata
in vigore del presente regolamento sono declassificati e sono
custoditi dall'Autorita' che li ha originati. Ove al rilascio abbia
provveduto l'UCSe, gli stessi certificati vengono conservati secondo
le vigenti disposizioni, dal soggetto pubblico o privato che ne ha
fatto istanza, anche per il personale che non ha piu' necessita' di
accedere alle informazioni classificate.
4. Le omologazioni EAD e COMSEC in corso di validita' alla data di
entrata in vigore del decreto del Presidente del Consiglio dei
ministri 22 luglio 2011 sono prorogate fino al rinnovo qualora non
siano emerse variazioni alla configurazione o controindicazioni ai
fini della sicurezza.
5. Fino all'emanazione delle nuove disposizioni tecniche e di
dettaglio finalizzate ad adeguare la disciplina applicativa ai
principi di cui al presente regolamento ed agli accordi
internazionali di settore, continuano a trovare applicazione, per
quanto non in contrasto con la legge e con le norme contenute nel
presente decreto, le direttive emanate dall'Autorita' nazionale per
la sicurezza ai sensi e per gli effetti dell'art. 50, comma 1, del
decreto del Presidente del Consiglio dei ministri 3 febbraio 2006,
recante «Norme unificate per la protezione e la tutela delle
informazioni classificate», pubblicato nella Gazzetta Ufficiale -
Serie generale, n. 46 del 24 febbraio 2006.
Art. 83
Abrogazioni
1. Dalla data di entrata in vigore del presente regolamento e'
abrogato il decreto del Presidente del Consiglio dei ministri 22
luglio 2011, n. 4, ad eccezione dell'art. 76 e dell'art. 77.
2. In tutte le disposizioni vigenti, l'espressione "Organo
principale di sicurezza" si intende riferita alla Segreteria
principale di sicurezza.
Art. 84
Disposizioni finali ed entrata in vigore
1. L'attuazione del presente regolamento non comporta nuovi o
maggiori oneri a carico della finanza pubblica.
2. Il presente regolamento non e' sottoposto al visto ed alla
registrazione della Corte dei conti in quanto adottato ai sensi
dell'art. 43 della legge, in deroga alle disposizioni dell'art. 17
della legge 23 agosto 1988, n. 400.
3. Il presente regolamento entra in vigore il quindicesimo giorno
successivo a quello della sua pubblicazione nella Gazzetta Ufficiale
della Repubblica italiana.
Roma, 6 novembre 2015
Il Presidente: Renzi