FAST FIND : NN16603

D. Leg.vo 18/05/2018, n. 65

Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione.
Scarica il pdf completo
4754346 7676997
[Premessa]

IL PRESIDENTE DELLA REPUBBLICA

 

Visti gli articoli 76 e 87, quinto comma, della Costituzione;

Vista la legge 24 dicembre 2012, n. 234, recante norme generali sulla partecipazione dell’Italia alla formazione e all’attuazione della normativa e delle politiche dell’Unione europea;

Vista la legge 25 ottobre 2017, n. 163, recante delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea - Legge di delegazione europea 2016-2017;

Vista la direttiva (UE) 1148/2016 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione;

Visto il regolamento (CE) 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 7676998
Capo I - DISPOSIZIONI GENERALI
IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 7676999
Art. 1. - Oggetto e ambito di applicazione

1. Il presente decreto stabilisce misure volte a conseguire un livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea.

2. Ai fini del comma 1, il presente decreto prevede:

a) l’inclusione nella strategia nazionale di cybersicurezza di previsioni in materia di sicurezza delle reti e dei sistemi informativi rientranti nell’ambito di applicazione del presente decreto; N6

b) la designazione dell’autorità nazionale competente NIS, delle autorit

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 7677000
Art. 2. - Trattamento dei dati personali

1. Il trattamento dei dati personali in applicazione del presente decreto è effettuato ai sensi del

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 7677001
Art. 3. - Definizioni

N21

1. Ai fini del presente decreto si intende per:

a) autorità nazionale competente NIS, l’autorità nazionale unica, competente in materia di sicurezza delle reti e dei sistemi informativi, di cui all’articolo 7, comma 1; N6

a-bis) autorità di settore, le autorità di cui all’articolo 7, comma 1, lettere da a) a e); N7

b) CSIRT, gruppo di intervento per la sicurezza informatica in caso di incidente, di cui all’articolo 8;

c) punto di contatto unico, l’organo incaricato a livello nazionale di coordinare le questioni relative alla sicurezza delle reti e dei sistemi informativi e la cooperazione transfrontaliera a livello di Unione europea;

d) autorità di contrasto, l’organo centrale del Ministero dell’interno per la sicurezza e per la regolarità dei servizi di telecomunicazione, di cui all’

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 7677002
Art. 4. - Identificazione degli operatori di servizi essenziali

1. Entro il 9 novembre 2018, con propri provvedimenti, le autorità competenti NIS identificano per ciascun settore e sottosettore di cui all’allegato II, gli operatori di servizi essenziali con una sede nel territorio nazionale. Gli operatori che prestano attività di assistenza sanitaria sono individuati con decreto del Ministro della salute, di intesa con la Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e di Bolzano. Gli operatori che forniscono e distribuiscono acque destinate al consumo umano sono individuati con decreto del Ministro dell’ambiente e della tutela del territorio e del mare, di intesa con la Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e di Bolzano.

2. I criteri per l’identificazione degli operatori di servizi essenziali sono i seguenti:

a) un soggetto fornisce un servizio che è essenziale per il mantenimento

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 7677003
Art. 5. - Effetti negativi rilevanti

1. Ai fini della determinazione della rilevanza degli effetti negativi di cui all’articolo 4, comma 2, lettera c), l’autorità nazionale competente NIS e le autorità di settore considerano i seguenti fattori intersettoriali:

a)

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 7677004
Capo II - CONTESTO STRATEGICO E ISTITUZIONALE
IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 7677005
Art. 6. - Strategia nazionale di cybersicurezza

N9

1. Il Presidente del Consiglio dei ministri adotta, sentito il Comitato interministeriale per la cybersicurezza (CIC), la strategia nazionale di cybersicurezza per la tutela della sicurezza delle reti e dei sistemi di interesse nazionale. N19

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 7677006
Art. 7 - Autorità nazionale competente e punto di contatto unico

N11

1. L’Agenzia per la cybersicurezza nazionale è designata quale autorità nazionale competente NIS per i settori e sottosettori di cui all’allegato II e per i servizi di cui all’allegato III. Sono designate quali autorità di settore:

a) il Ministero dello sviluppo economico, per il settore infrastrutture digitali, sottosettori IXP, DNS, TLD, nonché per i servizi digitali;

b) il Ministero delle infrastrutture e della mobilità sostenibili, per il settore trasporti, sottosettori aereo, ferroviario, per vie d’acqua

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 7677007
Art. 8. - Gruppi di intervento per la sicurezza informatica in caso di incidente - CSIRT

1. È istituito, presso l’Agenzia per la cybersicurezza nazionale, il CSIRT italiano, che svolge i compiti e le funzioni del Computer Emergency Response Team (CERT) nazionale, di cui all’articolo 16-bis del decreto legislativo 1° agosto 2003, n. 259, e del CERT-PA, già operante presso l’Agenzia per l’Italia digitale ai sensi dell’articolo 51 del decreto legislativo 7 marzo 2005, n. 82.

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 7677008
Art. 9. - Cooperazione a livello nazionale

1. Le autorità di settore collaborano con l’autorità nazionale competente NIS per l’adempimento degli obblighi di cui al presente decreto. A tal fine è istituito presso l’Agenzia per la cybersicurezza nazionale un Comitato tecnico di raccordo. Il Comitato è presieduto dall’autorità nazionale competente NIS ed è composto dai rappresentanti delle amministr

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 7677009
Capo III - COOPERAZIONE
IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 7677010
Art. 10. - Gruppo di cooperazione

1. Il punto di contatto unico partecipa alle attività del gruppo di cooperazione composto da rappresentanti degli Stati membri, della Commissione europea e dell’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA) e, in particolare, contribuisce a:

a) condividere buone pratiche sullo scambio di informazioni relative alla notifica di incidenti di cui all’articolo 12 e all’articolo 14;

b) scambiare migliori pratiche con gli Stati membri e, in collaborazione con l’ENISA, fornire supporto per la creazione di capacità in materia di sicurezza delle reti e dei sistemi informativi;

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 7677011
Art. 11. - Rete di CSIRT

1. Il CSIRT italiano partecipa alla rete di CSIRT, composta da rappresentanti dei CSIRT degli Stati membri e del CERT-UE.

2. Il CSIRT italiano, ai fini del comma 1, provvede a:

a) scambiare informazioni sui servizi, sulle operazioni e sulle capacità di cooperazione dei CSIRT;

b) su richiesta del rappresentante di un CSIRT di uno Stato membro potenzialmente interessato da un

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 7677012
Capo IV - SICUREZZA DELLA RETE E DEI SISTEMI INFORMATIVI DEGLI OPERATORI DI SERVIZI ESSENZIALI
IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 7677013
Art. 12. - Obblighi in materia di sicurezza e notifica degli incidenti

1. Gli operatori di servizi essenziali adottano misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi che utilizzano nelle loro operazioni. Tenuto conto delle conoscenze più aggiornate in materia, dette misure assicurano un livello di sicurezza della rete e dei sistemi informativi adeguato al rischio esistente.

2. Gli operatori di servizi essenziali adottano misure adeguate per prevenire e minimizzare l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura dei servizi essenziali, al fine di assicurare la continuità di tali servizi.

3. Nell’adozione delle misure di cui ai commi 1 e 2, gli operatori di servizi essenziali tengono conto delle linee guida predisposte dal gruppo di cooperazione di cui all’articolo 10, nonché delle linee guida di cui al comma 7.

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 7677014
Art. 13. - Attuazione e controllo

1. Le autorità competenti NIS valutano il rispetto da parte degli operatori di servizi essenziali degli obblighi previsti dall’articolo 12, nonché i relativi effetti sulla sicurezza della rete e dei sistemi informativi.

2. Ai fini del comma 1, gli operatori di servizi essenziali son

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 7677015
Capo V - SICUREZZA DELLA RETE E DEI SISTEMI INFORMATIVI DEI FORNITORI DI SERVIZI DIGITALI
IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 7677016
Art. 14. - Obblighi in materia di sicurezza e notifica degli incidenti

1. I fornitori di servizi digitali identificano e adottano misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi relativi alla sicurezza della rete e dei sistemi informativi che utilizzano nel contesto dell’offerta di servizi di cui all’allegato III all’interno dell’Unione europea.

2. Tenuto conto delle conoscenze più aggiornate in materia, tali misure assicurano un livello di sicurezza della rete e dei sistemi informativi adeguato al rischio esistente e tengono conto dei seguenti elementi:

a) la sicurezza dei sistemi e degli impianti;

b) trattamento degli incidenti;

c) gestione della continuità operativa;

d) monitoraggio, audit e test;

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 7677017
Art. 15. - Attuazione e controllo

1. Nel caso in cui sia dimostrato il mancato rispetto degli obblighi di cui all’articolo 14 da parte dei fornitori di servizi digitali, l’autorità competente NIS può adottare misure di vigilanza ex post adeguate alla natura dei servizi e delle operazioni. La dimostrazione del mancato rispetto degli

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 7677018
Art. 16. - Giurisdizione e territorialità

1. Ai fini del presente decreto, un fornitore di servizi digitali è considerato soggetto alla giurisdizione dello Stato membro in cui ha lo stabilimento principale. Un fornitore di servizi digitali è

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 7677019
Capo VI - NORMAZIONE E NOTIFICA VOLONTARIA
IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 7677020
Art. 17. - Normazione

1. Ai fini dell’attuazione armonizzata dell’articolo 12, commi 1 e 2, e dell’articolo 14, commi 1, 2 e 3, le autorità competenti NIS promuovono

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 7677021
Art. 18. - Notifica volontaria

1. I soggetti che non sono stati identificati come operatori di servizi essenziali e non sono fornitori di servizi digitali possono notificare, su base volontaria, gli inc

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 7677022
Capo VII - DISPOSIZIONI FINALI
IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 7677023
Art. 19. - Poteri ispettivi

1. L’attività di ispezione e verifica necessarie per le misure previste dagli articoli 12, 13, 14 e 15, fatte salve le attribuzioni e le competenze

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 7677024
Art. 20. - Autorità competente e regime dell’accertamento e dell’irrogazione delle sanzioni amministrative

1. L’autorità nazionale competente NIS è competente per l’accertamento delle violazioni e per l’irrogazione delle sanzioni amministrative previ

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 7677025
Art. 21. - Sanzioni amministrative

1. Salvo che il fatto costituisca reato, l’operatore di servizi essenziali che non adotta le misure tecniche e organizzative adeguate e proporzionate per la gestione del rischio per la sicurezza della rete e dei sistemi informativi, ai sensi dell’articolo 12, comma 1, è soggetto ad una sanzione amministrativa pecuniaria da 12.000 euro a 120.000 euro. La sanzione è ridotta di un terzo se lo stesso fatto è commesso da un fornitore di servizio digitale, in violazione degli obblighi di cui all’articolo 14, comma 1.

2. Salvo che il fatto costituisca reato, l’operatore di servizi essenziali che non adotta le misure ade

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 7677026
Art. 22. - Disposizioni finanziarie

1. Agli oneri derivanti dagli articoli 7 e 8, pari a 5.300.000 euro per l’anno 2018 e 3.300.000 euro annui a decorrere dall’anno 2019, si provvede mediante corrispondente riduzione del Fondo per il recepimento della normativa europea di cui all’

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 7677027
ALLEGATO I - (di cui all’art. 8) - REQUISITI E COMPITI DEI GRUPPI DI INTERVENTO PER LA SICUREZZA INFORMATICA IN CASO DI INCIDENTE (CSIRT)

I requisiti e i compiti del CSIRT sono adeguatamente e chiaramente definiti ai sensi del presente decreto e del decreto del Presidente del Consiglio dei ministri di cui all’art. 8, comma 2. Essi includono quanto segue:

1. Requisiti per il CSIRT

a) Il CSIRT garantisce un alto livello di disponibilità dei propri servizi di comunicazione, evitando singoli punti di guasto, e dispone di vari mezzi che permettono allo stesso di essere contattato e di contattare altri in qualsiasi momento. Inoltre, i canali di comunicazione sono chiaramente specificati e ben noti alla loro base di utenti e ai partner con cui collaborano.

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 7677028
ALLEGATO II (di cui art. 3, comma 1, lettera g) - OPERATORI DI SERVIZI ESSENZIALI

Parte di provvedimento in formato grafico

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 7677029
ALLEGATO III (di cui all’art. 3, comma 1, lettera h) - TIPI DI SERVIZI DIGITALI

1. Mercato online

2. Motore di ricerca online

3. Servizi di cloud computin

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.

Dalla redazione

  • Professioni
  • Finanza pubblica
  • Informatica
  • Imprese
  • Provvidenze

Lazio: 5 milioni per l’innovazione digitale delle imprese

A cura di:
  • Anna Petricca
  • Finanza pubblica
  • Informatica
  • Impresa, mercato e concorrenza
  • Provvidenze
  • Imprese

Lazio: 5 milioni per la digitalizzazione delle imprese

A cura di:
  • Anna Petricca
  • Finanza pubblica
  • Calamità
  • Provvidenze
  • Imprese
  • Professioni
  • Informatica

Umbria: Bridge to Digital 2020

A cura di:
  • Anna Petricca
  • Provvidenze
  • Informatica
  • Professioni
  • Finanza pubblica

Emilia Romagna: sostegno all’innovazione tecnologica delle attività professionali

Incrementate le risorse finanziarie e riaperti i termini per la presentazione delle domande per accedere ai contributi a fondo perduto per promuovere l’innovazione per l’ampliamento e il potenziamento dei servizi offerti per la crescita delle attività libero professionali, a supporto dei processi produttivi e dell’economia regionale. Sono ammesse spese per: acquisto di attrezzature e infrastrutture digitali, acquisizione di brevetti, licenze software, consulenze specializzate per la gestione delle applicazioni Ict e studi di fattibilità. Ammesse anche spese accessorie di carattere edilizio strettamente connesse alla installazione e posa in opera dei beni strumentali, nel limite massimo di 5.000 euro.
A cura di:
  • Anna Petricca
  • Provvidenze
  • Professioni
  • Finanza pubblica
  • Informatica

Emilia Romagna: contributi ai professionisti per l’innovazione digitale

I liberi professionisti dell'Emilia Romagna hanno l'opportunità di beneficiare del sostegno regionale per aumentare la propria competitività attraverso una maggiore digitalizzazione dei loro servizi. Gli interventi sostenuti dal bando riguardano l'innovazione tecnologica, il riposizionamento strategico sul mercato e nel caso di forme aggregate la promozione di azioni di marketing e di internazionalizzazione. Possono partecipare al bando sia i liberi professionisti iscritti a Ordini o Collegi professionali, sia quelli non iscritti ad alcun Ordine, titolari di partita Iva, in forma singola o associata.
A cura di:
  • Anna Petricca
  • Norme tecniche
  • Macchine e prodotti industriali
  • Efficienza e risparmio energetico
  • Energia e risparmio energetico

Ecodesign apparecchi di refrigerazione

  • Inquinamento atmosferico
  • Ambiente, paesaggio e beni culturali

Specifiche tecniche uniformi per i veicoli a motore

  • Energia e risparmio energetico
  • Efficienza e risparmio energetico

Impianti di riscaldamento e condizionamento - Sistemi di automazione e controllo

  • Efficienza e risparmio energetico
  • Energia e risparmio energetico

Punti di ricarica edifici non residenziali