FAST FIND : NN16603

D. Leg.vo 18/05/2018, n. 65

Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione.
Testo coordinato con le modifiche introdotte da:
- D.L. 21/09/2019, n. 105 (L. 18/11/2019, n. 133)
Scarica il pdf completo
4754346 5926596
[Premessa]

IL PRESIDENTE DELLA REPUBBLICA


Visti gli articoli 76 e 87, quinto comma, della Costituzione;

Vista la legge 24 dicembre 2012, n. 234, recante norme generali sulla partecipazione dell’Italia alla formazione e all’attuazione della normativa e delle politiche dell’Unione europea;

Vista la legge 25 ottobre 2017, n. 163, recante delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea - Legge di delegazione europea 2016-2017;

Vista la direttiva (UE) 1148/2016 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione;

Visto il regolamento (CE) 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 5926597
Capo I - DISPOSIZIONI GENERALI
IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 5926598
Art. 1. - Oggetto e ambito di applicazione

1. Il presente decreto stabilisce misure volte a conseguire un livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea.

2. Ai fini del comma 1, il presente decreto prevede:

a) l’inclusione nella strategia nazionale di sicurezza cibernetica di previsioni in materia di sicurezza delle reti e dei sistemi informativi rientranti nell’ambito di applicazione del presente decreto;

b) la designazione delle autorità nazionali competenti e del punto di contatto unico, nonché del Gruppo di intervento per la sicur

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 5926599
Art. 2. - Trattamento dei dati personali

1. Il trattamento dei dati personali in applicazione del presente decreto è effettuato ai sensi del

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 5926600
Art. 3. - Definizioni

1. Ai fini del presente decreto si intende per:

a) autorità competente NIS, l’autorità competente per settore, in materia di sicurezza delle reti e dei sistemi informativi, di cui all’articolo 7, comma 1;

b) CSIRT, gruppo di intervento per la sicurezza informatica in caso di incidente, di cui all’articolo 8;

c) punto di contatto unico, l’organo incaricato a livello nazionale di coordinare le questioni relative alla sicurezza delle reti e dei sistemi informativi e la cooperazione transfrontaliera a livello di Unione europea;

d) autorità di contrasto, l’organo centrale del Ministero dell’interno per la sicurezza e per la regolarità dei servizi di telecomunicazione, di cui all’articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n.155;

e) rete e sistema informativ

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 5926601
Art. 4. - Identificazione degli operatori di servizi essenziali

1. Entro il 9 novembre 2018, con propri provvedimenti, le autorità competenti NIS identificano per ciascun settore e sottosettore di cui all’allegato II, gli operatori di servizi essenziali con una sede nel territorio nazionale. Gli operatori che prestano attività di assistenza sanitaria sono individuati con decreto del Ministro della salute, di intesa con la Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e di Bolzano. Gli operatori che forniscono e distribuiscono acque destinate al consumo umano sono individuati con decreto del Ministro dell’ambiente e della tutela del territorio e del mare, di intesa con la Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e di Bolzano.

2. I criteri per l’identificazione degli operatori di servizi essenziali sono i seguenti:

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 5926602
Art. 5. - Effetti negativi rilevanti

1. Ai fini della determinazione della rilevanza degli effetti negativi di cui all’articolo 4, comma 2, lettera c), le autorità competenti NIS considerano i seguenti fattori intersettoriali:

a

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 5926603
Capo II - CONTESTO STRATEGICO E ISTITUZIONALE
IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 5926604
Art. 6. - Strategia nazionale di sicurezza cibernetica

1. Il Presidente del Consiglio dei ministri adotta, sentito il Comitato interministeriale per la sicurezza della Repubblica (CISR), la strategia nazionale di sicurezza cibernetica per la tutela della sicurezza delle reti e dei sistemi di interesse nazionale.

2. Nell’ambito della strategia nazionale di sicurezza cibernetica, sono in particolare indicati, per la s

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 5926605
Art. 7. - Autorità nazionali competenti e punto di contatto unico

1. Sono designate quali Autorità competenti NIS per i settori e sottosettori di cui all’allegato II e per i servizi di cui all’allegato III:

a) il Ministero dello sviluppo economico per il settore energia, sottosettori energia elettrica, gas e petrolio e per il settore infrastrutture digitali, sottosettori IXP, DNS, TLD, nonché per i servizi digitali;

b) il Ministero delle infrastrutture e dei trasporti per il settore trasporti, sottosettori aereo, ferroviario, per vie d’acqua e su strada;

c) il Ministero dell’economia e delle finanze per il settore ba

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 5926606
Art. 8. - Gruppi di intervento per la sicurezza informatica in caso di incidente - CSIRT

1. È istituito, presso la Presidenza del Consiglio dei ministri, il CSIRT italiano, che svolge i compiti e le funzioni del Computer Emergency Response Team (CERT) nazionale, di cui all’articolo 16-bis del decreto legislativo 1° agosto 2003, n. 259, e del CERT-PA, già operante presso l’Agenzia per l’Italia digitale ai sensi dell’articolo 51 del decreto legislativo 7 marzo 2005, n. 82.

2. L’organizzazione e il funzionamento del CSIRT italiano sono disciplinati con decreto del Presidente del Consiglio dei ministri ai sensi dell’articolo 7 del decreto legislativo 30 lugli

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 5926607
Art. 9. - Cooperazione a livello nazionale

1. Le autorità competenti NIS, il punto di contatto unico e il CSIRT italiano collaborano per l’adempimento degli obblighi di cui al presente decreto. A tal fine è istituito, presso la Presidenza del Consiglio dei ministri, un Comitato tecnico di raccordo, composto da rappresentanti delle amministrazioni statali competenti ai sensi dell’articolo 7,

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 5926608
Capo III - COOPERAZIONE
IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 5926609
Art. 10. - Gruppo di cooperazione

1. Il punto di contatto unico partecipa alle attività del gruppo di cooperazione composto da rappresentanti degli Stati membri, della Commissione europea e dell’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA) e, in particolare, contribuisce a:

a) condividere buone pratiche sullo scambio di informazioni relative alla notifica di incidenti di cui all’articolo 12 e all’articolo 14;

b) scambiare migliori pratiche con gli Stati membri e, in collaborazione con l’ENISA, fornire supporto per la creazione di capacità in materia di sicurezza delle reti e dei sistemi in

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 5926610
Art. 11. - Rete di CSIRT

1. Il CSIRT italiano partecipa alla rete di CSIRT, composta da rappresentanti dei CSIRT degli Stati membri e del CERT-UE.

2. Il CSIRT italiano, ai fini del comma 1, provvede a:

a) scambiare informazioni sui servizi, sulle operazioni e sulle capacità di cooperazione dei CSIRT;

b) su richiesta del rappresentante di un CSIRT di uno St

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 5926611
Capo IV - SICUREZZA DELLA RETE E DEI SISTEMI INFORMATIVI DEGLI OPERATORI DI SERVIZI ESSENZIALI
IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 5926612
Art. 12. - Obblighi in materia di sicurezza e notifica degli incidenti

1. Gli operatori di servizi essenziali adottano misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi che utilizzano nelle loro operazioni. Tenuto conto delle conoscenze più aggiornate in materia, dette misure assicurano un livello di sicurezza della rete e dei sistemi informativi adeguato al rischio esistente.

2. Gli operatori di servizi essenziali adottano misure adeguate per prevenire e minimizzare l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura dei servizi essenziali, al fine di assicurare la continuità di tali servizi.

3. Nell’adozione delle misure di cui ai commi 1 e 2, gli operatori di servizi essenziali tengono conto delle linee guida predisposte dal gruppo di cooperazione di cui all’articolo 10, nonché delle linee guida di cui al co

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 5926613
Art. 13. - Attuazione e controllo

1. Le autorità competenti NIS valutano il rispetto da parte degli operatori di servizi essenziali degli obblighi previsti dall’articolo 12, nonché i relativi effetti sulla sicurezza della rete e dei sistemi informativi.

2. Ai fini del comma 1, gli operatori di se

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 5926614
Capo V - SICUREZZA DELLA RETE E DEI SISTEMI INFORMATIVI DEI FORNITORI DI SERVIZI DIGITALI
IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 5926615
Art. 14. - Obblighi in materia di sicurezza e notifica degli incidenti

1. I fornitori di servizi digitali identificano e adottano misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi relativi alla sicurezza della rete e dei sistemi informativi che utilizzano nel contesto dell’offerta di servizi di cui all’allegato III all’interno dell’Unione europea.

2. Tenuto conto delle conoscenze più aggiornate in materia, tali misure assicurano un livello di sicurezza della rete e dei sistemi informativi adeguato al rischio esistente e tengono conto dei seguenti elementi:

a) la sicurezza dei sistemi e degli impianti;

b) trattamento degli incidenti;

c) gestione della continuità operativa;

d) monitoraggio, audit e test;

e) conformità con le norme internazionali.

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 5926616
Art. 15. - Attuazione e controllo

1. Nel caso in cui sia dimostrato il mancato rispetto degli obblighi di cui all’articolo 14 da parte dei fornitori di servizi digitali, l’autorità competente NIS può adottare misure di vigilanza ex post adeguate alla natura dei servizi e delle operazioni. La dimostrazione del mancato rispett

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 5926617
Art. 16. - Giurisdizione e territorialità

1. Ai fini del presente decreto, un fornitore di servizi digitali è considerato soggetto alla giurisdizione dello Stato membro in cui ha lo stabilimento principale. Un fornitore di servizi digitali è com

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 5926618
Capo VI - NORMAZIONE E NOTIFICA VOLONTARIA
IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 5926619
Art. 17. - Normazione

1. Ai fini dell’attuazione armonizzata dell’articolo 12, commi 1 e 2, e dell’articolo 14, commi 1, 2 e 3, le auto

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 5926620
Art. 18. - Notifica volontaria

1. I soggetti che non sono stati identificati come operatori di servizi essenziali e non sono fornitori di servizi digitali possono notificare, su base volontaria, gli incidenti aventi

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 5926621
Capo VII - DISPOSIZIONI FINALI
IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 5926622
Art. 19. - Poteri ispettivi

1. L’attività di ispezione e verifica necessarie per le misure previste dagli articoli 12, 13, 14 e 15, fatte salve l

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 5926623
Art. 20. - Autorità competente e regime dell’accertamento e dell’irrogazione delle sanzioni amministrative

1. Le autorità competenti NIS di cui all’articolo 7, comma 1, lettere a), b), c), d) ed e), per i rispettivi

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 5926624
Art. 21. - Sanzioni amministrative

1. Salvo che il fatto costituisca reato, l’operatore di servizi essenziali che non adotta le misure tecniche e organizzative adeguate e proporzionate per la gestione del rischio per la sicurezza della rete e dei sistemi informativi, ai sensi dell’articolo 12, comma 1, è soggetto ad una sanzione amministrativa pecuniaria da 12.000 euro a 120.000 euro. La sanzione è ridotta di un terzo se lo stesso fatto è commesso da un fornitore di servizio digitale, in violazione degli obblighi di cui all’articolo 14, comma 1.

2. Salvo che il fatto costituisca reato, l’operatore di servizi essenziali che non adotta le misure adeguate per pre

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 5926625
Art. 22. - Disposizioni finanziarie

1. Agli oneri derivanti dagli articoli 7 e 8, pari a 5.300.000 euro per l’anno 2018 e 3.300.000 euro annui a decorrere dall’anno 2019, si provvede mediante corrispondente riduzione del Fondo per il recepimento della normativa europea di cui all’

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 5926626
ALLEGATO I - (di cui all’art. 8) - REQUISITI E COMPITI DEI GRUPPI DI INTERVENTO PER LA SICUREZZA INFORMATICA IN CASO DI INCIDENTE (CSIRT)

I requisiti e i compiti del CSIRT sono adeguatamente e chiaramente definiti ai sensi del presente decreto e del decreto del Presidente del Consiglio dei ministri di cui all’art. 8, comma 2. Essi includono quanto segue:

1. Requisiti per il CSIRT

a) Il CSIRT garantisce un alto livello di disponibilità dei propri servizi di comunicazione, evitando singoli punti di guasto, e dispone di vari mezzi che permettono allo stesso di essere contattato e di contattare altri in qualsiasi momento. Inoltre, i canali di comunicazione son

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 5926627
ALLEGATO II (di cui art. 3, comma 1, lettera g) - OPERATORI DI SERVIZI ESSENZIALI

Parte di provvedimento in formato grafico

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
4754346 5926628
ALLEGATO III (di cui all’art. 3, comma 1, lettera h) - TIPI DI SERVIZI DIGITALI

1. Mercato online

2. Motore di ricerca online

3. S

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.

Dalla redazione

  • Provvidenze
  • Impresa, mercato e concorrenza
  • Informatica
  • Finanza pubblica
  • Imprese

Lazio: 5 milioni per la digitalizzazione delle imprese

Pubblicato il primo bando del piano "Digital Impresa Lazio". Prevista una dotazione di 5 milioni di euro per aiutare le Pmi ad adottare interventi di digitalizzazione dei processi aziendali. Al finanziamento, che può riguardare progetti di importo fra i 7 mila e i 25 mila euro con un contributo fino al 70% a fondo perduto, possono accedere anche Pmi e liberi professionisti che non hanno sede operativa nella Regione al momento della presentazione della domanda, purché si impegnino localizzarsi nel Lazio entro la data dell'erogazione.
A cura di:
  • Anna Petricca
  • Provvidenze
  • Finanza pubblica
  • Professioni
  • Informatica

Emilia Romagna: sostegno all’innovazione tecnologica delle attività professionali

Incrementate le risorse finanziarie e riaperti i termini per la presentazione delle domande per accedere ai contributi a fondo perduto per promuovere l’innovazione per l’ampliamento e il potenziamento dei servizi offerti per la crescita delle attività libero professionali, a supporto dei processi produttivi e dell’economia regionale. Sono ammesse spese per: acquisto di attrezzature e infrastrutture digitali, acquisizione di brevetti, licenze software, consulenze specializzate per la gestione delle applicazioni Ict e studi di fattibilità. Ammesse anche spese accessorie di carattere edilizio strettamente connesse alla installazione e posa in opera dei beni strumentali, nel limite massimo di 5.000 euro.
A cura di:
  • Anna Petricca
  • Provvidenze
  • Informatica
  • Professioni
  • Finanza pubblica

Emilia Romagna: contributi ai professionisti per l’innovazione digitale

I liberi professionisti dell'Emilia Romagna hanno l'opportunità di beneficiare del sostegno regionale per aumentare la propria competitività attraverso una maggiore digitalizzazione dei loro servizi. Gli interventi sostenuti dal bando riguardano l'innovazione tecnologica, il riposizionamento strategico sul mercato e nel caso di forme aggregate la promozione di azioni di marketing e di internazionalizzazione. Possono partecipare al bando sia i liberi professionisti iscritti a Ordini o Collegi professionali, sia quelli non iscritti ad alcun Ordine, titolari di partita Iva, in forma singola o associata.
A cura di:
  • Anna Petricca
  • Costruzioni in zone sismiche
  • Distanze tra le costruzioni
  • Cave, miniere e attività estrattive
  • Norme tecniche
  • Sicurezza
  • Urbanistica
  • Pianificazione del territorio
  • Impianti di riscaldamento e condizionamento
  • Impianti tecnici e tecnologici
  • Informatica
  • Piano Casa
  • Abusi e reati edilizi - Condono e sanatoria
  • Edilizia e immobili
  • Impiantistica
  • Beni culturali e paesaggio
  • Edilizia privata e titoli abilitativi
  • Ambiente, paesaggio e beni culturali

Sicilia, recepimento del Testo Unico dell’edilizia

Con la legge 10/08/2016, n. 16, pubblicata sulla G.U. 19/08/2016, n. 36 Suppl. Ord., la Regione Sicilia ha recepito il Testo Unico delle disposizioni legislative e regolamentari in materia edilizia (D.P.R. 06/06/2001, n. 380). Disponibile il Testo Unico dell'edilizia per la Regione Sicilia elaborato da Legislazione Tecnica.
A cura di:
  • Anna Petricca
  • Procedimenti amministrativi
  • Informatica
  • Ambiente, paesaggio e beni culturali
  • Impatto ambientale - Autorizzazioni e procedure
  • Pubblica Amministrazione

Lombardia: avvio fase sperimentale app "Aua Point" per comunicazione scarichi ed emissioni

  • Pubblica Amministrazione
  • Informatica
  • Procedimenti amministrativi
  • Impatto ambientale - Autorizzazioni e procedure
  • Ambiente, paesaggio e beni culturali

Lombardia: fine fase sperimentale app "Aua Point" per comunicazione scarichi ed emissioni