Rivista online e su carta in tema di
- Opere e lavori privati e pubblici
- Edilizia e urbanistica
- Professioni tecniche
ISSN 1721-4890
Fondata nel 1933
Direttore Dino de Paolis
D. Leg.vo 18/05/2018, n. 65
D. Leg.vo 18/05/2018, n. 65
D. Leg.vo 18/05/2018, n. 65
D. Leg.vo 18/05/2018, n. 65
- D.L. 14/06/2021, n. 82 (L. 04/08/2021, n. 109)
- D.L. 30/12/2019, n. 162 (L. 28/02/2020, n. 8)
- D.L. 21/09/2019, n. 105 (L. 18/11/2019, n. 133)
Scarica il pdf completo | |
---|---|
[Premessa]IL PRESIDENTE DELLA REPUBBLICA
Visti gli articoli 76 e 87, quinto comma, della Costituzione; Vista la legge 24 dicembre 2012, n. 234, recante norme generali sulla partecipazione dell’Italia alla formazione e all’attuazione della normativa e delle politiche dell’Unione europea; Vista la legge 25 ottobre 2017, n. 163, recante delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea - Legge di delegazione europea 2016-2017; Vista la direttiva (UE) 1148/2016 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione; Visto il regolamento (CE) 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la |
|
Capo I - DISPOSIZIONI GENERALI |
|
Art. 1. - Oggetto e ambito di applicazione1. Il presente decreto stabilisce misure volte a conseguire un livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea. 2. Ai fini del comma 1, il presente decreto prevede: a) l’inclusione nella strategia nazionale di cybersicurezza di previsioni in materia di sicurezza delle reti e dei sistemi informativi rientranti nell’ambito di applicazione del presente decreto; N6 b) la designazione dell’autorità nazionale competente NIS, delle autorit |
|
Art. 3. - Definizioni1. Ai fini del presente decreto si intende per: a) autorità nazionale competente NIS, l’autorità nazionale unica, competente in materia di sicurezza delle reti e dei sistemi informativi, di cui all’articolo 7, comma 1; N6 a-bis) autorità di settore, le autorità di cui all’articolo 7, comma 1, lettere da a) a e); N7 b) CSIRT, gruppo di intervento per la sicurezza informatica in caso di incidente, di cui all’articolo 8; c) punto di contatto unico, l’organo incaricato a livello nazionale di coordinare le questioni relative alla sicurezza delle reti e dei sistemi informativi e la cooperazione transfrontaliera a livello di Unione europea; d) autorità di contrasto, l’organo centrale del Ministero dell’interno per la sicurezza e per la regolarità dei servizi di telecomunicazione, di cui all’ |
|
Art. 4. - Identificazione degli operatori di servizi essenziali1. Entro il 9 novembre 2018, con propri provvedimenti, le autorità competenti NIS identificano per ciascun settore e sottosettore di cui all’allegato II, gli operatori di servizi essenziali con una sede nel territorio nazionale. Gli operatori che prestano attività di assistenza sanitaria sono individuati con decreto del Ministro della salute, di intesa con la Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e di Bolzano. Gli operatori che forniscono e distribuiscono acque destinate al consumo umano sono individuati con decreto del Ministro dell’ambiente e della tutela del territorio e del mare, di intesa con la Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e di Bolzano. 2. I criteri per l’identificazione degli operatori di servizi essenziali sono i seguenti: a) un soggetto fornisce un servizio che è essenziale per il mantenimento |
|
Art. 5. - Effetti negativi rilevanti1. Ai fini della determinazione della rilevanza degli effetti negativi di cui all’articolo 4, comma 2, lettera c), l’autorità nazionale competente NIS e le autorità di settore considerano i seguenti fattori intersettoriali: a) |
|
Capo II - CONTESTO STRATEGICO E ISTITUZIONALE |
|
Art. 7 - Autorità nazionale competente e punto di contatto unico1. L’Agenzia per la cybersicurezza nazionale è designata quale autorità nazionale competente NIS per i settori e sottosettori di cui all’allegato II e per i servizi di cui all’allegato III. Sono designate quali autorità di settore: a) il Ministero dello sviluppo economico, per il settore infrastrutture digitali, sottosettori IXP, DNS, TLD, nonché per i servizi digitali; b) il Ministero delle infrastrutture e della mobilità sostenibili, per il settore trasporti, sottosettori aereo, ferroviario, per vie d’acqua |
|
Art. 8. - Gruppi di intervento per la sicurezza informatica in caso di incidente - CSIRT1. È istituito, presso l’Agenzia per la cybersicurezza nazionale, il CSIRT italiano, che svolge i compiti e le funzioni del Computer Emergency Response Team (CERT) nazionale, di cui all’articolo 16-bis del decreto legislativo 1° agosto 2003, n. 259, e del CERT-PA, già operante presso l’Agenzia per l’Italia digitale ai sensi dell’articolo 51 del decreto legislativo 7 marzo 2005, n. 82. |
|
Art. 9. - Cooperazione a livello nazionale1. Le autorità di settore collaborano con l’autorità nazionale competente NIS per l’adempimento degli obblighi di cui al presente decreto. A tal fine è istituito presso l’Agenzia per la cybersicurezza nazionale un Comitato tecnico di raccordo. Il Comitato è presieduto dall’autorità nazionale competente NIS ed è composto dai rappresentanti delle amministr |
|
Capo III - COOPERAZIONE |
|
Art. 10. - Gruppo di cooperazione1. Il punto di contatto unico partecipa alle attività del gruppo di cooperazione composto da rappresentanti degli Stati membri, della Commissione europea e dell’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA) e, in particolare, contribuisce a: a) condividere buone pratiche sullo scambio di informazioni relative alla notifica di incidenti di cui all’articolo 12 e all’articolo 14; b) scambiare migliori pratiche con gli Stati membri e, in collaborazione con l’ENISA, fornire supporto per la creazione di capacità in materia di sicurezza delle reti e dei sistemi informativi; |
|
Art. 11. - Rete di CSIRT1. Il CSIRT italiano partecipa alla rete di CSIRT, composta da rappresentanti dei CSIRT degli Stati membri e del CERT-UE. 2. Il CSIRT italiano, ai fini del comma 1, provvede a: a) scambiare informazioni sui servizi, sulle operazioni e sulle capacità di cooperazione dei CSIRT; b) su richiesta del rappresentante di un CSIRT di uno Stato membro potenzialmente interessato da un |
|
Capo IV - SICUREZZA DELLA RETE E DEI SISTEMI INFORMATIVI DEGLI OPERATORI DI SERVIZI ESSENZIALI |
|
Art. 12. - Obblighi in materia di sicurezza e notifica degli incidenti1. Gli operatori di servizi essenziali adottano misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi che utilizzano nelle loro operazioni. Tenuto conto delle conoscenze più aggiornate in materia, dette misure assicurano un livello di sicurezza della rete e dei sistemi informativi adeguato al rischio esistente. 2. Gli operatori di servizi essenziali adottano misure adeguate per prevenire e minimizzare l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura dei servizi essenziali, al fine di assicurare la continuità di tali servizi. 3. Nell’adozione delle misure di cui ai commi 1 e 2, gli operatori di servizi essenziali tengono conto delle linee guida predisposte dal gruppo di cooperazione di cui all’articolo 10, nonché delle linee guida di cui al comma 7. |
|
Art. 13. - Attuazione e controllo1. Le autorità competenti NIS valutano il rispetto da parte degli operatori di servizi essenziali degli obblighi previsti dall’articolo 12, nonché i relativi effetti sulla sicurezza della rete e dei sistemi informativi. 2. Ai fini del comma 1, gli operatori di servizi essenziali son |
|
Capo V - SICUREZZA DELLA RETE E DEI SISTEMI INFORMATIVI DEI FORNITORI DI SERVIZI DIGITALI |
|
Art. 14. - Obblighi in materia di sicurezza e notifica degli incidenti1. I fornitori di servizi digitali identificano e adottano misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi relativi alla sicurezza della rete e dei sistemi informativi che utilizzano nel contesto dell’offerta di servizi di cui all’allegato III all’interno dell’Unione europea. 2. Tenuto conto delle conoscenze più aggiornate in materia, tali misure assicurano un livello di sicurezza della rete e dei sistemi informativi adeguato al rischio esistente e tengono conto dei seguenti elementi: a) la sicurezza dei sistemi e degli impianti; b) trattamento degli incidenti; c) gestione della continuità operativa; d) monitoraggio, audit e test; |
|
Art. 15. - Attuazione e controllo1. Nel caso in cui sia dimostrato il mancato rispetto degli obblighi di cui all’articolo 14 da parte dei fornitori di servizi digitali, l’autorità competente NIS può adottare misure di vigilanza ex post adeguate alla natura dei servizi e delle operazioni. La dimostrazione del mancato rispetto degli |
|
Art. 16. - Giurisdizione e territorialità1. Ai fini del presente decreto, un fornitore di servizi digitali è considerato soggetto alla giurisdizione dello Stato membro in cui ha lo stabilimento principale. Un fornitore di servizi digitali è |
|
Capo VI - NORMAZIONE E NOTIFICA VOLONTARIA |
|
Art. 17. - Normazione1. Ai fini dell’attuazione armonizzata dell’articolo 12, commi 1 e 2, e dell’articolo 14, commi 1, 2 e 3, le autorità competenti NIS promuovono |
|
Art. 18. - Notifica volontaria1. I soggetti che non sono stati identificati come operatori di servizi essenziali e non sono fornitori di servizi digitali possono notificare, su base volontaria, gli inc |
|
Capo VII - DISPOSIZIONI FINALI |
|
Art. 19. - Poteri ispettivi1. L’attività di ispezione e verifica necessarie per le misure previste dagli articoli 12, 13, 14 e 15, fatte salve le attribuzioni e le competenze |
|
Art. 20. - Autorità competente e regime dell’accertamento e dell’irrogazione delle sanzioni amministrative1. L’autorità nazionale competente NIS è competente per l’accertamento delle violazioni e per l’irrogazione delle sanzioni amministrative previ |
|
Art. 21. - Sanzioni amministrative1. Salvo che il fatto costituisca reato, l’operatore di servizi essenziali che non adotta le misure tecniche e organizzative adeguate e proporzionate per la gestione del rischio per la sicurezza della rete e dei sistemi informativi, ai sensi dell’articolo 12, comma 1, è soggetto ad una sanzione amministrativa pecuniaria da 12.000 euro a 120.000 euro. La sanzione è ridotta di un terzo se lo stesso fatto è commesso da un fornitore di servizio digitale, in violazione degli obblighi di cui all’articolo 14, comma 1. 2. Salvo che il fatto costituisca reato, l’operatore di servizi essenziali che non adotta le misure ade |
|
ALLEGATO I - (di cui all’art. 8) - REQUISITI E COMPITI DEI GRUPPI DI INTERVENTO PER LA SICUREZZA INFORMATICA IN CASO DI INCIDENTE (CSIRT)I requisiti e i compiti del CSIRT sono adeguatamente e chiaramente definiti ai sensi del presente decreto e del decreto del Presidente del Consiglio dei ministri di cui all’art. 8, comma 2. Essi includono quanto segue: 1. Requisiti per il CSIRT a) Il CSIRT garantisce un alto livello di disponibilità dei propri servizi di comunicazione, evitando singoli punti di guasto, e dispone di vari mezzi che permettono allo stesso di essere contattato e di contattare altri in qualsiasi momento. Inoltre, i canali di comunicazione sono chiaramente specificati e ben noti alla loro base di utenti e ai partner con cui collaborano. |
|
ALLEGATO III (di cui all’art. 3, comma 1, lettera h) - TIPI DI SERVIZI DIGITALI1. Mercato online 2. Motore di ricerca online 3. Servizi di cloud computin |
Dalla redazione
- Edilizia e immobili
Decreto Salva Casa (D.L. 69/2024): analisi puntuale delle novità introdotte
- Redazione Legislazione Tecnica
- Edilizia e immobili
- Compravendita e locazione
Le obbligazioni del conduttore derivanti dal contratto di locazione commerciale
- Maurizio Tarantino
- Appalti e contratti pubblici
La programmazione dei lavori e degli acquisti di beni e servizi pubblici
- Emanuela Greco
- Compravendita e locazione
- Edilizia e immobili
Le obbligazioni del locatore derivanti dal contratto di locazione commerciale
- Maurizio Tarantino
- Energia e risparmio energetico
Progettazione ecocompatibile di smartphone e tablet
- Energia e risparmio energetico
Etichettatura energetica di smartphone e tablet
20/09/2024
- Cratere sismico laboratorio per l’occupazione da Il Sole 24 Ore
- Rinnovabili, la Sardegna vara il ddl aree idonee e limita gli impianti per l’eolico off shore da Il Sole 24 Ore
- Concessioni di immobili, no a rinnovi taciti da Italia Oggi
- Tributi locali, sanzioni ridotte da Italia Oggi
- Appalti pubblici responsabili da Italia Oggi
- L'errore non è sanabile con un chiarimento da Italia Oggi